Forslag til nye EU-regler om beskyttelse af persondata

Europa-Kommissionen har i dag offentliggjort sit forslag til ny forordning om beskyttelse af persondata.

Kommissionen har længe barslet med et nyt regelsæt, der skal skabe en større ensartethed i EU, ligesom de nuværende direktivbaserede regler trænger til en revision for at kunne følge med den teknologiske udvikling.

Behov for ensartethed
Netop behovet for ensartethed har ifølge Kommissionen nødvendiggjort, at reglerne fremover fastsættes i en forordning, der modsat et direktiv ikke skal implementeres i national lovgivning, men har direkte virkning. Dermed overlades der ikke nogen mulighed for, at de enkelte medlemsstater kan indføre særregler. Det fremsatte forslag til forordning indeholder dog især en række overordnede regler, som vil blive fulgt op af retningslinjer fra Kommissionen med henblik på at sikre en ensartet fortolkning.

Indholdsmæssigt lægges der op til en række væsentlige ændringer, som kan få stor betydning også for danske virksomheder. De vigtigste ændringer følger nedenfor.

Øgede krav til samtykke
Fremover vil samtykke ikke kunne bruges som behandlingsgrundlag i situationer, hvor der er en væsentlig ubalance mellem den registrerede og den dataansvarlige i form af et afhængighedsforhold. Dette vil fx gælde for samtykke afgivet i forbindelse med et ansættelsesforhold. For såkaldte informationssamfundstjenester vil der kun kunne behandles personoplysninger om børn under 13 år, hvis der indhentes samtykke fra en forælder eller værge.

Samtykke skal være tydeligt adskilt fra eventuel øvrig tekst. Samtykke må altså ikke være indeholdt i fx leveringsvilkår, abonnementsaftale, konkurrencevilkår osv.

Den registreredes rettigheder kommer endnu mere i fokus
Den registrerede har en ret til at blive glemt - the right to be forgotten - fx at blive slettet fuldkommen fra sociale netværk osv. Den dataansvarlige vil være forpligtet til at sørge for, at oplysinger, som kan være kopieret på internettet i form af links eller via søgemaskiner, bliver slettet.

Den registrerede skal have mulighed for at flytte sine egne data fra en onlinetjeneste til en anden - fx fra Facebook til Google.

Ved sikkerhedsbrud indføres en underretningspligt til tilsynsmyndighederne, som det kendes fra televerdenen. Udgangspunktet er, at underretning skal ske senest 24 timer, efter den dataansvarlige er blevet opmærksom på sikkerhedsbruddet. Samtidig vil der være en pligt til at underrette den registrerede så hurtigt som muligt, hvis sikkerhedsbruddet kan få konsekvenser for den pågældende.

Selvregulering
Der lægges op til mindre forudgående kontrol i form af anmeldelser og godkendelser fra myndighedernes side. Til gengæld pålægges virksomhederne en pligt til selv at sørge for, at de lever op til reglerne ("accountability"). Virksomhederne får bl.a. pligt til at udarbejde og implementere procedurer for behandling af persondata, og de får en pligt til at dokumentere behandlingen af persondata.

Der stilles krav om, at virksomheder med mere end 250 medarbejdere og alle offentlige myndigheder skal udpege en såkaldt "data protection officer" (DPO), som det kendes i dag fra bl.a. Storbrittanien. Denne DPO skal sikre, at virksomheden/myndigheden overholder reglerne i forordningen.

Dataoverførsler gøres nemmere
Dataoverførsler mellem koncernforbundne virksomheder og outsourcing til databehandlere fx i form af cloud computing er øget markant inden for de seneste år. For at lette sådanne overførsler lægger Kommissionen op til, at det bliver nemmere for internationale virksomheder at indføre Binding Corporate Rules (BCR), som kan regulere overførslen mellem koncernselskaber.

BCR skal fremover kun godkendes af myndighederne i ét medlemsland og formentlig uden høring af myndighederne i andre berørte medlemslande. Der åbnes op for, at Kommissionen kan fastsætte regler om, at eksterne databehandlere kan tilslutte sig en koncerns BCR, sådan at man undgår at skulle have godkendelse af yderligere databehandleraftaler. Samtidig lægges der op til, at overførsel på baggrund af Kommissionens standardbestemmelser (de såkaldte modelkontrakter) ikke længere kræver forudgående tilladelse fra den nationale tilsynsmyndighed.

Hårdere straffe
I Danmark har bødestørrelserne på persondataområdet indtil videre været yderst overkommelige. Fremover lægger Kommission op til en markant øgning af bødestørrelsen.

Bøder kan fremover udgøre mellem EUR 250.000 - 1 mio. eller:

• op til 0,5 % af en virksomheds årlige omsætning ved mindre overtrædelser, fx ved fejlagtig opkrævning af gebyr ved indsigt
• op til 1 % ved lidt mere alvorlige overtrædelser, fx overtrædelse af reglerne om at give forståelig information ved indsamling af oplysninger
• op til 2 % ved alvorlige overtrædelser, fx at behandle følsomme personoplysninger uden tilstrækkelig hjemmel eller i strid med reglerne for samtykke.

Hvad nu?
Forslaget til forordning skal nu gennem en lang hørings- og forhandlingsfase i Europa-Parlamentet og i Rådet. Det må forventes, at denne fase kan tage i hvert fald et år - måske længere. Forordningen foreslås at træde i kraft 2 år efter endelig vedtagelse.

KOM TIL MORGENMØDE, OG HØR MERE
Kromann Reumert vil snarest afholde et morgenmøde om emnet. Hvis du vil vide mere om forslaget og de foreslåede nye reglers betydning for din virksomhed, så hold øje med hjemmesiden, hvor vi åbner for tilmelding, så snart datoen for morgenmødet er fastlagt.

Kontakt: Pia Kirstine Voldmester, e-mail: pkv@kromannreumert.com