Behandling af personoplysninger i forbindelse med delvis spaltning/Forhandlingerne om databeskyttelsesforordningen/Brug af dansk databehandler og cloud-baseret underdatabehandler

Dato 20 feb. 2014

Denne gang handler MWBe Updated – Persondataret blandt andet om behandling af personoplysninger i forbindelse med grenspaltning og forhandlingerne om databeskyttelsesforordningen.


Behandling af personoplysninger i forbindelse med delvis spaltning

 

Datatilsynet har behandlet et advokatfirmas henvendelse vedrørende behandling af personoplysninger i forbindelse med delvis spaltning af selskaber.

 

I forbindelse med en omstrukturering ønskede en koncern at samle sine aktiviteter i et selskab ved en delvis spaltning (også kaldet grenspaltning).


Delvis spaltning indebærer, at det overdragende selskab overdrager dele af selskabets aktiviteter og forpligtelser til et andet selskab i koncernen. Det oprindelige selskab fortsætter med at eksistere.


I forbindelse med grenspaltningen opstod der spørgsmål om, hvorvidt overdragelse af kundeoplysninger i forbindelse med spaltningen af en selvstændig division i et selskab kunne karakteriseres som succession efter Persondataloven, eller om der var tale om en videregivelse i Persondatalovens forstand.


Datatilsynet udtalte, at overdragelse af personoplysninger mellem forskellige juridiske enheder som udgangspunkt betragtes som en videregivelse i Persondatalovens forstand, hvorfor dette også gælder for overdragelse af personoplysninger i forbindelse med grenspaltning inden for en koncern.


Datatilsynet udelukker dog ikke, at en konkret vurdering af overdragelsens formål og karakter undtagelsesvis kan bevirke, at overdragelsen af personoplysninger, i forbindelse med delvis spaltning, undtagelsesvis vil kunne betragtes som succession.


I vurderingen skal der navnlig lægges vægt på:

  • om kundeforholdet – herunder rettigheder og forpligtelser – overgår,
  • om de overdragne aktiviteter videreføres,
  • om den overdragne division er selvstændig, afgrænset og kan stå alene, og
  • om formålet med overdragelsen alene er omstrukturering.

Foreligger ovenstående betingelser, taler dette for at anse overdragelsen som en succession. Det er som udgangspunkt den dataansvarlige, der skal foretage vurderingen underlagt Datatilsynets tilsyn.


Vores vurdering

Det er bemærkelsesværdigt, at Datatilsynet som det klare udgangspunkt vælger at anse en delvis spaltning som en videregivelse efter Persondataloven. En delvis spaltning er selskabsretligt udtryk for en universalsuccession i forhold til overdragne aktiver og forpligtelser og kan gennemføres uden kreditorers, medarbejderes og aftaleparters samtykke. Dette gælder ikke bare den fuldstændige spaltning, hvor det spaltede selskab ophører, men også når visse aktiver og forpligtelser forbliver i det spaltede selskab. Det er uhensigtsmæssigt, at der, for så vidt angår personoplysninger (f.eks. en kundedatabase og et medarbejderkartotek), ikke automatisk efter Datatilsynets opfattelse sker succession ved en delvis spaltning efter Persondataloven.


[Læs Datatilsynets udtalelse her .]

 

Forhandlingerne om databeskyttelsesforordningen

 

Ministerrådet for retlige og indre anliggender har behandlet forslaget til den nye databeskyttelsesforordning, herunder særligt ”one-stop-shop”-mekanismen.

Ministerrådet arbejder på at få skabt et fundament for de videre forhandlinger og har koncentreret sig om at løse de problemer, som opstår, når 28 forskellige EU-landes datatilsyn skal fortolke de samme regler. Disse jurisdiktions- og håndhævelsesproblemer forsøges løst med en såkaldt ”one-stop-shop”-mekanisme.


One-stop-shop-princippet indebærer, at én tilsynsmyndighed i visse grænseoverskridende sager skal være kompetent tilsynsmyndighed i hele EU. Det medfører, at det alene vil være tilsynsmyndigheden i den medlemsstat, hvor den registeransvarliges hovedvirksomhed er etableret, som vil være kompetent til at udøve tilsynsbeføjelser som ”Lead Authority”.


Undtagelsen til dette er tilfælde, hvor databehandlingen alene relaterer sig til én medlemsstat, hvor det så er myndigheden i den pågældende medlemsstat, der er kompetent.


Lead Authority skal forberede og udarbejde afgørelser og skal i den forbindelse dele al relevant information med tilsynsmyndighederne i de andre berørte medlemsstater. Det er på nuværende tidspunkt ikke endeligt afgjort, hvilke beføjelser der skal tillægges Lead Authority. Men der enighed om, at i de tilfælde, hvor der er udpeget en Lead Authority, skal denne myndighed være det eneste kontaktpunkt.


Foreliggende forslag

Som nævnt i vores nyhedsbrev fra 2. december 2013 blev EU-Parlamentets kompromisforslag vedtaget i oktober 2013. Det indeholdt flere justeringer i forhold til det oprindelige forslag, herunder særligt: 

  • Frivilligt samtykke kan ikke udgøres af på forhånd afkrydsede felter (opt-out).
  • Virksomheder skal udpege en Data Protection Officer, når virksomhedens behandling af personoplysninger påvirker mere end 5.000 datasubjekter over en 12-måneders-periode, eller såfremt hovedparten af aktiviteten relaterer sig til sensitive data eller ansættelsesdata håndteret i større datasystemer.
  • 24-timers-reglen for rapportering af sikkerhedsbrud til den relevante myndighed er blevet fjernet og er blevet ændret til ”uden ugrundet ophold”.
  • Det maksimale niveau for bøder fastsættes til det højeste beløb af 5 % af en virksomheds verdensomspændende omsætning eller EUR 100 millioner.

Videre forløb

Oprindeligt var det hensigten, at persondataforordningen skulle vedtages inden parlamentsvalget i maj 2014. Det forventes i stedet nu, at forslaget kan vedtages i 2015. Den politiske proces kan dog blive kompliceret af, at der hen over sommeren og efteråret i år både skal vælges et nyt EU-Parlament og udpeges en ny EU-Kommission.


Når persondataforordningen er vedtaget, går der to år, inden forordningen træder i kraft, og de nye regler kan derfor forekomme langt ude i fremtiden. Men ser man på alle de krav, der stilles til private virksomheder i det foreliggende forslag til forordningen, kan mange private virksomheder allerede nu med fordel foretage en gennemgang af deres IT-systemer og processer for behandling af persondata, således der er et bedre grundlag for opfyldelse af de fremtidige krav. Vi bistår gerne hermed.

 

[Læs mere her ]

 

Brug af dansk databehandler og cloud-baseret underdatabehandler

 

Datatilsynet har offentliggjort en vejledende udtalelse om brug af dansk databehandler og cloud-baseret underdatabehandler (samt tredjemandsoverførsel).

 

I udtalelsen understreger Datatilsynet, at det er den dataansvarlige, som har ansvaret for, at personoplysningerne behandles og beskyttes i overensstemmelse med Persondataloven og for offentlige myndigheders vedkommende også sikkerhedsbekendtgørelsen, uanset hvor data lagres. Desuden skal sikkerhedsbekendtgørelsens kapitel 1, 2 og 3, herunder logningskravet i § 19 iagttages for offentlige myndigheder, såfremt oplysningerne er omfattet af anmeldelsespligt til datatilsynet.


Datatilsynet henviser i øvrigt til sin udtalelse af 6. juni 2012 vedrørende behandling af personoplysninger ved brug af cloud-løsningen Office 365, der tillige er behandlet i MWBe Updated - persondataret af 18. juni 2012. Læs mere her.

 

Den dataansvarlige skal endvidere overholde Persondatalovens § 27, såfremt persondata overføres til usikre tredjelande. Det fremgår af Artikel-29 gruppens kommentar til Kommissionens standardkontrakt, at Persondatalovens § 27 kan overholdes, såfremt databehandleren er etableret inden for EU/EØS og benytter underdatabehandlere i et tredjeland, som følger:

 

  • Den dataansvarlige indgår en standardkontrakt med hver databehandler, der er etableret i et tredjeland,
  • den dataansvarlige kan give fuldmagt til databehandleren inden for EU/EØS til at indgå aftaler med en underdatabehandler på den dataansvarliges vegne, eller
  • der kan anvendes ad-hoc kontrakter.

[Læs Datatilsynets vejledende udtalelse her .]

 

Kontakt 

Nicolai Hesgaard
nhe@mwblaw.dk
+45 33 77 90 30

Henrik Syskind Pedersen
hsp@mwblaw.dk
+45 33 77 90 25


Jesper Philip Schmidt
jps@mwblaw.dk
+ 45 33 77 90 26

 


 

Ovenstående er ikke juridisk rådgivning, og Moalem Weitemeyer Bendtsen indestår ikke for, at indholdet af ovenstående er korrekt. Moalem Weitemeyer Bendtsen har med ovenstående ikke påtaget sig ansvar af nogen art som konsekvens af en læsers benyttelse af ovenstående.