Enighed om persondataforordningen

Print

Skrevet af Jesper Rye Jensen d. 15/1 - 2016

Den 15. december 2015 blev forhandlingerne om persondataforordningen afsluttet, og persondataforordningen har nu fået sin endelige ordlyd. Der har været tale om et meget langstrakt forløb med mange ændringsforslag, der tog sin begyndelse tilbage i 2011. Det har dog fra starten været helt sikkert, at forordningen styrede mod en skærpelse af beskyttelsen af enkeltpersoner.

Den endelige forordning blev ikke en totalharmonisering, som der ellers var lagt op til fra starten, idet forordningen på flere områder overlader det til medlemslandene at fastsætte de nærmere regler. Selvom den endelige tekst nu er færdig, er forordningen ikke vedtaget endnu. Dette forventes at ske i løbet af januar i år. Når forordningen er vedtaget, forventes den at træde i kraft eftger en 2-årig overgangsperiode. Forordningen vil således først være i kraft i 2018.

Følgende ændringer og nyskabelser i forordningen kan nævnes:

Forordningens anvendelsesområde er udvidet i forhold til de nugældende regler, idet forordningen i modsætning til de nugældende regler, der alene anvendelse inden for EU, også finder anvendelse på virksomheder, der er beliggende uden for EU, hvis de pågældende virksomheder udbyder tjenester i EU og dermed behandler oplysninger om EU-borgere.

Dernæst vil der fremover bliver stillet krav om, at alvorligere brud på datasikkerheden rapporteres til de nationale myndigheder inden for 72 timer. Samtidig indføres der historisk høje bødestraffe. For virksomheder vil bøderne kunne nå op på 4 % af den globale koncernomsætning. For andre kan bøden nå op 20 mio. euro. Der er altså tale om helt andre bødeniveauer end man kender fra dansk ret i øvrigt.

Der bliver stillet krav om, at der i den offentlige sektor skal udnævnes en Data Protection Officer (DPO). Det samme krav vil blive stillet virksomheder, der har som sin kerneaktivitet og virksomheder, som i større omfang behandler følsomme oplysninger så som behandling af persondata helbredsoplysninger. DPO’en skal blandt andet føre et register over databehandlingsprocesserne.

Enkeltpersoner skal have flere oplysninger om hvordan hans data behandles, ligesom han skal have være lettere tilgængelig, og fremgå på en klar og tydelig måde. Hvis en person beder om indsigt i hvilke oplysninger, der er registreret om ham, skal han have oplysningerne udleveret senest 4 uger efter anmodningen er fremsat. Endvidere skal oplysningerne udleveres uden omkostning for den registrerede.

EU har allerede haft lejlighed til at tage stilling til enkeltpersoners ret til at få slettet sine personoplysninger hos en given virksomhed også kaldet ”retten til at blive glemt”, og som en naturlig følge heraf, er der taget stilling til dette i forordningen. Men har som udgangspunkt ret til at blive glemt, medmindre databehandleren kan godtgøre, at han har vægtige grunde til at beholde dataene.

Endelig har man i et vist omfang nu valgt en risikobaseret tilgang til persondatabeskyttelse, hvor databehandlerens forpligtelser afhænger af de faktiske risici, der er i forbindelse med databehandlingen. Dette er ikke ensbetydende med, at virksomhederne kan læne sig tilbage, hvis de vurderer, at der kun er mindre risiko. Virksomheden skal fortsæt kunne dokumentere, at reglerne er overholdt, og at eksempelvis er foretaget en egentlig risikovurdering.

Ovenstående er en kort præsentation af persondataforordningen. Jeg vil frem mod forordningens ikrafttræden gå mere i dybden med de enkelte elementer.