Pligt til selvinkriminering? - En analyse af den databeskyttelsesretlige anmeldelses- og oplysningspligt
Oversat titel
Obligation to self-incriminate? - An analysis of the notification and disclosure obligation in data protection law
Forfatter
Mølgaard, Josephine Lind
Semester
4. semester
Uddannelse
Udgivelsesår
2026
Afleveret
2026-05-13
Resumé
Databeskyttelsesforordningen (GDPR) skal styrke grundlæggende rettigheder. Men når en dataansvarlig (den, der bestemmer, hvordan personoplysninger bruges) skal anmelde og oplyse om et brud på persondatasikkerheden, kan de komme til at afgive oplysninger, som senere kan bruges mod dem i en straffesag. Det kan kollidere med retten til ikke at selvinkriminere, altså retten til ikke at blive tvunget til at afgive belastende oplysninger om sig selv. Specialet undersøger denne gråzone mellem oplysningspligter ved persondatabrud og retten til ikke at selvinkriminere. Arbejdet afgrænser emnet og metode, gennemgår Den Europæiske Menneskerettighedskonvention artikel 6 samt den danske lov om retlig beskyttelse ved forvaltningens brug af tvangsindgreb og oplysningspligter (herunder § 10) og relevant praksis. Det analyserer dernæst anmeldelses- og oplysningspligterne i GDPR artikel 33, tester dem gennem danske sager og opstillede scenarier, og ser på databeskyttelseslovens § 41, der tilføjer tvangsindgreb til GDPR-reglerne. Specialet konkluderer, at retten til ikke at selvinkriminere ikke i tilstrækkelig grad respekteres, når en dataansvarlig opfylder pligten til at anmelde og oplyse om et persondatabrud. Den største risiko kommer fra oplysningspligten i GDPR artikel 33. Det er uklart, hvordan retten beskyttes, når oplysninger skal gives, og det er problematisk, at en dataansvarlig kan mødes med tvangsindgreb, hvis vedkommende udøver retten til ikke at selvinkriminere. Den samlede retstilstand fremstår uklar.
The General Data Protection Regulation (GDPR) is meant to strengthen fundamental rights. However, when a data controller (the organization that decides how personal data is used) must report and disclose details about a personal data breach, they may provide information that can later be used against them in criminal proceedings. This may conflict with the right not to self-incriminate, meaning the right not to be forced to provide information that is incriminating. The thesis explores this grey zone between breach notification duties and the privilege against self-incrimination. It defines scope and method, examines Article 6 of the European Convention on Human Rights and the Danish act on legal protection in the administration’s use of compulsory measures and disclosure obligations (including section 10) along with case law, analyzes the notification and disclosure duties in GDPR Article 33, tests them through Danish cases and constructed scenarios, and considers section 41 of the Danish Data Protection Act, which adds compulsory measures to the GDPR framework. The thesis concludes that the right not to self-incriminate is not adequately respected when a controller reports and discloses a personal data breach. The greatest risk arises from the disclosure duty in GDPR Article 33. It remains unclear how the right is protected when information must be provided, and it is problematic that a controller may face compulsory measures when exercising the right not to self-incriminate. Overall, the legal situation appears uncertain.
[Dette resumé er omskrevet med hjælp fra AI baseret på projektets originale resumé]