Lempeligere fortolkning af Persondataloven/Forslag til reform af EU's persondatabeskyttelsesregler

Dato 4 apr. 2012
Download PDF version PDF

 

Denne gang handler MWBe Updated - Persondataret om et forslag til reform af EU's persondatabeskyttelsesregler og en ny afgørelse, der kan have betydning for fortolkningen af Persondataloven.

 

Lempeligere fortolkning af Persondataloven

EU-domstolen har fastslået, at der i persondatadirektivet er gjort udtømmende og fuldstændigt op med på hvilke grundlag, man kan behandle personoplysninger. Domstolen har tidligere fastslået, at direktivets harmonisering af persondataretten i medlemsstaterne er en totalharmonisering. Medlemsstaterne må derfor hverken tilføje nye principper eller supplere direktivet med yderligere krav, men har kun frihed til at præcisere direktivets bestemmelser.

Domstolen fastslog også, at direktivets artikel - hvori de lovlige grunde for behandling af personoplysninger er opregnet - er tilstrækkelig præcis til, at den finder direkte anvendelse i medlemsstaterne og dermed kan påberåbes af en borger og anvendes af de nationale domstole.


MWB siger

Afgørelsen fastslår, at direktivet er en totalharmonisering, og afgørelsen har derfor betydning for fortolkningen af den danske persondatalov.

I persondataloven sondres mellem almindelige, semifølsomme og følsomme oplysninger, hvor kategorien ”semifølsomme” er en yderligere kategori i forhold til direktivet. Semifølsomme oplysninger vedrører blandt andet ”væsentlige sociale problemer” og ”andre private oplysninger”, hvor sidstnævnte fx er oplysninger om skilsmisse og adoption eller personlighedstests. Direktivet opererer kun med almindelige eller følsomme oplysninger, hvorfor persondatalovens kategori om ”semifølsomme” personoplysninger ikke kan opretholdes. Afgørelsen må derfor betyde, at hvad der i persondataloven anses for semifølsomme oplysninger fremover vil skulle behandles som almindelige personoplysninger efter persondatalovens § 6 (lempeligere regler).

 

Læs mere her.

 

 

Forslag til reform af EU's persondatabeskyttelsesregler

Kommissionen har foreslået en omfattende reform af persondatabeskyttelsesreglerne. Sigtet med EU's persondatabeskyttelsesregler er både at beskytte fysiske personers grundlæggende rettigheder og friheder og at sikre en fri udveksling af data inden for EU.


De væsentligste ændringer helt kort


  • Virksomheder med mere end 250 ansatte skal ansætte en databeskyttelsesansvarlig (DPO).
  • Der bliver stillet krav om, at virksomheder skal udarbejde og implementere procedurer for behandlingen af persondata.
  • Virksomheder, der ønsker at overføre persondata til tredjelande, der ikke tilbyder samme beskyttelsesniveau som inden for EU, får mulighed for på visse betingelser at overføre data til disse lande, når overførslen er nødvendig på baggrund af legitime interesser, f.eks. i koncernforhold eller ved outsourcing til databehandlere. I den forbindelse skal virksomhederne nemmere kunne indføre de såkaldte ”Binding Corporate Rules”.
  • Der indføres pligt til at underrette myndigheder og berørte ved brud på persondatasikkerheden. Underretningen til myndighederne skal foretages uden unødig forsinkelse og om muligt senest 24 timer efter, at den dataansvarlige er blevet bekendt med bruddet på persondatasikkerheden. Underretning til den berørte skal ske uden unødig forsinkelse, såfremt der er risiko for, at beskyttelsen af personoplysninger eller privatlivets fred vil blive krænket.
  • Bødeniveauet hæves til op til 2 % af en virksomheds globale omsætning ved overtrædelse af persondatareglerne. Dette er en markant forhøjelse af bødeniveauet inden for persondataretten.

Herudover er der foreslået en styrkelse af de registreredes rettigheder, hvor der blandt andet introduceres følgende:


  • En ”ret til at blive glemt”. Det er retten til at få slettet data, der bliver opbevaret enten hos den dataansvarlige eller på internettet.
  • En ”ret til dataportabilitet”. En registreret skal have mulighed for at flytte sine egne data fra én online-tjeneste til en anden, f.eks. mellem Facebook, Google+ og Twitter.
  • Endelig skal den registrerede have ret til af den registeransvarlige at få en kopi af oplysninger, der er genstand for behandling, i et almindeligt anvendt elektronisk og struktureret format, som den registrerede kan anvende senere.

Endvidere indføres der skærpede krav til samtykke fra en registreret, hvorefter et samtykke ikke længere vil kunne bruges som behandlingsgrundlag, såfremt der er væsentlig ubalance mellem den registrerede og den dataansvarlige, f.eks. når der eksisterer et afhængighedsforhold. Det vil særligt kunne være tilfældet i forbindelse med samtykke afgivet i et ansættelsesforhold.

 

Betydning for virksomhederne

Såfremt forslaget til forordningen accepteres i sin nuværende form, vil ændringerne pålægge erhvervsdrivende vidtgående forpligtelser ved deres behandling af persondataoplysninger samt betydeligt større sanktioner. Dette bringer persondata op på en virksomheds ledelsesniveau og er ikke blot udtryk for generel compliance.


MWB siger

Virksomheder bør allerede nu begynde at tænke indholdet af forslaget ind i virksomhedens forskellige systemer og processer til behandling af personoplysninger, f.eks. ved indkøb og opbygning af IT-systemer og tilrettelæggelse af forskellige administrative processer, da en omstilling af virksomhedens systemer og processer i forhold til de nye regler ikke kan ske fra den ene dag til den anden.


Læs mere her.


 

Ovenstående er ikke juridisk rådgivning, og Moalem Weitemeyer Bendtsen indestår ikke for, at indholdet af ovenstående er korrekt. Moalem Weitemeyer Bendtsen har med ovenstående ikke påtaget sig ansvar af nogen art som konsekvens af en læsers benyttelse af ovenstående.