Status på forslaget til persondataforordning

Dato 12 mar. 2013
Download PDF version PDF

 

Denne gang ser MWB Updated – Persondataret på status på forslaget til persondataforordning.

 

Status på forslaget til persondataforordning

Europa-Parlamentets rapporteur, Jan Philipp Albrecht, har på vegne af udvalget ”Borgernes Rettigheder og Retlige og Indre Anliggender” fremlagt en rapport med kommentarer og ændringsforslag til Kommissionens forslag til en ny persondataforordning.

Albrecht har på vegne af udvalget ved fremlæggelsen af rapporten udtrykt fuld støtte til udkastet til forordningen. Albrecht har fremhævet nødvendigheden af at få erstattet det nugældende direktiv, der blev vedtaget i 1995, med et tidssvarende sæt regler gældende for hele EU.

Ifølge Albrecht skal beskyttelse af personoplysninger være det klare udgangspunkt, og udvalget udtrykker bekymring over, at Kommissionsforslaget indeholder for bredt formulerede undtagelser hertil.

På vegne af udvalget har Albrecht foreslået næsten 350 ændringer til Kommissionsforslaget, herunder bl.a. følgende væsentlige ændringer:

  • At anvendelsesområdet udvides, så forordningen også vil gælde for virksomheder fra tredjelande, der blot har som mål at udbyde varer og tjenesteydelser til borgere i EU.
  • At sikre at den databeskyttelsesansvarlige (DPO) kan agere effektivt, hvorfor ressourcerne bør afsættes i lyset af virksomhedens størrelse og mængde af personfølsomme data. Kravet om udpegning af en databeskyttelsesansvarlig skal derfor først gælde, når en virksomhed behandler personoplysninger om mindst 500 registrerede på årsbasis. Det fremgår ikke af forslaget, om det også gælder for online forhandlere, hvor 500 registrerede hurtigt kan nås. Ifølge Kommissionens forslag skulle virksomheder udpege en DPO, når de havde mindst 250 ansatte. Udvalgets ændringsforslag medfører, at der er fastsat en målbar størrelse for, hvornår virksomheder skal udpege en DPO samtidig med, at udvalget har foreslået, at arkiverede data, der ikke benyttes i den daglige behandling af data, ikke skal medtælles. Ifølge ændringsforslaget skal den databeskyttelsesansvarlige udpeges for en periode på mindst fire år, i hvilken periode den pågældende kun kan afskediges, hvis vedkommende ikke længere opfylder betingelserne for at varetage hvervet.
  • At virksomheder i højere grad opfordres til at anvende anonyme data, og der indføres begrebet ”pseudonym", hvorefter en registreret kan udvælges på baggrund af en unik identifikationskode, der er specifik for den givne kontekst, men ikke direkte identificeres.
  • At der stilles større krav til indhentelse af samtykke fra en registreret, til at data om den pågældende må opbevares og behandles. Udvalget har pointeret, at indhentelse af samtykke fra en borger i en allerede afkrydset dialogboks, hvor den registrerede selv skal fjerne afkrydsningen for ikke at give tilladelse, ikke er tilstrækkeligt til at udgøre et frivilligt samtykke (såkaldt opt-out).
  • At ”retten til at blive glemt” styrkes, så en virksomhed, der har overført persondata til en tredjepart uden en legitim grund, forpligtes til at informere tredjeparten herom og sørge for, at oplysningerne bliver slettet.
  • At fristen for virksomheders pligt til at underrette myndigheder om brud på personsikkerheden forøges fra 24 timer til 72 timer.
  • At de berørte personer kun bliver underrettet, såfremt det kan sandsynliggøres, at bruddet vil have negativ effekt for dem.

Artikel 29 arbejdsgruppen 

Arbejdsgruppen er kommet med yderligere kommentarer til en række områder omfattet af forslaget til persondataforordningen. Følgende kan bl.a. nævnes:

  • Indførelse af pseudo-annonyme data i forbindelse med behandling af personfølsomme oplysninger bør ikke lede til, at reglerne ikke finder anvendelse, da det er muligt fortsat at identificere vedkommende.
  • Angående samtykke til behandling af personoplysninger er gruppen fortsat af den holdning, at det skal være tilstrækkeligt klart og eksplicit. Databehandleren bærer bevisbyrden herfor, og såfremt der er stor forskel i styrkeholdet mellem databehandleren og den registrerede, bør det medføre, at et samtykke ikke kan benyttes som grundlag for behandling af personoplysningerne.

Næste skridt 

Det forventes, at Europa-Parlamentet stemmer om Persondataforordningen i april 2013.

 

Vores vurdering

Der er behov for en opdatering af det nugældende direktiv og lovgivning på området i lyset af den teknologiske udvikling og for at opnå ensrettede regler i hele EU.

Imidlertid indeholder Europa-Parlamentets rapporteurs udtalelse en lang række punkter, som vil medføre yderligere betydelige administrative opgaver og omkostninger for mange virksomheder, der næppe står i mål med formålet om at styrke borgernes rettigheder. Som eksempler kan nævnes indførelsen af en databeskyttelsesansvarlig (DPO) for virksomheder, der behandler personoplysninger om mindst 500 registrerede på årsbasis, kravene til indhentelse af udtrykkeligt samtykke, samt rækkevidden af ”retten til at blive glemt”.

 

[Udkast til betænkning fra Udvalget om Borgernes Rettigheder og Retlige og Indre Anliggender, 2012/0011(COD) samt Udtalelse fra Artikel 29 gruppen fra 27. februar 2013]


 

Kontakt os, hvis du har spørgsmål eller brug for rådgivning.

Nicolai Hesgaard
nhe@mwblaw.dk
+45 33 77 90 30

Henrik Syskind
hsp@mwblaw.dk
+45 33 77 90 25


Maria Thomsen
mth@mwblaw.dk
+ 45 33 77 90 17

 

Ovenstående er ikke juridisk rådgivning, og Moalem Weitemeyer Bendtsen indestår ikke for, at indholdet af ovenstående er korrekt. Moalem Weitemeyer Bendtsen har med ovenstående ikke påtaget sig ansvar af nogen art som konsekvens af en læsers benyttelse af ovenstående.