Sent i går den 15. december 2015 blev EU-Parlamentet, det luxemborgske formandskab for Rådet og EU-Kommissionen i triologforhandlinger enige om teksten i den nye persondataforordning – samt et direktiv om databeskyttelse for politiet og strafferetsmyndigheder (omfattet af retsforbeholdet) – samlet benævnt "databeskyttelsespakken".

Teksten til den endelige persondataforordning er endnu ikke offentliggjort. Hertil udestår en formel vedtagelsesproces i slutningen af 2015/begyndelsen af 2016. Nedenstående er derfor baseret på hidtidige udkast til persondataforordningen og referater fra de afsluttende forhandlinger.

PERSONDATAFORORDNINGEN BETYDER VÆSENTLIGE ÆNDRINGER

Persondataforordningen kommer til at indebære væsentlige ændringer på persondatabeskyttelsesområdet i forhold til det nugældende direktiv fra 1995. Formålet med de nye regler er navnlig, at personer skal have større kontrol over egne data, og der skal gælde ens regler i hele EU med deraf følgende lettelser for virksomheder, som dog modsvares af markant forhøjede bødeniveauer for overtrædelser af reglerne. Desuden skal persondataforordningen understøtte det digitale indre marked og er derfor søgt tilpasset nutidens digitale verden.

Her er nogle af de væsentlige konsekvenser af den nye persondataforordning:


  • Øget information til personer om, hvorfor og hvordan deres persondata behandles – samt hvilke rettigheder persondataforordningen giver dem.
  • Der ændres på reglerne om, hvor gamle børn skal være for selv at kunne samtykke til behandling af egne persondata. Det tyder på, at medlemsstaterne får valgfrihed i forhold til, om børnene skal være mellem 13 og 16 år. Dette forventes at få stor betydning for børns brug af sociale medier og bliver svært at håndtere i praksis for virksomheder, der opererer over landegrænser.
  • Bødeniveauet bliver markant forhøjet. Det tyder på, at bødeniveauet bliver op til 4 procent af virksomheders globale årlige omsætning og for øvrige op til 20 mio. EUR.
  • Retten til at blive glemt ("the right to be forgotten") udvider de nuværende regler om sletning af data, så det bliver lettere at kræve at egne data slettes hos f.eks. virksomheder.
  • Ret til dataportabilitet (dvs. overførsel af personoplysninger fra én tjenesteudbyder til en anden) giver mulighed for at få sine data ud af sociale medier m.v.
  • Brud på datasikkerheden skal anmeldes til Datatilsynet samt til de personer, hvis data har været kompromitteret.
  • Risikobaseret tilgang til sikkerhed m.v.
  • Afskaffelse af anmeldelsesordninger.
  • Reglerne søger at gøre brug af Big Data lettere, bl.a. via pseudononymisering.
  • Alt tyder på, at rollen som Data Protection Officer i virksomheder og hos offentlige myndigheder bliver gjort obligatorisk i et vist omfang.
  • Alt tyder på fælles ansvar hos dataansvarlig og databehandler for overtrædelser af persondataforordningen.
  • Reglerne er søgt lempet for små og mellemstore virksomheder.
  • Reglerne lægger op til bedre samarbejde mellem de europæiske databeskyttelsesmyndigheder.
  • Det er i en række bestemmelser overladt til de enkelte lande selv at bestemme, hvordan reglerne mere konkret skal se ud. Det må antages at føre til en uensartet retstilstand på visse områder i de enkelte lande. Dermed vil reglerne blive mere besværlige at håndtere særligt for internationale virksomheder.

Vi vil løbende orientere om udviklingen, herunder om hvordan reglerne bliver indarbejdet i Danmark og på europæisk plan.