Persondata­­forordningen: Ny enighed om beskyttelse af person­­oplysninger

EU-Kommissionen fremlagde i januar 2012 forslag til en Persondataforordning, der skulle styrke den enkeltes rettigheder og tage hånd om udfordringerne fra globalisering og ny teknologi. Efter at forslaget først har været behandlet i EU-Parlamentet, er Rådet den 15. juni 2015 nået til enighed om en generel indstilling vedrørende denne forordning.

Forslaget indeholder de samme elementer som hidtil i form af bl.a. klarere rettigheder for den enkelte, mere ensartede persondataregler inden for EU og krav om, at virksomheder uden for EU overholder reglerne i en række situationer, og meget større bøder.

I det følgende gennemgås en række af de vigtigste elementer i Rådets indstilling.

Et øget databeskyttelsesniveau

Personoplysninger må kun indsamles og behandles under strenge betingelser. De, der er ansvarlige for databehandlingen, skal overholde særlige regler som fx kravet på nogle områder om et utvetydigt samtykke fra den enkelte om, at personoplysninger kan behandles til et eller flere specifikke formål. Er der tale om følsomme personoplysninger, skal der indhentes et udtrykkeligt samtykke fra enkeltpersoner.

Styrkede rettigheder betyder også, at den enkelte får mere kontrol med sine personoplysninger i form af bl.a. lettere adgang til egne data samt mere detaljerede oplysninger om konsekvenserne af at dele personoplysninger, idet den dataansvarlige skal informere enkeltpersoner om deres privatlivspolitik i et klart og enkelt sprog. "The right to be forgotten" medfører, at dataansvarlige skal slette persondata uden ugrundet ophold i fem specifikke tilfælde:


  • Når personoplysningerne ikke længere er nødvendige i relation til det formål, der var baggrunden for behandlingen
  • Når en person tilbagekalder sit samtykke til behandling af persondata
  • Når en person protesterer mod behandlingen af persondata
  • Når personoplysningerne er indsamlet ulovligt
  • Når det følger af lovgivningen, at oplysningerne skal slettes

For at sikre en forbedret domstolsprøvelse får enkeltpersoner desuden mulighed for, at den nationale domstol kan kontrollere enhver afgørelse truffet af en databeskyttelsesmyndighed uanset, i hvilken medlemsstat den dataansvarlige er etableret.

Øgede forretningsmuligheder i det digitale indre marked

Persondataforordningen gælder direkte i alle medlemsstater og aktiveres, når virksomheder og organisationer behandler personoplysninger om personer bosat i EU. Reglerne gælder også for ikke-europæiske virksomheder der er kommet i besiddelse af persondata i forbindelse med 1) udbud af varer og tjenesteydelser uafhængigt af, om der kræves betaling, eller 2) overvågning af EU-borgeres handlinger i den udstrækning disse handlinger foretages inden for EU.

Et ensartet regelsæt vil forhindre, at modstridende nationale regler vil hæmme grænseoverskridende dataudveksling. Forordningen vil endvidere betyde et øget samarbejde mellem medlemsstaternes datatilsyn, hvilket vil sikre en sammenhængende anvendelse af reglerne i unionen. Målet er en mere fair konkurrence og at tilskynde – særligt små og mellemstore – virksomheder til at udnytte det digitale marked bedst muligt.

Der indføres desuden et one-stop-shop-princip, som får betydning i grænseoverskridende sager, hvor flere medlemslandes datatilsyn i princippet har kompetence, fx som følge af at personoplysningerne vedrører borgere i forskellige medlemslande. I sådanne tilfælde får datatilsynet i det land, hvor den dataansvarlige har sit hovedsæde, mulighed for at træffe en samlet afgørelse ud fra en ret kompliceret samarbejdsprocedure med datatilsynet i de andre berørte medlemslande. One-stop-shop-mekanismen skal reducere omkostningerne og øger retssikkerheden.

Flere og bedre redskaber til at håndhæve overholdelsen af databeskyttelsesreglerne

Dataansvarlige skal efter den nye forordning implementere passende sikkerhedsforanstaltninger af teknisk og organisatorisk karakter for at sikre et sikkerhedsniveau, der er proportionelt med de risici, som er forbundet med persondatabehandlingen.

Er der som følge af et sikkerhedsbrist opstået en høj risiko for krænkelse af de registreredes rettigheder, har virksomheden en pligt til at give tilsynsmyndigheden meddelelse om dette inden 72 timer, ligesom de registrerede skal gives besked om sikkerhedsbristet uden ugrundet ophold.

Dataansvarlige kan frit vælge om de vil udpege en intern dataansvarlig, medmindre der i national lov findes ufravigelige krav vedrørende dette.

Enkeltpersoner kan klage til datatilsynet eller indbringe en klage for domstolene. Ved en sådan sag kan den dataansvarlige blive pålagt en bøde på op til 1 million euro eller 2 % af sin samlede årlige omsætning.

Garantier vedrørende overførsel af personoplysninger uden for EU

Kommissionen har efter inddragelse af medlemslandene og EU-Parlamentet kompetence til at afgøre, om databeskyttelsesniveauet i lande uden for EU er tilstrækkeligt. Har Kommissionen ikke har truffet en sådan beslutning, kan personoplysninger kun overføres, når garantier om bl.a. standardbestemmelser om databeskyttelse, bindende virksomhedsregler og kontraktbestemmelser er på plads. På den måde beskyttes personoplysninger, der overføres til lande uden for EU samt til internationale organisationer.

Den videre proces

Efter at forslaget har været behandlet i EU-Parlamentet er Rådet den 15. juni 2015 nået til enighed om en generel indstilling vedrørende denne forordning.

Det næste skridt mod vedtagelsen af de nye databeskyttelsesregler er, at Rådet skal indlede forhandlinger med Parlamentet og Kommissionen med henblik på at nå en samlet aftale om forordningen. Det første møde er planlagt den 24. juni 2015. Rådets enighed er således et stort skridt mod en mere moderniseret og harmoniseret beskyttelse af personoplysninger i EU.