5 persondataretlige fokuspunkter i 2020

I 2020 kan du og din virksomhed med fordel rette opmærksomheden mod 5 begivenheder, der har betydning for det persondataretlige område. Vi giver dig her et overblik over de væsentligste fokuspunkter for dig.

1. Brexit

Den 31. januar 2020 forlod Storbritannien EU. Den 20. december 2019 godkendte Underhusets medlemmer dog Boris Johnsens forhandlede aftale om en overgangsperiode, hvilket baner vejen for et soft Brexit. Europa-Parlamentet godkendte denne plan den 29. januar 2019.

Overgangsperioden strækker sig fra den 1. februar 2020 til den 31. december 2020, og dermed vil EU-lovgivningen som udgangspunkt finde anvendelse i Storbritannien indtil udgangen af 2020. Det indebærer, at man kan overføre personoplysninger fra EU til Storbritannien på samme vilkår som nu.  

Ved periodens udløb vil Storbritannien som udgangspunkt blive betragtet som et usikkert tredjeland efter persondataforordningen, medmindre Kommissionen godkender Storbritannien som et sikkert tredjeland.

 

Læs vores seneste omtale af Brexit
Læs også ICO's FAQ om Brexit og databeskyttelse

2. Whistleblowerdirektivet og den kommende danske whistleblowerlov 


I oktober 2019 vedtog EU's Ministerråd et whistleblowerdirektiv, der forpligter arbejdsgivere med minimum 50 ansatte til at etablere en whistleblowerordning, og som udvider området for, hvornår der som minimum skal ske indberetning af overtrædelser inden for en række specifikke områder. 

Direktivet trådte i kraft den 17. december 2019, og det skal implementeres inden den 17. december 2021. 

Det er endnu uklart, hvornår der i Danmark fremsættes lovforslag vedrørende implementeringen af whistleblowerdirektivet i en dansk whistleblowerlov. Hvis din virksomhed er forpligtet til et etablere en whistleblowerordning i henhold til direktivet, eller hvis din virksomhed ønsker at etablere en ordning frivilligt, er imidlertid velkomne til at kontakte os, så vi kan finde en løsning, som er skræddersyet til jeres behov. 

Læs vores omtale af whistleblowerdirektivets endelige vedtagelse 

3. Det britiske datatilsyn ventes endeligt at vedtage bøde til hotelkæden Marriott for manglende persondataretlig due diligence

I juli 2019 udsendte det britiske datatilsyn Information Commissioner's Office, ICO, sit udkast til afgørelse, hvori tilsynet tilsigter at pålægge hotelkæden Marriott en bøde på 99 millioner britiske pund. ICO har indvilliget i at forlænge fristen for den endelige vedtagelse af bøderne til den 31. marts 2020. Sagen er betydningsfuld, fordi den udtrykker nødvendigheden af persondataretlig due diligence i forbindelse med køb og salg af virksomheder. 

I september 2016 opkøbte Marriott International hotelgruppen Starwood. I forbindelse med sin due diligence havde Marriott imidlertid ikke opdaget, at Starwoods kundedatabase havde været svækket siden 2014. På baggrund af et efterfølgende datatyveri, der medførte, at kontaktoplysninger, pas- og kreditkortinformationer for 339 millioner af Marriotts hotelgæster blev lækket, anmeldte Marriott i november 2018 et brud på persondatasikkerheden til ICO. Datatyveriet var muligt på grund af Starwoods svækkede kundedatabase.

I sit forslag til afgørelsen anførte ICO, at Marriott i forbindelse med opkøbet indtrådte i Starwoods forpligtelser i henhold til persondataforordningen. Selvom Marriott ikke havde kendskab til kundedatabasens svækkelse inden Starwood blev opkøbt, havde selskabet ifølge ICO overtrådt persondataforordningens art. 32, ved ikke at have foretaget tilstrækkelig persondataretlig due diligence i forbindelse med opkøbet og ved ikke at have implementeret nødvendige foranstaltninger til opretholdelse af det fornødne sikkerhedsniveau efter opkøbet, såsom systemopdateringer.

Til trods for at Starwood efter opkøbet er et separat datterselskab, har ICO lagt til grund, at Marriott som moderselskab hæfter for bøden. Det fremgår imidlertid ikke tydeligt af ICO's forslag til afgørelse, hvad der har været udslagsgivende for, at ICO tiltænker at pålægge moderselskabet bøden fremfor det separate datterselskab. Formentlig er årsagen enten: 

 

  • at Marriott har optaget Starwoods kundedata som en del af i sine egne data, for derved at kunne anvende kundedataene på tværs af koncernen
  • eller at Marriotts hæftelse er baseret på samme hensyn som der findes i EU-konkurrenceretten, hvor moderselskaber formodes at udøve bestemmende indflydelse over helejede datterselskaber. Konkurrenceretten har været en inspirationskilde i forhold til persondataforordningens regulering af bødestørrelserne, ansvarssubjektet og hæftelsen. Derfor kan det have en afsmittende effekt. 

Med forbehold for at afgørelsen ikke er endelig, viser ICO's forslag til afgørelse i sagen:

 

  • at køber af en virksomhed kan komme til at hæfte for allerede eksisterende non-compliance hos targetvirksomheden
  • at køberen hæfter for efterfølgende sikkerhedsbrud, uanset om årsagen til sikkerhedsbruddet skyldes begivenheder eller forhold, der har fundet sted før købstidspunktet
  • at købers moderselskab kan komme at hæfte for bøder, selvom target efter closing overgår til at være et separat datterselskab hos køber.

4. Vedtagelsen af ePrivacy-forordningen 

Oprindeligt var det intentionen, at ePrivacy-forordningen skulle træde i kraft parallelt med databeskyttelsesforordningen, dvs. 25. maj 2018. Det skete dog ikke, da Ministerrådet ikke kunne nå til enighed om forordningens ordlyd. 

Det er fortsat uklart, hvornår den endelige forordning bliver vedtaget. Men det kan ikke udelukkes, at forordningen bliver vedtaget inden udgangen af 2020, så det nuværende direktiv om databeskyttelse inden for elektronisk kommunikation fra 2002 bliver erstattet. 

Læs vores seneste omtale af ePrivacy-forordningen

5. Afgørelse i Schrems II-sagen

Schrems II-sagen handler i hovedtræk om lovligheden af overførsler af personoplysninger fra EU til USA på baggrund af den såkaldte EU standardkontrakt og indirekte EU U.S. Privacy Shield-aftalen. 

Den 19. december 2019 afgav Generaladvokaten for EU-Domstolen sin udtalelse i sagen. Generaladvokaten lagde op til, at EU-domstolen afsiger en dom, hvoraf det følger, at EU-Kommissionens beslutning om brugen af standardkontrakten er gyldig. Sker det, er det positivt nyt for europæiske virksomheder og myndigheder, der eksporterer personoplysninger til USA og andre usikre tredjelande. EU-domstolen er dog ikke forpligtet til at følge Generaladvokatens udtalelse, og indtil der foreligger en endelig dom, er det endelige resultat fortsat usikkert.

Det forventes, at der falder dom i sagen i 2020. Den præcise dato er endnu ukendt. 


Læs vores omtale af Generaladvokatens udtalelse i Schrems II-sagen