Professor, dr.jur. Henrik Udsen, Det Juridiske Fakultet, Københavns Universitet
1. Indledning172172. Tak til professor, dr.jur. Peter Blume, chefkonsulent Anders Lotterup og databeskyttelseschef Christian Wiese Svanberg for gode kommentarer.
Den digitale udvikling har gennem de senere år ændret den måde, vi kommunikerer på. Facebook, Twitter, Snapchat og andre sociale medier har gjort det muligt at dele tanker, synspunkter, oplysninger, billeder og liv med venner, bekendte og personer man aldrig har mødt. Smartphonen har betydet, at informationsdelingen kan ske hele tiden og overalt, fordi telefonen altid er med os. Og ikke mindst har den betydet, at alting kan dokumenteres og bliver dokumenteret i form af billed- og videooptagelser. De nye kommunikationsmuligheder kan som alt anden teknologi bruges både godt og skidt. En af ulemperne er en eksplosion i antallet af privatlivskrænkelser. Det er nemt at tage et krænkende billede eller optage en videosekvens og dele den med venner, som igen nemt kan dele den med deres venner. Konsekvenserne heraf illustreres af den såkaldte »Umbrella-sag«, hvor der blev rejst sigtelse mod mere end tusinde unge for at dele videooptagelser af unge, der havde samleje. Det er også nemt at fremsætte voldsomme beskyldninger eller hadefulde udtalelser mod andre, når det kun kræver nogle få klik, og man i øvrigt ikke behøver se den forulempede i øjnene. Samtidig kan disse krænkelser medføre betydelige skadevirkninger for ofrene, bl.a. på grund af muligheden for omfattende spredning og vanskelighederne ved at få fjernet information, når den først er delt digitalt
Side 121
De retsregler, der skal beskytte mod denne form for privatlivskrænkelser, vil derfor få en stadig større betydning. Dette gælder særligt straffelovens173173. Lovbekendtgørelse nr. 977 af 9. august 2017 med senere ændringer. bestemmelser om freds- og ærekrænkelser og reglerne om beskyttelse af personoplysninger i databeskyttelsesforordningen174174. Forordning 2016/679 af 27. april 2016 (ofte benævnt »GDPR«). og databeskyttelsesloven.175175. Lov nr. 502 af 23. maj 2018. Disse regelsæt udstikker tilsammen rammerne for, hvornår der foreligger en strafbar privatlivskrænkelse.176176. Civilretligt suppleres disse regler navnlig af erstatningsansvarsloven § 26 om tortgodtgørelse. En privatlivskrænkelse kan også udløse erstatning efter de almindelige erstatningsregler, såfremt den forurettede kan dokumentere et økonomisk tab. Persondataforordningen indeholder i art. 82 en bestemmelse om erstatning. De civilretlige regler behandles ikke i denne artikel. 177177. Det gælder her som andre steder, at reglerne skal anvendes inden for rammerne af de grundlæggende rettigheder. Hvor det eksempelvis i det følgende konkluderes, at der kan idømmes straf efter de persondataretlige regler som supplement til straffelovens regler, forudsættes, at dette ikke stride mod den grundlæggende ret til ytringsfrihed, jf. herved forordningens præambelbetragtning 4 og databeskyttelsesloven § 3, stk. 1. Særligt i sager om ærekrænkelser kan hensynet til ytringsfrihed spille en væsentlig rolle i den persondataretlige vurdering. Reglerne i straffeloven og persondatareglerne har levet to forholdsvis separate liv, og der har ikke været tradition for at anlægge et horisontalt blik på reglerne. Som nærmere beskrevet i det følgende har de imidlertid et fælles anvendelsesområde, som rejser komplekse afgrænsningsspørgsmål og i nogle situationer gør det nødvendigt for retsanvenderen at have blik for begge regelsæt. Formålet med det følgende er at belyse disse grænsefladespørgsmål og vigtigheden af at have dem for øje, ikke mindst for politi og anklagemyndighed. Først gives i afsnit 2 og 3 en kort introduktion til de to regelsæt, hvorefter deres fælles anvendelsesområde beskrives i afsnit 4. I afsnit 5 drøftes hvilket råderum EU-retten giver for nationale strafferetsregler om freds- og ærekrænkelser, der overlapper med persondataforordningens anvendelsesområde. I afsnit 6 drøftes forholdet mellem reglerne i straffeloven og databeskyttelsesloven. Afsnit 7 behandler en række håndhævelsesspørgsmål knyttet til reglernes fælles anvendelsesområde. Der rundes af med nogle afsluttende bemærkninger i afsnit 8.
Emnet trækker flere tråde til Mads Bryde Andersens omfattende forfatterskab og virke. I sine it-retlige fremstillinger har Mads således både behandlet persondataretten og it-strafferetten, ligesom han har siddet i Side 122 lovforberedende udvalg på begge områder.178178. Justitsministeriets udvalg om registerlovgivningen (der afgav betænkning nr. 1345/1997 om behandling af personoplysninger) og Justitsministeriets udvalg om økonomisk kriminalitet og datakriminalitet (der bl.a. afgav betænkning nr. 1377/1999 om børnepornografi og efterforskning og betænkning nr. 1417/2002 om IT-kriminalitet). Den retsvidenskabelige behandling skete første gang i »Lærebog i edb-ret« fra 1991 og herefter i den monumentale fremstilling »IT-retten«.179179. Gjellerup, 1. udgave, 2001 og 2. udgave, 2005. Sidstnævnte er frit tilgængelig på jurabog.dk. 1. udgaven fra 2001 rummer (blandt meget andet) i kapitel 13 en af de første beskrivelser af den moderne persondataret, der blev etableret med persondataloven fra 2000. De første linjer af dette kapitel fremhæver slægtskabet mellem netop persondataretten og straffelovens regler og fortsætter med at placere persondataretten i en bred personlighedsretlig kontekst, der også omfatter et slægtskab med de ophavsretlige regler:
»Reglerne om persondatabeskyttelse er i familie med flere andre regelsystemer til beskyttelse af privatlivets fred. Det nærmeste slægtskab finder man i straffelovens regler om beskyttelse af privatlivets fred. Strfl. § 264d straffer således den, der »uberettiget videregiver meddelelser ... vedrørende en anden persons private forhold ... der med rimelighed kan forlanges unddraget offentligheden« ... Som anført nedenfor kan andre af persondatalovgivningens regler anskues som udtryk for den personlighedsret, der ligeledes kommer til udtryk i de ophavsretlige regler, ligesom dele af den ophavsretlige regelstruktur genfindes.«180180. IT-retten, Gjellerup, 1. udgave, s. 541.
Ud over at fremhæve det slægtskab mellem persondatarettens og straffelovens privatlivsbeskyttelse, der er genstand for det følgende, illustrerer citatet også den retsvidenskabelig tilgang, der ligger til grund for meget af Mads’ arbejde. En stor del af hans forfatterskab er således præget af evnen til at se på tværs af retsområder, identificere fællesskaber mellem regelsæt og dermed placere reglerne i større systemiske sammenhænge, hvorved der kan opnås en ny og dybere indsigt i reglerne til gavn for både retsvidenskaben og retsanvendelsen. Overvejelserne om slægtskab mellem persondataretten og ophavsretten udviklede Mads yderligere i artiklen »Fragmenter af en informationsretlig grundregulering« trykt i Festskrift til Mogens Koktvedgaard, 2003.181181. Mads Bryde Andersen m.fl. (red.), Festskrift til Mogens Koktvedgaard, Jurist- og Økonomforbundets Forlag, 2003. Som titlen antyder fremlæg-Side 123ges her tanker om en bredere informationsret, der bl.a. blev inspirator for mit eget senere disputatsarbejde. Den informationsretlige ramme er velegnet til at forstå nogle af de overlap, der er mellem forskellige informationsretlige discipliner og dermed også til at erkende og behandle de grænsefladeproblemer, der kan opstå mellem dem. På denne vis hviler denne artikel som meget andet retsvidenskabeligt arbejde på et fundament, som Mads har bidraget til at støbe.
2. De persondataretlige regler182182. For en nærmere gennemgang af de persondataretlige regler henvises til speciallitteraturen. Se f.eks. Henrik Waaben & Kristian Korfits Nielsen, Lov om behandling af personoplysninger med kommentarer, 3. udgave, Djøf Forlag, 2015 (omhandler den nu ophævede persondatalov men har fortsat relevans i beskrivelserne af reglernes materiale anvendelsesområde), Peter Blume, Den nye persondataret, 2. udgave, Djøf Forlag, 2018, Charlotte Bagger Tranberg, Personoplysninger, kap. 3 i Jan Trzaskowski (red.), Internetretten, 3. udgave, Ex Tuto Publishing, 2017, Henrik Udsen, It-ret, kap. 9, 4. udgave, Ex Tuto Publishing, 2018 (under udgivelse).
2.1. Reglernes materielle anvendelsesområde
Persondataretten tager sit udgangspunkt i persondataforordningen, hvis hovedanvendelsesområde er automatisk behandling af personoplysninger, jf. forordningens art. 2, stk. 1. Personoplysningsbegrebet omfatter enhver form for oplysning, der direkte eller indirekte kan identificere en fysisk person, jf. forordningens art. 4, nr. 1. Begrebet omfatter både objektive oplysninger og subjektive vurderinger af en person. Også ukorrekte oplysninger kan udgøre personoplysninger. Portrætbilleder, der har til formål at afbildede en eller flere bestemte personer, udgør ligeledes personoplysninger. Behandlingsbegrebet omfatter enhver aktivitet, som en personoplysning kan gøres til genstand for, jf. forordningens art. 4, nr. 2. Der er tale om et bredt begreb, som i praksis rummer alle typer af informationshandlinger, herunder skabelse (f.eks. ved at indføre personoplysninger i en tekstfil eller tage et billede af en personer), opbevaring, indsamling og spredning af oplysninger. Kravet om, at behandlingen af personoplysninger skal ske »automatisk«, indebærer, at det er den digitale behandling af personoplysninger, der er genstanden for persondataretten. Oplysninger på papir og mundtlig overlevering er som udgangspunkt ikke omfattet af reglerne.
Side 124
Persondataforordningen angiver i art. 2, stk. 2, en række situationer, hvor en behandling af personoplysninger er undtaget fra forordningens anvendelsesområde. Efter art. 2, stk. 2, litra c, gælder forordningen ikke for behandlinger, der foretages af en fysisk person som led i rent personlige eller familiemæssige aktiviteter. Videregivelse af personoplysninger til en person inden for overdragerens privatsfære omfattes således ikke af forordningens regler. Denne privatbrugsregel har et relativt snævert anvendelsesområde, og den gælder ikke for spredning af oplysninger til en større kreds af personer via eksempelvis sociale medier. Forordningens art. 85 giver medlemsstaterne ganske vide rammer for at undtage pressens behandling af personoplysninger fra forordningens anvendelsesområde. Denne mulighed er udnyttet i Danmark, jf. herved databeskyttelsesloven § 3, stk. 4-8. De særlige spørgsmål, der opstår i samspillet mellem forordningen og staffelovens regler om freds- og ærekrænkelser, gælder derfor ikke pressens brug af personoplysninger.
Persondataforordningen suppleres af databeskyttelsesloven, der inden for rammerne af forordningen rummer en række supplerende bestemmelser. Af særlig betydning for det følgende er lovens regler om straf, der omtales nedenfor.
2.2. Sanktioner
Når en behandling af personoplysninger gribes af persondatarettens anvendelsesområde, udløser det en række forpligtelser for den, der er ansvarlig for behandlingen. Det er et bærende princip, at behandlingen kun må finde sted, hvis den har hjemmel i en af behandlingsreglerne. Behandlingen skal endvidere ske i overensstemmelse med forordningens generelle behandlingsprincipper om bl.a. formålsbestemthed, sletning, dataminimering mv. Den dataansvarlige skal også iagttage den registreredes rettigheder, herunder til at få indsigt i behandlede oplysninger. En manglende overholdelse af disse forpligtelser er strafsanktioneret.
Forordningen indeholder ingen regler om fængselsstraf. Det er således op til medlemsstaterne selv, om en overtrædelse af reglerne skal kunne give fængselsstraf. Dette er tilfældet i Danmark. Efter databeskyttelseslovens § 41 kan overtrædelse af en lang række af reglerne i forordningen og loven således straffes med fængsel i op til 6 måneder. Forarbejderne nævner, at fængselsstraf eksempelvis kan anvendes, hvor der sker en forsætlig offentliggørelse af særligt beskyttelsesværdige oplysninger, såsom følsomme oplysninger, i et meget betydeligt omfang. Hermed understreges, Side 125 at fængselsstraf kun undtagelsesvist skal anvendes ved overtrædelse af de persondataretlige regler.
Forordningen indeholder derimod regler om administrative bøder. Det er ikke mindst disse bøder og særligt bøderammerne, der har skabt den massive opmærksomhed omkring forordningen og persondataretten. Danmark er imidlertid ikke omfattet af forordningens system, hvorefter de nationale tilsynsmyndigheder har hjemmel til at udstede administrative bøder. Det er anført i bemærkningerne til databeskyttelsesloven, at indførelsen af administrative bøder giver betænkeligheder i forhold til grundloven.183183. Lovforslag L 68, FT 2017-18 (herefter »L 68«), s. 161. Denne opfattelse kan man være enig eller uenig i. Det kan konstateres, at ingen af de øvrige medlemsstater, finder, at den forfatningsmæssige tredeling af magten hindrer, at den nationale tilsynsmyndighed får hjemmel til at udstede administrative bøder.184184. Estland har også fået en særlig bødeordning, men under denne er det stadig den nationale tilsynsmyndighed, der udsteder bøden. Under alle omstændigheder giver forordningen udtrykkeligt adgang til ikke at indføre et administrativt bødesystem. Dette følger af forordningens art. 83, stk. 9:
Hvis en medlemsstats retssystem ikke giver mulighed for at pålægge administrative bøder, kan denne artikel anvendes på en sådan måde, at den kompetente tilsynsmyndighed tager skridt til bøder, og de kompetente nationale domstole pålægger dem, idet det sikres, at disse retsmidler er effektive, og at deres virkning svarer til virkningen af administrative bøder, som pålægges af tilsynsmyndighederne. Bøder skal under alle omstændigheder være effektive, stå i rimeligt forhold til overtrædelsen og have afskrækkende virkning ...
Denne undtagelse indebærer dog ikke, at Danmark har frie rammer for fastlæggelsen og anvendelsen af bøderegler. Det følges således af art. 83, stk. 9, at virkningen af det danske bødesystem skal svare til virkningen af forordningens administrative bødesystem, og at bøderne skal være effektive og have afskrækkende virkning. Bestemmelsen rummer endvidere det formelle krav, at Datatilsynet skal tage det første skridt til bøden. I forordningens præambelbetragtning 151 anføres i tilknytning hertil, at de danske domstole bør tage hensyn til en anbefaling fra Datatilsynet, hvormed formentlig sigtes til en anbefaling vedrørende bødeniveauet.
I overensstemmelse hermed forudsættes det i forarbejderne til databeskyttelseslovens § 41, at Datatilsynet indgiver politianmeldelse sammen med en redegørelsen af sagen, når tilsynet vurderer, at der kan idømmes Side 126 en bøde. Redegørelsen skal indeholde tilsynets vurdering af bødeniveauet, herunder også bødeniveauet i andre EU-lande. Det følger endvidere af forarbejderne, at Datatilsynet også skal høres i sager, der anmeldes eller kommer til politiets kendskab uden om tilsynet.185185. L 68, s. 163.
Efter § 42 har Datatilsynet yderligere kompetence til at udstede et administrativt bødeforlæg i tilståelsessager. Ifølge forarbejderne kan dette dog kun ske i ukomplicerede sager uden bevismæssige tvivlsspørgsmål.186186. L 68, s. 166. Det er endvidere en forudsætning, at der i retspraksis er fastlagt et tilstrækkeligt præcist bødeniveau for den pågældende overtrædelse. Det er nok tvivlsomt, om ordningen vil få stor praktisk betydning ved freds- og ærekrænkelser.
Efter forordningens art. 83, stk. 3 og 4, kan der udstedes administrative bøder på op til 10 mio. euro for overtrædelser af en række af forordningens bestemmelser og på op til 20 mio. euro for andre af bestemmelserne. For virksomheder kan bøderne stige til 2, hhv. 4 % af den globale årlige omsætning, hvis dette beløb overstiger de faste beløb på 10, hhv. 20 mio. euro. Med henvisning til disse betydelige maksimale bødestørrelser og kravet om, at bøderne skal være effektive og have afskrækkende virkning, anføres i lovbemærkningerne, at der »bør lægges op til en væsentlig forøgelse af bødeniveauet«,187187. L 68, s. 63 f. der efter de tidligere regler har ligget på 2.000-25.000 kr.
Det følger af forordningens art. 83, stk. 7, at medlemsstaterne selv fastsætter, om offentlige myndigheder skal kunne ifalde bødeansvar og i givet fald omfanget heraf. Denne mulighed er udnyttet i databeskyttelsesloven, hvor det i § 41, stk. 6, fastslås, at offentlige myndigheder kan ifalde strafansvar. Dette har dog næppe nogen betydning for det emne, der behandles her.
Forordningens art. 83, stk. 2, indeholder en række kriterier, der skal inddrages ved vurderingen af, om en administrativ bøde skal pålægges og størrelsen af en eventuel bøde. Efter databeskyttelseslovens § 41, stk. 3, skal disse kriterier også anvendes af danske domstole ved pålæggelsen af straf efter § 41, stk. 1 og 2. Det følger forudsætningsvist heraf, at ikke enhver overtrædelse skal straffes med bøde. Det fremgår også af lovbemærkningerne, at der ikke forudsættes bøder ved alle overtrædelser af Side 127 databeskyttelsesforordningen og loven.188188. L 68, s. 165. I forordningens præambelbetragtning 148 er tilsvarende anført, at »mindre overtrædelser« kan udløse en irettesættelse i stedet for en bøde.
Det følger af forarbejderne til § 41, at straffelovens kap. 10 om straffens fastsættelse finder anvendelse, medmindre disse bestemmelser strider med forordningens art. 83, stk. 2.189189. L 68, s. 163. De almindelige kriterier for fastlæggelse af straffens størrelse i straffelovens §§ 81 og 82 skal således også anvendes i straffesager om persondatakrænkelser.
3. Straffelovens regler om freds- og ærekrænkelser190190. For en nærmere gennemgang af reglerne om freds- og ærekrænkelser henvises til speciallitteraturen. Se f.eks. Søren Sandfeld Jakobsen & Sten Schaumburg-Müller, Medieretten, Djøfs Forlag, 2013, s. 157 ff. og Gorm Toftegaard Nielsen, Thomas Elholm & Morten Niels Jakobsen, Kommenteret straffelov, speciel del, 11. udgave, Djøfs Forlag, 2017, s. 501 ff.
Straffelovens kap. 27 om freds- og ærekrænkelser indeholder en række bestemmelser, der beskytter forskellige aspekter af privatlivet og personligheden. Enkelte af bestemmelserne beskytter det fysiske privatliv og lader gerningsindholdet tage udgangspunkt i et fysisk faktum. Dette gælder eksempelvis forbuddet mod at unddrage andres deres (fysiske) breve mv. i § 263, stk. 1, nr. 1, forbuddet mod at skaffe sig adgang til andres gemmer i § 263, stk. 1, nr. 2,191191. Begge bestemmelser dækker dog også digitale medier. og forbuddet mod at skaffe sig adgang til fremmed hus i § 264. Andre bestemmelser beskytter det informatoriske privatliv og har en nærmere angiven behandling af information som udgangspunkt for gerningsindholdet. Det gælder bl.a. forbuddet mod uberettiget at skaffe sig adgang til andres informationer i it-systemer i § 263, stk. 2 (»hackerbestemmelsen«), forbuddet mod uberettiget at videresprede privatoplysninger og billeder i § 264 d og forbuddet mod ærekrænkelser i § 267 ff. Det er straffelovens bestemmelser om det informatoriske privatliv, der ofte vil overlappe med den persondataretlige regulering, og som derfor er genstand for det følgende.
Også andre bestemmelser i straffeloven end reglerne om freds- og ærekrænkelser kan efter omstændighederne have overlap med de persondataretlige regler. Det gælder Side 128 bl.a. strfl. § 152 om offentligt ansattes uberettiget videregivelse eller udnyttelse af fortrolige oplysninger og § 232 om blufærdighedskrænkelse. Den sidstnævnte bestemmelse er bl.a. anvendt i en række sager om deling af sexvideoer og supplerer således reglerne om fredskrænkelser, særligt § 264 d, i denne type sager. De generelle betragtninger om forholdet mellem persondataretten og de strafferetlige regler, der lægges frem i det følgende, vil i vid udstrækning også have relevans for andre straffelovsbestemmelser, som i deres anvendelsesområde kan dække særlige former for behandling af personoplysninger.
Efter strfl. § 263, stk. 2 (»hackerbestemmelsen«), straffes den, der »uberettiget skaffer sig adgang til en andens oplysninger eller programmer, der er bestemt til at bruges i et informationssystem« med bøde eller fængsel indtil 1 år og 6 måneder. Straffen kan under skærpende omstændigheder, herunder ved forsøg på at skaffe sig adgang til erhvervshemmeligheder, stige til 6 års fængsel. Dette gælder tilsvarende, når der er tale om overtrædelser af mere organiseret eller systematisk karakter, jf. § 263, stk. 3. Bestemmelserne finder tilsvarende anvendelse på den, der skaffer sig eller uberettiget udnytter oplysninger, som er fremkommet ved overtrædelsen, jf. strfl. § 264 c. Der gælder således en form for hæleransvar.
Efter strfl. § 264 d kan den som »uberettiget videregiver meddelelser eller billeder vedrørende en andens private forhold eller i øvrigt billeder af den pågældende under omstændigheder, der åbenbart kan forlanges unddraget offentligheden« straffes med bøde eller fængsel i op til 6 måneder. Straffen kan efter stk. 2 stige til 3 års fængsel under særligt skærpende omstændigheder. Denne bestemmelse, der blev indsat ved en lovændring i april 2018,192192. L 2018 257 af 10. april 2018 tager navnlig sigte på digitale sexkrænkelser, hvor billeder eller videoer af særligt krænkende karakter udbredes i stort omfang via digitale medier. At videregivelsen skal være »uberettiget«, indebærer, at gerningsindholdet ikke er opfyldt, hvis den, oplysningerne vedrører, har givet samtykke til videregivelsen, men kan også indebære at andre former for videregivelse efter en konkret vurdering ikke anses for strafbare. Begrebet »private forhold« i bestemmelsens første led omfatter bl.a. informationer om ægteskab og samliv, livskriser, sygdom, seksuel orientering mv. Bestemmelses andet led, »omstændigheder der åbenbart kan forlanges unddrages offentligheden«, har et snævert anvendelsesområde og tager ifølge forarbejderne193193. Betænkning nr. 601/1971 om privatlivets fred, s. 62. navnlig sigte på billeder taget under Side 129 omstændigheder, hvor det på forhånd ville virke overordentligt krænkende, hvis billedet blev udbredt.
Efter strfl. § 267 kan den, »som krænker en andens ære ved fornærmelige ord eller handlinger eller ved at fremsætte eller udbrede sigtelser for et forhold, der er egnet til at nedsætte den fornærmede medborgeres agtelse«, straffes med bøde eller fængsel indtil 4 måneder. Straffen kan stige til 2 år, hvis en sigtelse er fremsat mod bedre vidende eller uden rimelig grund til at anse den for sand, jf. § 268 om bagvaskelse.
Den 16. maj 2018 fremsatte Justitsministeren et lovforslag (L 240), der skærper sanktionerne for visse freds- og ærekrænkelser og indeholder enkelte nye bestemmelser.194194. Forslag til lov om ændring af straffeloven, retsplejeloven, erstatningsansvarsloven og medieansvarsloven, L 240, FT 2017-18. Lovforslaget tilsigter særligt at skærpe mediernes ansvar men skærper også ansvaret for andre. Lovforslaget skal endvidere tilpasse reglerne den teknologiske udvikling. Forslaget hviler på Straffelovrådets betænkning 1563/2017 om freds- og ærekrænkelser og kommer i forlængelse af skærpelsen for særligt kvalificerede overtrædelser af § 264 d, jf. dennes stk. 2 omtalt ovenfor (som ligeledes udspringer af Straffelovrådets betænkning). Såfremt lovforslaget vedtages betyder det bl.a., at strafferammen for ærekrænkelser stiger til 1 års fængsel. Der vil blive indført en bestemmelse (ny § 271), hvorefter det samtidig med dom for overtrædelse af §§ 264 d, 267 eller 268 kan bestemmes, at en udtalelse, en meddelelse eller et billede skal slettes, hvis det er muligt. Der vil også blive indført en bestemmelser (ny § 264 b), hvorefter den der uberettiget ved hjælp af en gps eller et andet lignende apparat registrerer en andens færden, straffes med bøde eller fængsel indtil 6 måneder. Lovforslaget forventes genfremsat og behandlet i folketingsåret 2018/19 med ikrafttræden 1. januar 2019.
4. Reglernes fælles anvendelsesområde
Generelt har de persondataretlige regler et langt bredere anvendelsesområde end straffelovens regler om freds- og ærekrænkelser. De fleste behandlinger af personoplysninger omfattet af forordningen vil således ikke være en freds- eller ærekrænkelse efter straffelovens bestemmelser. Reglerne om freds- og ærekrænkelser kriminaliserer særligt grove former for integritetskrænkende informationshandlinger, mens persondataretten Side 130 opstiller en række krav til en informationshandling (behandling af personoplysninger), som i mange tilfælde er helt legitim.
Omvendt vil en informationshandling omfattet af reglerne om freds- og ærekrænkelser oftest også være omfattet af persondatareglerne. En »uberettiget videregivelse af meddelelser eller billeder vedrørende en andens private forhold« (ordlyden af § 264 d, stk. 1, 1. led) vil således normalt også være »behandling af personoplysninger« i persondataretlig forstand. Er meddelelsen eller billedet lagret digitalt og sker videregivelsen til personer uden for egen privatsfære, vil forholdet både være omfattet af § 264 d og af de persondataretlige regler. Det samme vil gælde et hackerangreb omfattet af § 263, stk. 2, med henblik på at skaffe sig adgang til personoplysninger. Tilsvarende en ærekrænkelse efter strfl. § 267, der eksempelvis fremsættes via sociale medier, i det persondataretten som nævnt ikke kun omfatter faktuelle korrekte oplysninger men også kan omfatte subjektive vurderinger og ukorrekte oplysninger. De to regelsæt har således et fælles anvendelsesområde.
Uanset persondatarettens bredere anvendelsesområde vil der også være situationer, hvor en informationshandling kun omfattes af reglerne om freds- og ærekrænkelser. Som nævnt gælder persondataretten i udgangspunktet kun digital behandling af personoplysninger. Dette gælder ikke for reglerne om freds- og ærekrænkelser. Opsætter man eksempelvis et billede af to personer, der har samleje, på opslagstavlen på det lokale bibliotek, kan dette være en overtrædelse af strfl. § 264 d, men vil normalt ikke være omfattet af de persondataretlige regler. Det samme vil gælde, hvis man deler en sexvideo uden samtykke fra de optrædende med sine venner, da persondatareglerne ikke gælder behandling af personoplysninger inden for privatsfæren, jf. forordningens art. 2, stk. 2, litra c. Reglerne om fredskrænkelser i straffeloven, navnlig § 264 d, indeholder ikke en tilsvarende undtagelse for den private videregivelse. Det kan efter omstændighederne indgå i vurderingen af, om forholdet er strafbart, men det vil ikke i sig selv være ansvarsfritagende, at videregivelsen sker til personer inden for privatsfæren. Også oplysninger om afdøde kan være beskyttet af reglerne om freds- og ærekrænkelser uden at nyde persondataretlig beskyttelse. Databeskyttelsesloven og forordningen gælder således ikke for oplysninger om personer, der har været døde i mere end 10 år, jf. lovens § 2, stk. 5, medmindre noget andet er bestemt efter lovens § 2, stk. 6, hvorimod reglerne om freds- og ærekrænkelser generelt også gælder for afdøde, jf. § 264 d, sidste punktum og § 274. Det vil indgå i vurderingen af, om et forhold er strafbart, hvor længe der er gået siden dødsfaldet, men reglerne indeholder ingen absolut tidsmæssig grænse for beskyttelsen.
Regelsættenes fælles anvendelsesområde rejser spørgsmål om nationalt råderum, om forholdet mellem strafsanktioneringen i databeskyttelseslo-Side 131ven og straffeloven og om håndhævelsen af reglerne, der drøftes i det følgende.
5. Forholdet mellem persondataforordningen og straffelovens regler om freds- og ærekrænkelser: Nationalt råderum
Det netop beskrevne overlap mellem de persondataretlige regler og straffelovens regler om freds- og ærekrænkelser kan også udtrykkes sådan, at straffelovens regler selvstændigt kriminaliserer behandling af personoplysninger i særligt kvalificerede situationer. Hermed rejses en klassisk EU-retlig problemstilling: I hvilket omfang giver EU-retsakten rum for særskilt og afvigende national regulering? Eller formuleret på en anden måde i den konkrete kontekst: I hvilket omfang kan der ved siden af persondataforordningen eksisterer nationale strafferetsregler, der strafsanktionerer visse former for behandling af personoplysninger?
En forordning har direkte virkning og skal ikke implementeres i national ret. Som udgangspunkt må medlemsstaterne ikke foretage nogen form for gennemførelsesforanstaltninger eller foretage andre dispositioner, der er egnet til at skjule reglernes EU-retlige oprindelse.195195. Jf. Karsten Engsig Sørensen, Poul Runge Nielsen og Jens Hartig Danielsen, EU-Retten, Jurist- og Økonomforbundets Forlag, 2014, s. 96 med henvisning til praksis fra EU-Domstolen. Dette udgangspunkt medfører dog ikke et absolut forbud mod nationale strafferegler, som har et genstandsfelt, der overlapper med forordningens.
Som beskrevet er Danmark forpligtet til at indføre et persondataretligt bødesystem, der er lige så effektivt som det administrative bødesystem, der indføres med forordningens art. 83. Herudover fastslår forordningen i art. 84, at »[m]edlemsstaterne fastsætter regler om andre sanktioner, der skal anvendes i tilfælde af overtrædelser af denne forordning, navnlig overtrædelser, som ikke er underlagt administrative bøder i henhold til artikel 83, og træffer alle nødvendige foranstaltninger for at sikre, at de anvendes. Sanktionerne skal være effektive, stå i et rimeligt forhold til overtrædelsen og have afskrækkende virkning«. Bestemmelsen i art. 84 giver medlemsstaterne meget vide ramme for selv at fastsætte strafsanktioner for overtrædelse af reglerne. Dette er også understreget i præambelbetragtning 149, hvorefter »medlemsstaterne bør kunne fastsætte reg-Side 132ler om strafferetlige sanktioner for overtrædelse af denne forordning, herunder for overtrædelse af nationale regler vedtaget i henhold til og inden for rammerne af denne forordning«. Medlemsstaterne kan derfor selv fastsætte, om en overtrædelse af forordningen i øvrigt skal strafsanktioneres og må som det mindre i det mere også kunne vælge kun at strafsanktionere kvalificerede overtrædelser af forordningen, eksempelvis gennem national straffelovgivning.
Endvidere er der i forordningen givet medlemsstaterne et vist nationalt råderum, jf. særligt art. 6, stk. 2 og 3, hvorefter medlemsstaterne kan fastsætte mere præcist specifikke krav til lovlig behandling for så vidt angår behandlinger, der er nødvendig for at overholde en retlig forpligtelse, eller som er nødvendig af hensyn til udførelse af en opgave i samfundets interesse eller som led i myndighedsudøvelse. Dette råderum er også udtrykt i den tilhørende præambelbetragtning 10:
I forbindelse med behandling af personoplysninger for at overholde en retlig forpligtelse eller for at udføre en opgave i samfundets interesse, eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt, bør medlemsstaterne kunne opretholde eller indføre nationale bestemmelser for yderligere at præcisere anvendelsen af denne forordnings bestemmelser. Sammen med generel og horisontal lovgivning om databeskyttelse til gennemførelse af direktiv 95/46/EF har medlemsstaterne flere sektorspecifikke love på områder, hvor der er behov for mere specifikke bestemmelser. Denne forordning indeholder også en manøvremargen, så medlemsstaterne kan præcisere reglerne heri, herunder for behandling af særlige kategorier af personoplysninger (»følsomme oplysninger«). Denne forordning udelukker således ikke, at medlemsstaternes nationale ret fastlægger omstændighederne i forbindelse med specifikke databehandlingssituationer, herunder mere præcis fastlæggelse af de forhold, hvorunder behandling af personoplysninger er lovlig.
Art. 6, stk. 2 og 3, og ikke mindst den tilhørende præambelbetragtning 10 er udtryk for et kompromis i forhandlingerne om forordningen, idet mange medlemsstater ønskede et større nationalt råderum, end en forordning normalt giver, og større end Kommissionen ønskede. Forordningens nationale råderum er således udtryk for at politisk kompromis, og som mange andre politiske kompromisser i EU-retsakter, efterlader det en betydelig usikkerhed om den juridiske fortolkning. Grænserne for det nationale råderum må derfor også betegnes som uklare, men det politiske ønske om et nationalt råderum, som er udtrykt i præambelbetragtning 10, spiller en rolle i vurderingen af, om nationale særregler er i overensstemmelse med forordningen.
Side 133
Det må også tillægges vægt, at reglerne om freds- og ærekrænkelser og persondatareglerne har et delvist forskelligt beskyttelsessigte, uanset at de to regelsæt har et delvist overlappende materielt anvendelsesområde, der på et overordnet niveau begge beskytter den personlige integritet. Mens straffelovens regler beskytter mod særligt kvalificerede personlighedskrænkelser rettet mod enkeltindivider, beskytter de persondataretlige regler i bredere forstand retten til egne personoplysninger. At reglerne hviler på delvist forskellige hensyn illustreres også af sondringen i EU’s charter om grundlæggende rettigheder mellem retten til privatliv (art. 7) og retten til egne personoplysninger (art. 8). I denne sondring er reglerne om freds- og ærekrænkelser primært forankret i privatlivsbeskyttelsen efter art. 7, mens forordningens udgangspunkt er retten til egne personoplysninger efter art. 8.
På den baggrund må det lægges til grund, at forordningen fortsat efterlader et råderum for regler om freds- og ærekrænkelser i straffeloven, uanset om disse i et vist omfang også regulerer visse former for behandling af personoplysninger.196196. I Justitsministeriets notat om vurdering af særlovgivning på Justitsministeriets område i forhold til EU’s generelle databeskyttelsesforordning, betænkning nr. 1565/2017, del II, s. 4 ff., anføres heller ikke, at forordningen skulle nødvendiggøre ændringer i straffelovens regler om freds- og ærekrænkelser (eller straffeloven i øvrigt).
Det nationale råderum er dog ikke ubegrænset. Det vil næppe være muligt generelt at lade reglerne om freds- og ærekrænkelser udtømmende gøre op med strafbarheden af handlinger, hvis dette ville indebære, at der ikke kan idømmes straf for de pågældende handlinger, selvom de var strafbare efter forordningen. En sådan retstilstand kan næppe rummes inden for det nationale råderum efter art. 6, stk. 2. Problemstillingen kan illustreres med den situation, hvor der sker videregivelse af et nøgenbillede optaget på et frit tilgængeligt sted. Dette vil sædvanligvis ikke være i strid med strfl. § 264 d, idet retspraksis på baggrund af lovforarbejderne fra 1971 har fastslået, at det normalt ikke vil være strafbart at videregive billeder, der er optaget på et frit tilgængeligt sted.
I U 2015.3802 Ø havde en person på en strand filmet fem nøgenbadende mænd og efterfølgende offentliggjort optagelserne på internettet under titlerne »perverse svin« og »liderbasser«. Landsretten fandt ikke, at dette var en overtrædelse af strfl. § 264 d, idet optagelserne ikke afslørede noget om de pågældendes private forhold i bestemmelsens forstand og heller ikke åbenbart kunne forlanges unddraget offentligheden, idet opta-Side 134gelserne var foretaget på et frit tilgængeligt sted. I U 2017.2627 V havde en person ophængt et nøgenbillede af sin tidligere kæreste på en væg i en idrætshal og lagt billedet ind på en fotoklubs hjemmeside. Den tiltalte blev frifundet for overtrædelse af § 264 d, idet landsretten henviste til, at billedet viste en ordinær dagligdags situation ved stranden om sommeren og var optaget på et frit tilgængeligt sted. Landsretten lagde herved vægt på forarbejderne til § 264 d, hvoraf fremgår at personer der finder sig uden for det hjemlige område må være forberedt på at kunne blive fotograferet. Landsretten henviste endvidere til bemærkningen i betænkning 1563/2017, hvorefter § 264 d, 2. led, skal fortolkes snævert og i almindelighed ikke omfatter billeder af personer, der færdes nøgne på et frit tilgængeligt sted.197197. De to afgørelser ligger i forlængelse af U 2010.2448 H, hvor Højesteret fastslog, at det ikke var i strid med § 264 d, at et ugeblad bragte billeder af en kendt tv-værtinde, der badede topløs på en næsten mennesketom strand. Billederne var taget uden hendes viden med teleobjektiv. Højesteret henviste bl.a. til det anførte fra betænkning nr. 601/1971. De teknologiske muligheder i dag er helt anderledes end i 1971, og det kan diskuteres, om det bør være straffrit efter § 264 d at offentliggøre nøgenbilleder mv. på internettet, blot fordi de er taget uden for hjemmet. Se også kritisk til retstilstanden Trine Baumbach, TfK 2017.378 ff.
En tilsvarende forudsætning om, at billedet skal være optaget på et ikke-frit tilgængeligt sted, for at der kan foreligge en strafsanktioneret krænkelse gælder ikke efter persondataretten. I hvert fald i den sidstnævnte af de to sager, U 2017.2627 V, foretog den tiltalte en behandling af personoplysninger, der ret klart var i strid med de persondataretlige regler, og det kan ikke udelukkes, at en sådan behandling ville være bødesanktioneret efter forordningens art 83.198198. I U 2015.3802 Ø, hvor billederne var en reaktion på en verserende tvist mellem den tiltalte og de afbildede, kan det ikke udelukkes, at betragtninger om ytringsfrihed ville spille en rolle for den persondataretlige vurdering og en eventuel sanktionering. Såfremt straffeloven udtømmende gjorde op med, om der kunne idømmes straf i denne situation, ville det i så fald betyde, at straffeloven indskrænkede anvendelsesområdet af art. 83. Eftersom den pågældende behandling (offentliggørelse af nøgenbilledet på internettet) hverken kan siges at være nødvendig for at overholde en retlig forpligtelse eller nødvendig af hensyn til udførelse af en opgave i samfundets interesse eller som led i myndighedsudøvelse, er det vanskeligt at se, at råderummet efter art. 6, stk. 2, skulle give mulighed for at indskrænke art. 83 på denne måde. Det ville endvidere føre til den paradoksale situation, at billeder, der ikke havde den intime karakter, der er genstandsfeltet for § 264 d, og som derfor ikke var reguleret af denne bestemmelse, potentielt kunne omfattes af bødeordningen i art. 83 modsat Side 135 billeder af mere intim karakter. Alternativt måtte man nå til, at princippet i § 264 d måtte udbredes til alle billeder optaget på frit tilgængelige steder, hvilket ville føre til en endnu mere omfattende indskrænkning af art. 83 og i øvrigt føre til vidtrækkende konsekvenser, hvis samme princip også skulle gælde for de øvrige regler om freds- og ærekrænkelser. Som nærmere beskrevet nedenfor, lægger Justitsministeriet i lovforslag L 240 til grund, at bødeniveauet for freds- og ærekrænkelser skal følge bødeniveauet efter databeskyttelsesloven og forordningens art. 83. Også dette synspunkt støtter, at reglerne om freds- og ærekrænkelser ikke kan indskrænke anvendelsesområdet af art. 83: Hvis bødeniveauet om freds- og ærekrænkelser skal følge bødeniveauet efter forordningen, må det så meget desto mere gælde, at reglerne om freds- og ærekrænkelser ikke kan afskære muligheden for at give bøde efter forordningen.
På denne baggrund kan der næppe indføres nationale strafferegler, der afskærer den konkrete vurdering af, om der skal pålægges en bøde efter forordningens art. 83. Reglerne om freds- og ærekrænkelser kan således supplere men ikke erstatte det bødeansvar, der følger af forordningen.
Det må endvidere anses for tvivlsomt, i hvilket omfang det er muligt at kriminalisere en behandling af personoplysninger efter reglerne om freds- og ærekrænkelser, såfremt den samme behandling har hjemmel i og dermed er lovlig efter forordningen. EU-Domstolen har tidligere slået fast, at nationale regler, der afskar nogle af det nu ophævede persondatadirektivs behandlingshjemler, var i strid med EU-retten.199199. C-468/10 (ASNEF) og C-582/14 (Breyer). Det kan ikke antages, at der under forordningen skulle være større nationalt råderum til at begrænse de persondataretlige behandlingshjemler end under direktivet. I overensstemmelse hermed og under henvisning til den nævnte praksis fra EU-Domstolen er det i betænkning 1565/2017, s. 147 ff., lagt til grund, at det ikke er muligt at afskære forordningens behandlingshjemler i national ret. I lovforslag L 240 justerer Justitsministeriet muligvis denne opfattelse. I forbindelse med det ovennævnte forslag om at kriminalisere gps-overvågning anføres således, at bestemmelsen også tilsigter at kriminalisere registreringer af en anden persons færden, selvom sådanne registreringer kan foretages inden for rammerne af databeskyttelsesforordningen.200200. L 240, s. 45. Den samme opfattelse er lagt til grund i betænkning 1563/2017, s. 38. I lovforslagets almindelige del anføres, at bestemmelsen ligger Side 136 inden for det nationale råderum efter forordningens art. 6.201201. L 240, s. 38. Selvom spørgsmålet ikke kan betegnes som afklaret, peger den nævnte praksis fra EU-Domstolen ret klart i retning af, at det ikke er muligt at kriminalisere en behandling af personoplysninger i straffeloven, når den pågældende behandling er lovlig efter forordningen. Dette har dog nok beskeden praktisk betydning. Har informationsbehandlingen en sådan integritetskrænkende karakter, at den er omfattet af en eller flere af gerningsindholdene i straffeloven regler, er det vanskeligt at forestille sig, at forordningen indeholder et hjemmelsgrundlag, der gør behandlingen lovlig efter dette regelsæt.
Det vil også kunne være i strid med EU-retten at indføre regler i straffeloven, som i det væsentlige svarer til forordningens, men som skærper de forpligtelser, der følger af forordningen. Dette vil i realiteten kunne svare til at ændre forordningens bestemmelser. Medmindre straffelovbestemmelsen ligger inden for det ovenfor beskrevne nationale råderum, må en sådan bestemmelse derfor fortolkes således, at den kun har et selvstændigt anvendelsesområde uden for forordningens anvendelsesområde. Den eksisterende straffelov indeholder ikke sådanne bestemmelser, men problemstillingen illustreres af forslaget i L 240 om en ny bestemmelse, hvorefter der i forbindelse med dom for overtrædelse af §§ 264 d, 267 og 268 kan gives pålæg om sletning af en udtalelse, meddelelse eller billede. Bestemmelsen er beslægtet med den ret til sletning, der følger af forordningens art. 17. I sin betænkning udtalte Straffelovrådet om forholdet mellem de to regelsæt:
»Det bemærkes endvidere, at Straffelovrådet er opmærksom på, at bestemmelsen giver anledning til væsentlige EU-retlige spørgsmål, herunder i hvilken form en sådan bestemmelse kan indføres ved siden af databeskyttelsesforordningen. Det kan således give anledning til tvivl, om EU-retten fører til, at der direkte i lovteksten skal henvises til pligten til at slette efter databeskyttelsesforordningen, således at det udtrykkeligt fremgår af bestemmelsen (og ikke kun af bemærkninger til et lovforslag), at den – for oplysninger omfattet af forordningen – kun har karakter af håndhævelse og ikke i sig selv fastsætter en forpligtelse til sletning. Straffelovrådet finder, at dette spørgsmål bør overvejes videre af Justitsministeriet, inden der eventuelt fremsættes lovforslag med en sådan bestemmelse om sletning.«202202. Betænkning 1563/17, s. 194.
Side 137
I lovforslaget er der ikke i lovteksten indsat en direkte henvisning til forordningen som overvejet af Straffelovrådet, men bemærkningerne anfører, at bestemmelsen ikke vil indeholde en selvstændig forpligtelse til sletning inden for forordningens område. Som eksempler på situationer, hvor den foreslåede straffelovsbestemmelse vil finde anvendelse, angiver bemærkningerne en informationshandling, der ligger uden for forordningens materielle anvendelsesområde (f.eks. oplysninger om juridiske personer), behandling i journalistisk øjemed efter art. 85 og slettepligt for andre end dataansvarlige (idet slettepligten efter forordningen kun gælder for dataansvarlige).203203. L 240, s. 31. Eksemplerne illustrerer, at art. 17 udtømmende gør op med slettepligten inden for forordningens område. Indtræder der ikke slettepligt, fordi de specifikke kriterier for sletning efter art. 17 ikke er opfyldt, kan der ikke pålægges en supplerende slettepligt efter en eventuel straffelovsbestemmelse herom.
Samlet set kan de eksisterende regler om freds- og ærekrænkelser i deres helhed opretholdes under forordningen, men det nationale råderum er ikke ubegrænset og fører til ganske komplekse spørgsmål om forholdet mellem de to regelsæt både for den konkrete retsanvendelse og for eventuel fremtidig lovgivning på området.
6. Forholdet mellem databeskyttelsesloven og reglerne om freds- og ærekrænkelser
Det fælles anvendelsesområde for persondatareglerne og reglerne om freds- og ærekrænkelser rejser ikke kun spørgsmål om det nationale råderum men også – inden for dette råderum – om forholdet mellem sidstnævnte regler og databeskyttelsesloven.
Databeskyttelsesloven § 1, stk. 3, fastslår, at »regler om behandling af personoplysninger i anden lovgivning, som ligger inden for databeskyttelsesforordningens rammer for særregler om behandling af personoplysninger, går forud for reglerne i denne lov«. Det er nok ikke straffelovens regler, der har været i fokus ved udarbejdelsen af bestemmelsen, og det er heller ikke en sproglig naturlighed at betegne reglerne om freds- og ærekrænkelser som »særregler om behandling af personoplysninger«. Ikke desto mindre regulerer disse regler som beskrevet behandling af per-Side 138sonoplysninger. Uanset om de sprogligt er formuleret anderledes og delvist hviler på andre hensyn end de persondataretlige regler, synes der ikke at være belæg for at undtage dem fra bestemmelsen i § 1, stk. 3. Inden for de to regelsæts fælles anvendelsesområde og inden for det nationale råderum vil reglerne om freds- og ærekrænkelser derfor gå forud for reglerne i databeskyttelsesloven.
I sager, hvor der kan idømmes fængselsstraf efter begge regelsæt, betyder det, at forholdet skal pådømmes og strafniveauet fastsættes efter straffelovens regler. Det kan overvejes, om § 1, stk. 3, kan udstrækkes til situationer, hvor lovudgiver udtrykkeligt har taget stilling til, at der ikke skal straffes efter reglerne om freds- og ærekrænkelser. Fremgår det med tilstrækkelig tydelighed, at lovgiver har taget stilling til, at et forhold ikke skal være strafbart, må princippet i § 1, stk. 3, formentlig føre til, at der heller ikke kan idømmes fængselsstraf efter databeskyttelsesloven. Dette resultat stemmer bedst overens med den lex specialis-tanke, der ligger bag § 1, stk. 3. Det vil eksempelvis indebære, at det ikke er muligt at idømme fængselsstraf efter databeskyttelsesloven for videregivelse af billeder optaget på frit tilgængelige steder, når lovgiver har besluttet, at dette ikke skal medføre straf efter § 264 d som nærmere beskrevet ovenfor.
Også i sager, hvor begge regelsæt vil føre til bødestraf, må udgangspunktet være, at forholdet med hjemmel i § 1, stk. 3, skal pådømmes efter straffelovens regler om freds- og ærekrænkelser. I disse sager påvirker forordningen imidlertid indirekte forholdet mellem straffeloven og databeskyttelsesloven. Som beskrevet ovenfor er Danmark forpligtet til at indføre et bødesystem, der har samme effekt som det administrative bødesystem efter forordningens art. 83. Dette er gjort med bødehjemlen i databeskyttelsesloven § 41, som derfor har karakter af en art. 83-sanktion. Det fremgår også af forarbejderne, at der skal sikres et bødeniveau, der svarer til de andre EU-landes. Lovens forudsætning er således, at det bødeniveau, der udmønter sig på EU-plan, skal inddrages ved fastsættelsen af bødernes størrelse efter § 41. Uanset § 1, stk. 3, er der næppe grundlag for at antage, at dette ikke skulle gælde for persondatakrænkelser omfattet af reglerne om freds- og ærekrænkelser, og det ville formentlige også være i strid med forudsætningen i forordningen om, at det danske bødesystem skal have samme effekt som og i det hele taget så vidt muligt svare til bødesystemet efter art. 83. Forarbejderne til databeskyttelsesloven forholder sig ikke til spørgsmålet, men samme opfattelse synes lagt til grund af Justitsministeriet i L 240, s. 38, hvor følgende anføres:
Side 139
»Med lovforslaget forslås en række strafskærpelser for overtrædelse af de i § 1, nr. 4-7, 9-10 og 12, samt § 2, nr. 2 og 3, omhandlede strafbestemmelser. Overtrædelser af visse af bestemmelserne vil samtidig kunne udgøre overtrædelser af databeskyttelsesforordningen, og bestemmelserne vil i sådanne tilfælde være specifikke bestemmelser, der tilpasser anvendelsen af forordningen. Det fremgår af betænkning nr. 1565/2017, at sanktionerne, der fastsættes for sådanne bestemmelser, skal være effektive, stå i rimeligt forhold til overtrædelsen og have afskrækkende virkning, ligesom det for fastsættelsen af sådanne sanktioner må antages, at de skal fastsættes forholdsmæssigt i forhold til bødeniveauet i forordningens artikel 83 for herved at sikre en virkning svarende til forordningens, jf. herved side 947. Efter Justitsministeriets vurdering indebærer det, at udmåling af straf for overtrædelser af de specifikke bestemmelser i lovforslaget, der tilpasser anvendelsen af forordningen, skal ske forholdsmæssigt i forhold til strafniveauet for overtrædelser af databeskyttelsesforordningen og databeskyttelsesloven.«
Som også anført i forarbejderne til § 41, må det forventes, at forordningen vil medføre en betydelig skærpelse af bødeniveauet ved persondatakrænkelser. Denne skærpelse må derfor også slå igennem ved idømmelse af bøder for freds- og ærekrænkelser efter straffeloven. Det ville også være uhensigtsmæssigt, hvis der var meget forskellige bødeniveauer for forskellige typer af privatlivskrænkelser uden anden begrundelse, end at bøderne var udstedt efter forskellige regelsæt.
7. Håndhævelsen
Samspillet mellem persondatareglerne og reglerne om freds- og ærekrænkelse giver også anledning til overvejelser i relation til reglernes håndhævelse. I det følgende drøftes først nogle spørgsmål knyttet til påtalekompetencen, dernæst anklagemyndighedens eventuelle forpligtelse til at rejse tiltale efter databeskyttelsesloven ved freds- og ærekrænkelser og afslutningsvis forældelse.
7.1. Påtalekompetencen
Det følger af strfl. § 275, at reglerne om freds- og ærekrænkelser er undergivet privat påtale. Fredskrænkelserne (§§ 263-264 d) kan dog undergives offentlig påtale, når den forurettede anmoder om det. Baggrunden for den private påtale er, at den forurettede kan have et ønske om at undgå eksponering af krænkelsen og de oplysninger der indgår heri gennem en straffesag. Den forurettede kan derfor selv vælge, om der skal rejses tiltale.
Side 140
Såfremt L 240 vedtages, underlægges ærekrænkelser i visse situationer også betinget offentlig påtale, herunder hvis en alvorlig beskyldning er usand eller udbredt anonymt, jf. forslag til ny § 275.
Straffebestemmelserne i databeskyttelsesloven er ikke undergivet privat påtale. Det er derfor anklagemyndigheden, som skal rejse tiltale i disse sager, og den registrerede kan således ikke selv beslutte, om sagen skal rejses.
Den lidt paradoksale konsekvens af denne forskel er, at anklagemyndigheden kan rejse tiltale efter databeskyttelsesloven i tilfælde, hvor den registrerede har valgt, at der ikke skal rejses tiltale for samme forhold efter straffeloven. Dette forhold kan dog nok tages i betragtning ved vurderingen, om tiltale skal opgives eller frafaldes efter reglerne herom i retsplejeloven §§ 721 og 722.
Politi og anklagemyndighed skal derfor være opmærksomme på, at en anmeldelse om ærekrænkelse ikke skal afvises med henvisning til, at den er undergivet privat påtale, hvis forholdet vil kunne straffes efter databeskyttelsesloven.
Forskellen bevirker endvidere at et afkald på retten til at anmode om offentlig påtale for overtrædelse af reglerne om freds- og ærekrænkelser ikke griber det eventuelle strafansvar efter databeskyttelsesloven. Dette illustreres af dommen U 2016.2666 V, hvor landsretten (med dissens) frikendte en tidligere havnedirektør og en ansat for overtrædelse af strfl. § 263, stk. 1, nr. 1 og 2 (forbud mod at bryde lukket meddelelse eller skaffe sig adgang til andres gemmer) ved uberettiget at have udlæst en kranfører og sikkerhedsrepræsentants sms-korrespondance, fordi kranføreren ved sin fratrædelsesaftale fandtes at have givet afkald på retten til at anmode om offentlig påtale. I det omfang forholdet også udgjorde en overtrædelse af den dagældende persondatalov (som der ikke var rejst tiltale efter), kunne der ikke være sket frifindelse med henvisning til manglende påtalekompetence.
7.2. Pligt til at rejse tiltale efter databeskyttelsesloven?
Anklagemyndigheden skal som udgangspunkt rejse tiltale i alle sager, når den vurderer, at sagen vil føre til domsfældelse. Indebærer et hændelsesforløb overtrædelser af flere bestemmelser, er anklagemyndigheden dog ikke nødvendigvis forpligtet til at rejse tiltale for overtrædelse af alle bestemmelserne. Anklagemyndigheden vil bl.a. kunne vælge kun at rejse tiltale efter bestemmelser med en skærpet strafferamme. Såfremt et hæn-Side 141delsesforløb indebærer overtrædelse af både straffeloven og særlovgivning, vil der ofte kun blive rejst tiltale efter straffeloven, medmindre anklagemyndigheden vurderer, at særlovsbestemmelsen fører til en strengere straf. I Rigsadvokatmeddelelsen om digitale sexkrænkelser af 16. april 2018 anføres således også, at anklagemyndigheden (først) skal overveje, om der er tale om en persondataretlig krænkelse i de tilfælde, hvor videregivelsen ikke er af omfattet af straffelovens bestemmelser.
Det kan overvejes, om Danmarks EU-retlige forpligtelse til at etablere et persondataretligt bødesystem, der har samme effekt som det administrative bødesystem efter forordningens art. 83, begrænser muligheden for kun at rejse tiltale efter straffelovsbestemmelserne.
Som beskrevet ovenfor skal domstolene inddrage kriterierne i forordningens art. 83, stk. 2, ved fastlæggelsen af bødeniveauet efter databeskyttelsesloven § 41. En sådan forpligtelse gælder ikke ved bødefastsættelsen efter straffeloven. Det følger endvidere af lovbemærkningerne, at anklagemyndigheden skal høre Datatilsynet, inden der træffes afgørelse om tiltalespørgsmålet, og at tilsynets udtalelse skal tillægges vægt. Som led heri skal tilsynet udtale sig om bødeniveauet, herunder niveauet i andre EU-lande.
Vælger anklagemyndigheden kun at rejse tiltale efter straffeloven, er der ikke grundlag for at involvere Datatilsynet i sagen,204204. Er sagen anmeldt af Datatilsynet, vil der selvsagt bestå en dialog med tilsynet, og det må forventes, at anklagemyndigheden vil underrette tilsynet om sin afgørelse. og de særlige foranstaltninger, der skal sikre, at det danske bødesystem svarer til bødesystemet efter art. 83, kommer formelt ikke i anvendelse. Må det anses for sikkert, at den tiltalte vil få en straf efter straffeloven, der som minimum er lige så streng som efter databeskyttelsesloven, er der imidlertid ingen reelle grunde til at rejse tiltale efter databeskyttelsesloven for at iværksætte de nævnte harmoniseringsforanstaltninger. Til gengæld forudsætter kravet om, at bødeniveauet efter reglerne om freds- og ærekrænkelser skal afspejle bødeniveauet efter databeskyttelsesloven, nok, at anklagemyndigheden har en tæt dialog med Datatilsynet om bødeniveauet i alle sager, der indebærer strafbar behandling af personoplysninger, uanset om der alene rejses tiltale efter straffeloven, i hvert fald indtil der måtte være etableret et fast bødeniveau på det pågældende område.205205. Rigsadvokatens meddelelse i sager om overtrædelse af databeskyttelsesreglerne af 25. maj 2018 lægger også op til et tæt samarbejde med Datatilsynet, men forholder sig dog ikke særskilt til den situation, hvor tiltale kan rejses både efter straffeloven og persondatareglerne.
Side 142
Er der blot nogen usikkerhed om, hvorvidt der vil ske domfældelse efter straffeloven, bør anklagemyndigheden rejse en subsidiær tiltale for overtrædelse af de persondataretlige regler, når forholdet vurderes omfattet af den persondataretlige strafsanktionering. Det gælder selvsagt tilsvarende, hvis anklagemyndigheden vurderer, at der kun kan idømmes straf efter de persondataretlige regler.
Dette gælder først og fremmest, når gerningsindholdet efter de strafferetlige regler ikke er opfyldt. I den ovennævnte U 2017.2627 V (og muligvis også U 2015.3802 Ø), kan det eksempelvis ikke udelukkes, at der kunne idømmes bødestraf efter de persondataretlige regler, uanset at der skete frifindelse efter § 264 d, fordi billederne var optaget på et frit tilgængeligt sted.
Er en krænkende behandling af personoplysninger sket uagtsomt, vil der ligeledes kunne straffes efter databeskyttelsesloven men ikke efter reglerne om freds- og ærekrænkelser, jf. strfl. § 19.
7.3. Forældelse
Det følger af strfl. § 93, at forældelsesfristen er 2 år, når der ikke er hjemlet højere straf end 1 års fængsel for en overtrædelse og 5 år, når der ikke er hjemlet højere straf end 4 års fængsel. De fleste overtrædelser af straffelovens regler om freds- og ærekrænkelser vil dermed være undergivet en 2-årig forældelsesfrist. En overtrædelse af § 264 d kan under særlig skærpende omstændigheder give op til 3 års fængsel og dermed blive omfattet af den 5-årige forældelsesfrist. Det gælder dog efter § 96, stk. 1, at adgangen til privat påtale og begæring af offentlig påtale bortfalder, hvis den forurettede ikke anlægger sag eller begærer offentlig påtale inden for 6 måneder efter at have fået kendskab til krænkelsen.
De generelle forældelsesfrister i strfl. § 93 er fraveget ved overtrædelse af databeskyttelsesloven. Det følger således at lovens § 41, stk. 7, at forældelsesfristen for overtrædelse af forordningen og loven er 5 år. Baggrunden herfor er ifølge forarbejderne, at sagerne forventes at kunne antage en vis størrelse og kompleksitet, der kan gøre det vanskeligt at anlægge sag inden for de almindelige forældelsesfrister.206206. L 68, s. 166. Forarbejderne peger endvidere på, at behovet for at inddrage tilsynsmyndighederne også kan forlænge sagsbehandlingstiden.
Side 143
Det følger af strfl. § 93, stk. 3, at når samme handling indebærer flere lovovertrædelser med forskellige forældelsesfrister efter § 93, gælder den længste af forældelsesfristerne for samtlige overtrædelser. Efter ordlyden af § 93, stk. 3, gælder princippet om den længste forældelsesfrist kun mellem forældelsesfrister, der er fastsat efter § 93, stk. 1 og 2, hvilket forældelsesfristen for overtrædelse af databeskyttelsesloven ikke er. Det er dog den almindelige antagelse, at § 93, stk. 3, også griber forældelsesfrister, der er fastsat i henhold til særlovsbestemmelser.207207. Se således også Vagn Greve, Poul Dahl Jensen og Gorm Toftegaard Nielsen, Kommenteret straffelov, alm. del, 10. udgave, Jurist- og Økonomforbundets Forlag, 2013, s. 566 f. og betænkning nr. 1441/2004, s. 7. Dette følger i et vist omfang også af strfl. § 2, hvorefter lovens kap. 1-11 (herunder § 93) gælder for alle strafbare forhold, dvs. også for særlovsovertrædelser. Konsekvensen heraf er, at reglerne om freds- og ærekrænkelser vil blive grebet af den længere forældelsesfrist i databeskyttelsesloven, når et forhold indebærer overtrædelse af begge regelsæt. Dette vil navnlig kunne få praktisk betydning i de tilfælde, hvor strafsanktionen er hårdest efter reglerne om freds- og ærekrænkelser. Også i denne relation skal politi og anklagemyndighed derfor have blik for samspillet mellem de strafferetlige og de persondataretlige regler.
I én af dommene208208. Østre Landsret, sagsnummer S-467-18, afsagt 18. april 2018. i det såkaldte Umbrella-sagskompleks frifandt Østre Landsret for overtrædelse af § 264 d med henvisning til, at forholdet var forældet, men dømte for blufærdighedskrænkelse efter strfl. § 232 (der er undergivet en længere forældelsesfrist). Det er vanskeligt at se, hvorfor forældelsesfristen for § 264 d ikke blev grebet af forældelsesfristen i § 232 efter § 93, stk. 3, hvilket dog ikke havde betydning for straffastsættelsen i den konkrete sag men illustrerer, at princippet om den længste forældelsesfrist kan få relevans. Dette vil særligt gælde, når reglerne om freds- og ærekrænkelser gribes af den lange 5-årig forældelsesfrist i databeskyttelsesloven.
8. Afsluttende bemærkninger
Den teknologiske udvikling har givet en markant stigning i antallet af digitale privatlivskrænkelser, der kan medføre betydelige skadesvirkninger for ofrene. I bekæmpelsen af dette problem og beskyttelsen af det moderne privatliv i en digital virkelighed spille straffelovens regler om freds- og ærekrænkelser og de persondataretlige regler en central og til dels ny rol-Side 144le. Slægtskabet mellem disse to regelområder er ikke nyt, og allerede med persondataloven fra 2000, blev persondatakrænkelser strafsanktioneret. De to områder har dog indtil videre i det væsentlige levet hver deres liv. Dette er imidlertid ikke længere muligt. Databeskyttelsesforordningen og den supplerende databeskyttelseslov og disse regelsæts bødesystem har rejst nye og komplekse spørgsmål om forholdet mellem persondataretten og straffeloven, som kan have betydning for både lovgiver og retsudøver. Endvidere har den stigende praktiske betydning af reglerne gjort det endnu vigtigere at have blik for begge regelsæt for at sikre en fuldt dækkende sagsbehandling.
Dette gælder ikke mindst muligheden for at anvende de persondataretlige strafsanktioner som supplement til straffelovens, eksempelvis hvor gerningsindholdet efter straffelovens regler ikke er opfyldt, eller der kun er handlet uagtsomt. Den teknologiske udvikling gør også, at der kan opstå nye type af krænkelser, som ikke dækkes af straffelovens regler om freds- og ærekrænkelser, fordi lovgiver ikke har haft mulighed for at tage højde for dem. Da de persondataretlige regler har et langt bredere anvendelsesområde, vil de i mange tilfælde dække nye typer af krænkelser og dermed potentielt give hjemmel for et strafansvar. Et eksempel herpå er den omtalte bestemmelse om registrering af en andens adfærd ved hjælp af gps-overvågning i L 240. Denne handling er i dag ikke selvstændigt kriminaliseret i straffeloven men vil kunne udgøre en overtrædelse af de persondataretlige regler og dermed potentielt straffes efter disse regler. Et andet eksempel er identitetstyveri ved oprettelsen af falske profiler i andres navn på sociale medier. Heller ikke dette er selvstændigt kriminaliseret i straffeloven (hvorimod brug af den falske identitet til at begå eksempelvis økonomisk kriminalitet kan straffes efter bestemmelserne herom). I betænkning 1563/2017 drøftede Straffelovudvalget, om der var behov for særskilt kriminalisering i straffeloven af denne form for identitetsmisbrug, men fandt, at dette ikke var tilfældet.209209. Betænkning 1563/2017, s. 42 ff. En sådan brug af andres navn og billede på et socialt medie vil imidlertid i mange tilfælde være en persondatakrænkelse og dermed potentielt udløse et strafansvar efter de persondataretlige regler.
Hvilket dog synes overset i betænkning 1563/2017, når det anføres, at der kan »... tænkes former for identitetstyveri, som i dag falder uden for det strafbare område [hvilket i den konkrete kontekst sigter til straffeloven], og hvor der derfor i dag alene efter om-Side 145stændighederne vil kunne reageres civilretligt eller eventuelt med et tilhold, så fortsat identitetstyveri, der medfører, at den krænkede modtager henvendelser, kan straffes«.210210. Betænkning 1563/2017, s. 43.
Det er en vigtig, men også kompleks opgave både lovgiver og retsudøvere står over for i de kommende år, når bekæmpelsen af digitale privatlivskrænkelser skal ske med blik for både straffelovens regler, de persondataretlige regler og ikke mindst samspillet mellem disse regelsæt. Også på dette område må det konstateres, at persondataretten er blevet allemandseje. Om man vil det eller ej.
Side 146
Fodnoter samlet
172. Tak til professor, dr.jur. Peter Blume, chefkonsulent Anders Lotterup og databeskyttelseschef Christian Wiese Svanberg for gode kommentarer.
173. Lovbekendtgørelse nr. 977 af 9. august 2017 med senere ændringer.
174. Forordning 2016/679 af 27. april 2016 (ofte benævnt »GDPR«).
175. Lov nr. 502 af 23. maj 2018.
176. Civilretligt suppleres disse regler navnlig af erstatningsansvarsloven § 26 om tortgodtgørelse. En privatlivskrænkelse kan også udløse erstatning efter de almindelige erstatningsregler, såfremt den forurettede kan dokumentere et økonomisk tab. Persondataforordningen indeholder i art. 82 en bestemmelse om erstatning. De civilretlige regler behandles ikke i denne artikel.
177. Det gælder her som andre steder, at reglerne skal anvendes inden for rammerne af de grundlæggende rettigheder. Hvor det eksempelvis i det følgende konkluderes, at der kan idømmes straf efter de persondataretlige regler som supplement til straffelovens regler, forudsættes, at dette ikke stride mod den grundlæggende ret til ytringsfrihed, jf. herved forordningens præambelbetragtning 4 og databeskyttelsesloven § 3, stk. 1. Særligt i sager om ærekrænkelser kan hensynet til ytringsfrihed spille en væsentlig rolle i den persondataretlige vurdering.
178. Justitsministeriets udvalg om registerlovgivningen (der afgav betænkning nr. 1345/1997 om behandling af personoplysninger) og Justitsministeriets udvalg om økonomisk kriminalitet og datakriminalitet (der bl.a. afgav betænkning nr. 1377/1999 om børnepornografi og efterforskning og betænkning nr. 1417/2002 om IT-kriminalitet).
179. Gjellerup, 1. udgave, 2001 og 2. udgave, 2005. Sidstnævnte er frit tilgængelig på jurabog.dk.
180. IT-retten, Gjellerup, 1. udgave, s. 541.
181. Mads Bryde Andersen m.fl. (red.), Festskrift til Mogens Koktvedgaard, Jurist- og Økonomforbundets Forlag, 2003.
182. For en nærmere gennemgang af de persondataretlige regler henvises til speciallitteraturen. Se f.eks. Henrik Waaben & Kristian Korfits Nielsen, Lov om behandling af personoplysninger med kommentarer, 3. udgave, Djøf Forlag, 2015 (omhandler den nu ophævede persondatalov men har fortsat relevans i beskrivelserne af reglernes materiale anvendelsesområde), Peter Blume, Den nye persondataret, 2. udgave, Djøf Forlag, 2018, Charlotte Bagger Tranberg, Personoplysninger, kap. 3 i Jan Trzaskowski (red.), Internetretten, 3. udgave, Ex Tuto Publishing, 2017, Henrik Udsen, It-ret, kap. 9, 4. udgave, Ex Tuto Publishing, 2018 (under udgivelse).
183. Lovforslag L 68, FT 2017-18 (herefter »L 68«), s. 161.
184. Estland har også fået en særlig bødeordning, men under denne er det stadig den nationale tilsynsmyndighed, der udsteder bøden.
185. L 68, s. 163.
186. L 68, s. 166.
187. L 68, s. 63 f.
188. L 68, s. 165.
189. L 68, s. 163.
190. For en nærmere gennemgang af reglerne om freds- og ærekrænkelser henvises til speciallitteraturen. Se f.eks. Søren Sandfeld Jakobsen & Sten Schaumburg-Müller, Medieretten, Djøfs Forlag, 2013, s. 157 ff. og Gorm Toftegaard Nielsen, Thomas Elholm & Morten Niels Jakobsen, Kommenteret straffelov, speciel del, 11. udgave, Djøfs Forlag, 2017, s. 501 ff.
191. Begge bestemmelser dækker dog også digitale medier.
192. L 2018 257 af 10. april 2018
193. Betænkning nr. 601/1971 om privatlivets fred, s. 62.
194. Forslag til lov om ændring af straffeloven, retsplejeloven, erstatningsansvarsloven og medieansvarsloven, L 240, FT 2017-18.
195. Jf. Karsten Engsig Sørensen, Poul Runge Nielsen og Jens Hartig Danielsen, EU-Retten, Jurist- og Økonomforbundets Forlag, 2014, s. 96 med henvisning til praksis fra EU-Domstolen.
196. I Justitsministeriets notat om vurdering af særlovgivning på Justitsministeriets område i forhold til EU’s generelle databeskyttelsesforordning, betænkning nr. 1565/2017, del II, s. 4 ff., anføres heller ikke, at forordningen skulle nødvendiggøre ændringer i straffelovens regler om freds- og ærekrænkelser (eller straffeloven i øvrigt).
197. De to afgørelser ligger i forlængelse af U 2010.2448 H, hvor Højesteret fastslog, at det ikke var i strid med § 264 d, at et ugeblad bragte billeder af en kendt tv-værtinde, der badede topløs på en næsten mennesketom strand. Billederne var taget uden hendes viden med teleobjektiv. Højesteret henviste bl.a. til det anførte fra betænkning nr. 601/1971. De teknologiske muligheder i dag er helt anderledes end i 1971, og det kan diskuteres, om det bør være straffrit efter § 264 d at offentliggøre nøgenbilleder mv. på internettet, blot fordi de er taget uden for hjemmet. Se også kritisk til retstilstanden Trine Baumbach, TfK 2017.378 ff.
198. I U 2015.3802 Ø, hvor billederne var en reaktion på en verserende tvist mellem den tiltalte og de afbildede, kan det ikke udelukkes, at betragtninger om ytringsfrihed ville spille en rolle for den persondataretlige vurdering og en eventuel sanktionering.
199. C-468/10 (ASNEF) og C-582/14 (Breyer).
200. L 240, s. 45. Den samme opfattelse er lagt til grund i betænkning 1563/2017, s. 38.
201. L 240, s. 38.
202. Betænkning 1563/17, s. 194.
203. L 240, s. 31.
204. Er sagen anmeldt af Datatilsynet, vil der selvsagt bestå en dialog med tilsynet, og det må forventes, at anklagemyndigheden vil underrette tilsynet om sin afgørelse.
205. Rigsadvokatens meddelelse i sager om overtrædelse af databeskyttelsesreglerne af 25. maj 2018 lægger også op til et tæt samarbejde med Datatilsynet, men forholder sig dog ikke særskilt til den situation, hvor tiltale kan rejses både efter straffeloven og persondatareglerne.
206. L 68, s. 166.
207. Se således også Vagn Greve, Poul Dahl Jensen og Gorm Toftegaard Nielsen, Kommenteret straffelov, alm. del, 10. udgave, Jurist- og Økonomforbundets Forlag, 2013, s. 566 f. og betænkning nr. 1441/2004, s. 7.
208. Østre Landsret, sagsnummer S-467-18, afsagt 18. april 2018.
209. Betænkning 1563/2017, s. 42 ff.
210. Betænkning 1563/2017, s. 43.