Opdatering af forslag til EU-forordning om persondata

Dato 7 sep. 2012
Download PDF version PDF

 

Denne gang handler MWBe Updated - Persondataret om EU-Kommissionens forslag om ændringer i de EU-retlige regler om beskyttelse af persondata.

Opdatering af forslag til EU-forordning om persondata

EU-Kommissionen fremlagde den 25. januar 2012 et forslag om ændringer i de EU-retlige regler om beskyttelse af personoplysninger. Den 22. juni 2012 offentliggjorde Kommissionen er delvist revideret forslag. Forslaget har været i høring i medlemsstaterne, og bliver det vedtaget, vil det afløse det gældende databeskyttelsesdirektiv og den danske Persondatalov. Vi giver her en kort opdatering på status.

 

Recap - de væsentligste ændringer helt kort

Forslagets væsentligste ændringer er:


  • Virksomheder skal udføre konsekvensanalyser og tænke persondata ind ved indførelse af nye systemer og rutiner, og såfremt virksomheder har mere end 250 ansatte, skal der ansættes en databeskyttelsesansvarlig (DPO)
  • Pligt til at underrette myndigheder og berørte ved brud på persondatasikkerheden inden for 24 timer
  • Registrerede får ret til at blive glemt og ret til sletning af oplysninger
  • Bødeniveauet hæves til op til 2 % af en virksomheds globale omsætning.

Udtalelse fra Datatilsynet

Datatilsynet offentliggjorde den 11. juli 2012 sin udtalelse om Kommissionens forslag til forordningen i forlængelse af Justitsministeriets grund- og nærhedsnotat fra den 10. maj 2012.

Datatilsynet ser overordnet positivt på Kommissionens forslag, idet forordningen indeholder en række forhold, som har til hensigt at styrke borgernes retssikkerhed og retsstilling. Herudover stilles der større krav til myndigheder, virksomheder og organisationer om at tage større ansvar for databeskyttelse. Til sikring af efterlevelse af de skærpede krav, lægges der i udkastet til forordningen op til at give tilsynsmyndighederne styrkede beføjelser og sanktionsmuligheder.

På den anden side har Datatilsynet påpeget, at forordningen vil medføre en væsentlig forøgelse af de administrative byrder og ressourcebehov, såvel i Datatilsynet som i virksomhederne. Herudover har Datatilsynet fremhævet, at der i forslaget til forordningen er en lang række punkter, som bør afklares og omformuleres, og at der i øvrigt bør foretages en grundig analyse, før den danske holdning til forslaget endeligt fastlægges.
 

Skepsis i England

Forslaget er blevet modtaget med større skepsis i det engelske justitsministerium. Englænderne har fremhævet, at ændringerne vil pålægge virksomhederne byrder, der ikke står i mål med den forbedring af beskyttelsen af privatlivets fred, som forslaget lægger op til. Englænderne vil således have ændret det øgede bureaukrati og omkostningsniveau, som forordningen forventes at medføre.

Konkret er englænderne skeptiske over for særligt følgende punkter i forslaget:

  • Virksomhederne bliver afskåret fra at kunne opkræve gebyrer, når registrerede ønsker adgang til deres persondata
  • Formuleringen af ”Retten til at blive glemt” skal have et grundigt eftersyn, da der er væsentlige omkostninger forbundet med en sådan ret, og da der er mange undtagelser til ”retten”
  • Øget bureaukrati for virksomhederne, som englænderne mener, ikke står i mål med den forbedring af beskyttelsen af privatlivets fred, som forslaget lægger op til
  • 24-timers reglen - for så vidt angår rapporteringspligten ved brud på persondatasikkerheden - skal forlænges, således at fristen giver virksomhederne tid til at foretage tilstrækkelige undersøgelser
  • Bødeniveauet skal sænkes og i større grad gøres afhængig af et konkret skøn.

På trods af denne skepsis har englænderne anført, at de støtter forslaget på en række punkter, heriblandt det gennemgående princip om, at der skal være øget gennemskuelighed på databehandlingsområdet. Herudover støtter englænderne den forventede øgede harmonisering af persondatareglerne inden for EU.

 

Vores vurdering

Forordningen forventes at styrke borgernes ret til databeskyttelse. Imidlertid indeholder forslaget en lang række punkter, som kan give anledning til uklarheder og tvivl, hvorfor en nærmere afklaring af forordningens mange punkter er nødvendig for at kunne give en mere præcis fastlæggelse af forordningens konsekvenser. Vores vurdering er derfor i overensstemmelse med Datatilsynets udtalelse.

Vedtages forslaget i sin nuværende form, vil det bringe persondata-compliance op på virksomhedens ledelsesniveau. Virksomheder bør derfor allerede nu begynde at tænke indholdet af forslaget ind i virksomhedens forskellige systemer og processer til behandling af personoplysninger, f.eks. ved indkøb og opbygning af IT-systemer og tilrettelæggelse af forskellige administrative processer, da en omstilling af virksomhedens kultur, systemer og processer i forhold til de nye regler ikke kan ske fra den ene dag til den anden.

En del lande har været skeptiske i forhold til det nuværende forslag. Vi kan derfor næppe forvente en vedtagelse af en endelig forordning før 2014 med ikrafttrædelse i 2016.
 

[Datatilsynets udtalelse: Journalnummer 2012-111-0013]
[Justitsministeriets grund- og nærhedsnotat: KOM (2012) 0011 Bilag 2]
[Det engelske justitsministeriums udtalelse: “Summery of Responses – Call for Evidence on Proposed EU Data Protection Legislative Framework” offentliggjort den 28. juni 2012.]
[EU-Kommissionens delvist reviderede forsalg: 2012/0011 (COD)]


 

Ovenstående er ikke juridisk rådgivning, og Moalem Weitemeyer Bendtsen indestår ikke for, at indholdet af ovenstående er korrekt. Moalem Weitemeyer Bendtsen har med ovenstående ikke påtaget sig ansvar af nogen art som konsekvens af en læsers benyttelse af ovenstående.