31. maj 2016

Persondataforordning endeligt vedtaget i EU

EU har siden 2012 arbejdet med at styrke borgernes beskyttelse af persondata for at imødekomme udviklingen siden persondatadirektivet fra 1995. Den 14. april 2016 blev databeskyttelsesforordningen vedtaget. De nye regler træder i kraft den 25. maj 2018. Forordningen har direkte virkning for borgere, virksomheder og myndigheder i Danmark.

De nuværende regler findes i Persondataloven fra år 2000, som har levet et stille liv.

Den nye persondataforordning styrker borgernes retsbeskyttelse ved at udvide rettighederne, samtidig med at man indfører skærpede forpligtelser for de dataansvarlige og databehandlerne. Den nye persondataforordning tager afsæt i de hidtidigt gældende principper, hvorfor grundreglerne overordnet er de samme. Reglerne omfatter dermed fortsat al elektronisk behandling af personhenførbare oplysninger om en fysisk person. Der skelnes fortsat mellem forskellige kategorier af personfølsomme oplysninger. Der skal fortsat være både formåls- og hjemmelsgrundlag for at kunne behandle de konkrete data, og Datatilsynet fortsætter sit tilsyn med reglerne.

Det er bødeniveauet i databeskyttelsesforordningen, der umiddelbart er mest bemærkelsesværdigt. Det fremgår direkte af forordningens tekst, at bødeniveauet skal være afskrækkende, og niveauet er sat til 4 % af den årlige globale koncernomsætning eller 20 mio. euro. Til sammenligning er der i dansk regi en trykt landsretsafgørelse med et bødeniveau på 5.000 kr. Det nye sanktionsniveau bør i sig selv medføre betydeligt fokus på at overholde reglerne.

Derudover medfører forordningen, at der indføres regler om solidarisk hæftelse mellem dataansvarlig og databehandler for betaling af erstatning til den registrerede samt den registreredes ret til at få data glemt – dvs. slettet, og risikoanalyse og kortlægning af persondatabehandlinger. Der skal tillige ske offentliggørelse af lækage, udpegning af en intern databeskyttelsesrådgiver (Data Protection Officer), og udarbejdes interne retningslinjer for databehandlinger. Der indføres strengere sikkerhedskrav, større gennemsigtighed og indsigtsret for den registrerede, samt nye krav til behandling af oplysninger om børn. Derudover forpligter reglerne til, at persondatabeskyttelse indarbejdes både i design og standardindstillinger i databehandlingen.

Henset til sanktionsniveauet og de krav, forordningen stiller til dataansvarlige og databehandlere, må det forventes, at mange virksomheder skal til at tage persondata mere alvorligt og indføre eller omlægge sine processer for databehandling. Codex Advokater anbefaler, at virksomheder allerede nu går i gang med at kortlægge virksomhedens persondatastrømme (hvem behandler hvilke oplysninger og hvorfor) samt går i gang med at udarbejde interne retningslinjer for behandling af persondata

Vær opmærksom på at denne nyhed oprindeligt er udgivet den 31.05.2016, hvorfor der kan være kommet ændringer i lovregler, retspraksis, vejledninger mv. siden. Nyheden er en vejledning og kan ikke stå alene.

Vi anbefaler altid, at du kontakter Codex Advokater for at få konkret juridisk rådgivning omkring det pågældende område, herunder indholdet af gældende regler.