Ændringer i databeskyttelsesloven fra 2024

12. december 2024

Vidste du, at databeskyttelsesloven blev ændret i marts 2024? Læs om de nye regler for indhentelse af samtykke fra børn og om direkte markedsføring overfor forbrugerne.

logning

Del artiklen på:

Databeskyttelsesloven er opdateret

Lagde du mærke til, at den danske databeskyttelseslov blev ændret d. 8. marts 2024?[1] Loven fik en opdatering, som vedrører to bestemmelser:

  • 6 vedrørende udbud af informationssamfundstjenester direkte til børn, og
  • 13 vedrørende direkte markedsføring.

Betydningen af disse ændringer gennemgås nedenfor.

1. Ny grænse for lovlig behandling ved samtykke på 15 år (§ 6)

Denne ændring[2] er sket ved at grænsen for lovligt samtykke er ændret fra 13 år til 15 år i databeskyttelseslovens § 6, stk. 2.

Hvad er en informationssamfundstjeneste? GDPR art. 4, nr. 25 definerer dette som enhver tjeneste i informationssamfundet, dvs. enhver tjeneste, der normalt ydes mod betaling, og som telefonformidles ad elektronisk vej på individuel anmodning fra en tjenestemodtager. Det er ikke et krav, at tjenesten ydes mod betaling. Omfattet af definitionen er f.eks. tjenester som udbyder e-handel og online-spil, søgemaskiner, musiktjenester og sociale medier, herunder Facebook, TikTok, Instagram, Snapchat m.v.

1.1. Tidligere aldersgrænse på 13 år

Ved fastlæggelse af den oprindelige aldersgrænse på 13 år blev der bl.a. lagt vægt på følgende:[3]

  • at børn i Danmark i høj grad er medievante, at adgang til information via søgemaskiner og deltagelse i online aktiviteter har stor samfundsmæssig og social betydning for børn og unge, og at aktiviteter i denne sammenhæng er med til at skabe og fastholde kontakt med kammerater, ligesom børn og unge får mulighed for at deltage i forskellige diskussionsfora, søge information til skolearbejde, spille spil, se film og lytte til musik.
  • at en høj aldersgrænse for, hvornår et barn gyldigt kan give samtykke til behandling af personoplysninger, kan føre til, at børn og unge udelukkes fra informationssamfundstjenester, hvis forældremyndighedsindehaveren ikke vil give samtykke til behandling af personoplysninger, ligesom det blev påpeget, at en høj aldersgrænse eventuelt vil kunne medføre, at børn og unge ved brug af informationssamfundstjenester vil udgive sig for at være ældre, end de rent faktisk er.
  • at børn og unge gennem databeskyttelsesforordningens og gennem de øvrige bestemmelser i den dengang foreslåede databeskyttelseslov – uanset et krav om samtykke fra forældremyndighedsindehaverne – ydes en integritetsbeskyttelse, hvorfor det ansås for tvivlsom, om en høj aldersgrænse for samtykke medførte en øget integritetsbeskyttelse.

 

1.2. Hvad medfører den nye ændring?

Den nye ændring betyder, at den dataansvarlige først kan indhente lovligt samtykke fra børn til behandling med henblik på informationssamfundstjenester direkte til børn, hvis barnet er over 15 år gammelt. Hvis barnet er under 15 år gammelt, kan samtykke gives af forældremyndighedsindehaveren.[4]

Hvad med de samtykker, der allerede er indhentet? De nye ændringer finder anvendelse på samtykker indhentet efter lovens ikrafttrædelse d. 1. januar 2024. Hvis et barn på 13 eller 14 år f.eks. har afgivet et samtykke før lovens ikrafttræden, vil samtykket således fortsat være gyldigt efter lovens ikrafttræden. Skal samtykket fornys, evt. som følge af opdateringer hos informationssamfundstjenesten, eller bortfalder det af anden grund efter lovens ikrafttræden, vil et nyt samtykke være omfattet af de nye regler, hvorefter barnet skal være fyldt 15 år for at kunne give et gyldigt samtykke.

1.3. Hvorfor har man valgt at ændre aldersgrænsen?

Ændringen er bl.a. sket med baggrund i udtalelser fra en ekspertgruppe, som d. 6. december 2023 lancerede en rapport om ”Demokratisk kontrol med tech-giganters forretningsmodeller”, der indeholdt anbefalinger om tech-giganters ansvar overfor børn og unge. Ekspertgruppen henviste bl.a. til, at EU anbefaler en aldersgrænse på 16 år, ligesom en række andre EU-lande, bl.a. Tyskland, Holland og Irland, har implementeret en aldersgrænse på 16 år.

Ekspertgruppen henviste desuden til, at en stadig større del af børn og unges liv foregår online, og at flere danske undersøgelser viser, at fysisk samvær blandt 11-15-årige har været markant faldende gennem de sidste 30 år, mens online kontakt er steget. Ekspertgruppen lagde desuden vægt på, at visse former for indhold på internettet kan være både ulovligt og direkte skadeligt for børn, hvilket kan have konsekvenser for både trivsel, ensomhed, kropsopfattelse, identitets- og kulturdannelse m.v.

På den baggrund fandt Justitsministeriet belæg for at hæve aldersgrænsen for, hvornår et barn kan give et sådant samtykke. Formålet med at hæve aldersgrænsen var dels at øge bevidstheden hos både børnene, de unge og forældremyndighedsindehaverne i forhold til, at der kan være visse risici ved at give adgang for informationssamfundstjenester til at behandle personoplysninger, dels at øge eftertænksomheden i samme forbindelse.

Aldersgrænsen på 15 år er valgt til fordel for EU’s anbefaling på 16 år, idet 15 år af Justitsministeriet syntes at harmonerer med de øvrige aldersgrænser, der gælder i Danmark, herunder bl.a. henset til at aldersgrænsen for samtykke til behandling i sundhedsvæsenet samt den kriminelle og seksuelle lavalder er på 15 år.

2. Åbnet råderum for behandlingshjemmel til markedsføring (§ 13)

Databeskyttelseslovens § 13 omhandler behandling af personoplysninger i forbindelse med markedsføring. Direkte markedsføring er markedsføring, der er rettet mod en eller flere bestemte modtagere. Den nye ændring[5] i databeskyttelseslovens § 13 medfører, at den tidligere lange bestemmelse på 9 dele er kortet ned. Nu består § 13 kun af en sætning, nemlig den tidligere § 13, stk. 4:

”Inden en virksomhed videregiver oplysninger om en forbruger til en anden virksomhed med henblik på direkte markedsføring eller anvender oplysningerne på vegne af en anden virksomhed i dette øjemed, skal den undersøge i CPR, om forbrugeren har frabedt sig henvendelser i markedsføringsøjemed.”

Ophævelsen af de tidligere dele medfører, at man sikrer, at virksomheder er i overensstemmelse med det nationale råderum i databeskyttelsesforordningen.

2.1. Baggrund for ændring skal findes i GDPR art. 6, stk. 2

Før ændringen var der krav om udtrykkeligt samtykke efter markedsføringslovens § 10, jf. databeskyttelseslovens § 13, stk. 1 ved behandling af oplysninger om en forbruger til brug for direkte markedsføring.

Det følger af lovforslaget,[6] at der det var påpeget som tvivlsomt, at der kunne stilles særregler for, hvilken behandlingshjemmel efter GDPR der skulle bruges til direkte markedsføring.

Justitsministeriet vurderer i bemærkningerne til lovforslaget, at behandling af personoplysninger i forbindelse med markedsføring ikke er nødvendigt af hensyn til udførelse af en opgave i samfundets interesse, derfor kan GDPR artikel 6, stk. 1, litra e ikke anvendes. Umiddelbart vil en behandling, hvor en virksomhed videregiver personoplysninger til en anden virksomhed med henblik på direkte markedsføring ske på grundlag af enten databeskyttelsesforordningens artikel 6, stk. 1, litra a (samtykke), eller artikel 6, stk. 1, litra f (interesseafvejning).

Justitsministeriet gjorde gældende, at det er tvivlsomt om databeskyttelseslovens § 13, stk. 1-3 og stk. 5-9, ligger inden for rammerne af det nationale råderum i forordningens artikel 6, stk. 2. Ændringen medfører, at der ikke længere fastsættes særregler for, i hvilke tilfælde en virksomhed må videregive oplysninger om en forbruger til andre virksomheder til brug for markedsføring.

2.2. Ikke længere krav om samtykke efter markedsføringslovens § 10

Nu stilles der ikke længere krav om at samtykke til behandling af personoplysninger i forbindelse med markedsføring skal indhentes i overensstemmelse med markedsføringslovens § 10.

Et ønske om at videregive oplysninger om en forbruger til en anden virksomhed ved direkte markedsføring eller ved at anvende oplysningerne på vegne af en anden virksomhed i dette øjemed, kræver nu, at virksomheden som ønsker at videregive, skal vurdere, om behandlingen kan ske på baggrund af et af behandlingsgrundlagene i databeskyttelsesforordningens artikel 6, stk. 1, litra a-f.

Hvornår kan interesseafvejningsreglen bruges? Det beror på en konkret vurdering, om en virksomhed kan videregive eller anvende personoplysninger til brug for direkte markedsføring på baggrund af databeskyttelsesforordningens artikel 6, stk. 1, litra f (interesseafvejning). Der kan bl.a. findes fortolkningsbidrag i forordningens præambelbetragtning nr. 47 og Datatilsynets praksis. Datatilsynet har f.eks. udtalt, at oplysninger indhentet i forbindelse med en konkurrence, hvor der bl.a. spørges til konkurrencedeltagerens specifikke mobiludbyder og TV-udbyder, hvilke specifikke streaming-tjenester konkurrencedeltageren benytter, hvilken el-leverandør konkurrencedeltageren har, hvilket realkreditinstitut konkurrencedeltageren er kunde hos, samt hvilken timeantalsmæssig tilknytning konkurrencedeltageren har til arbejdsmarkedet, er for detaljerede til med henblik på direkte markedsføring at kunne videregives inden for rammerne af forordningens artikel 6, stk. 1, litra f.

Brug for hjælp til GDPR?

Tøv ikke med at kontakte DPO Danmark, hvis du har brug for hjælp til at forstå reglerne. Vi tilbyder rådgivning, så du kan have ro i maven, når du arbejder med GDPR.

 

[1] LBK nr. 289 af 8/3/2024.

[2] Lov om ændring af databeskyttelsesloven nr. 1783 af 28/12/2023.

[3] Folketingstidende 2017-18, tillæg A, L 68, som fremsat 2017-10-25, side 127.

[4] Databeskyttelseslovens § 6, stk. 3.

[5] Lov om ændring af databeskyttelsesloven nr. 1784 af 28/12/2023.

[6] LFF 2023-11-14 nr. 79, Ændring af databeskyttelsesloven og lov om Det Centrale Personregister (Justering af aldersgrænsen for samtykke til behandling af personoplysninger i forbindelse med udbud af informationssamfundstjenester m.v.)

[7] LBK nr. 289 af 8/3/2024.

[8] LBK nr. 289 af 8/3/2024.

 

 

Kontakt os

    Michael Nielsen - Partner, adm. direktør, DPO, compliancekonsulent

    DPO, partner, adm. direktør
    Michael Nielsen

    Mail: mni@nulldpo-danmark.dk
    Mobil: 77341734