I januar 2012 fremsatte EU-Kommissionen forslag til en databeskyttelsespakke. Pakken blev endeligt vedtaget den 14. april 2016. Pakken består navnlig af den generelle forordning nr. 2016/679 om beskyttelse af personoplysninger, som gælder i både den private og offentlige sektor (databeskyttelsesforordningen). Forordningen gælder fra den 25. maj 2018. Herudover består databeskyttelsespakken af direktiv nr. 2016/680 om beskyttelse af personoplysninger, som skal gælde for retshåndhævelsesområdet (retshåndhævelsesdirektivet). Retshåndhævelsesdirektivet er gennemført i dansk ret ved lov nr. 410 af 27. april 2017 om retshåndhævende myndigheders behandling af personoplysninger.
Databeskyttelsespakken afløser databeskyttelsesdirektivet, som i dansk ret blev gennemført ved persondataloven, jf. lov nr. 429 af 31. maj 2000 om behandling af personoplysninger. Persondataloven blev ophævet den 25. maj 2018 ved lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesloven).
Databeskyttelsesforordningen har direkte virkning i Danmark, hvilket betyder, at der som udgangspunkt ikke må være anden dansk lovgivning, der regulerer behandling af personoplysninger, i det omfang dette er reguleret i forordningen. Databeskyttelsesforordningen giver dog inden for en lang række områder mulighed for, at der i national ret kan fastsættes bestemmelser for at tilpasse anvendelsen af forordningen.
Lovforslag, der indeholder bestemmelser inden for databeskyttelsesforordningens råderum, eksempelvis regler om behandling af personoplysninger, bør på den baggrund indeholde overvejelser i forhold til databeskyttelseslovgivningens regler.
Databeskyttelsesforordningen, der suppleres af databeskyttelsesloven, gælder for al behandling af personoplysninger, der helt eller delvis foretages ved hjælp af automatisk databehandling, og for anden ikkeautomatisk behandling af personoplysninger, der er eller vil blive indeholdt i et register.
Lov om retshåndhævende myndigheders behandling af personoplysninger gælder for politiets, anklagemyndighedens, herunder den militære anklagemyndigheds, kriminalforsorgens, Den Uafhængige Politiklagemyndigheds og domstolenes behandling af personoplysninger, der helt eller delvis foretages ved hjælp af automatisk databehandling, og for anden ikkeautomatisk behandling af personoplysninger, der er eller vil blive indeholdt i et register, når behandlingen foretages med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder for at beskytte mod eller forebygge trusler mod den offentlige sikkerhed.
Databeskyttelsesforordningen og databeskyttelsesloven
Databeskyttelsesforordningen og databeskyttelsesloven gælder bl.a. for al behandling af personoplysninger, der helt eller delvis foretages ved hjælp af automatisk databehandling, og for anden ikkeautomatisk behandling af personoplysninger, der er eller vil blive indeholdt i et register, jf. databeskyttelseslovens § 1, stk. 2. Endvidere gælder lovens §§ 6-8, § 10 og § 11, stk. 1, samt databeskyttelsesforordningens artikel 5, stk. 1, litra a-c, artikel 6, artikel 7, stk. 3, 1. og 2. pkt., artikel 9, artikel 10 og artikel 77, stk. 1, også for manuel videregivelse af personoplysninger til en anden forvaltningsmyndighed.
Ved personoplysninger forstås enhver form for information om en identificeret eller identificerbar fysisk person. Ved identificerbar fysisk person forstås en fysisk person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator som f.eks. et navn, et identifikationsnummer, lokaliseringsdata, en onlineidentifikator eller et eller flere elementer, der er særlige for denne fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet, jf. databeskyttelsesforordningens artikel 4, nr. 1.
Ved behandling forstås enhver aktivitet eller række af aktiviteter – med eller uden brug af automatisk behandling – som personoplysninger eller en samling af personoplysninger gøres til genstand for, f.eks. indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse, jf. databeskyttelsesforordningens artikel 4, nr. 2.
I databeskyttelsesforordningens artikel 2 og databeskyttelseslovens § 3 findes der undtagelser til databeskyttelsesforordningens og databeskyttelseslovens anvendelsesområde.
Databeskyttelsesforordningens og databeskyttelseslovens geografiske anvendelsesområde følger af forordningens artikel 3 og lovens § 4.
Der henvises desuden til pkt. 2.7.5.1. – 2.7.5.3. nedenfor.