Enighed om persondataforordningen.
Efter næsten 4 års forhandlinger, hundredevis af møder, ændringsforslag og kompromiser blev der den 15. december 2015 opnået politisk enighed i EU om persondataforordningens ordlyd. Det indebærer, at der nu alene udestår et arbejde med at oversætte og kvalitetssikre de 23 sprogversioner af forordningen. Når dette arbejde er afsluttet – hvilket forventes at ske inden for få uger eller måneder – vil den endelige formelle vedtagelse af forordningen finde sted tidligt i 2016. Fra dette tidspunkt vil den 2 årige frist for forordningens ikrafttræden begynde at løbe. Inden for samme tidsfrist vil alle berørte virksomheder og myndigheder mv. skulle sikre sig, at de efterlever forordningens krav.
Igennem de sidste 4 år har forhandlingerne af persondataforordningen nydt stor opmærksomhed i offentligheden. Samtidig har forordningen opnået den uofficielle titel som det forslag i EU’s historie, der har udløst den mest intense lobbyindsats. Denne opmærksomhed – og omfattende medieomtale – har imidlertid kun i meget begrænset omfang givet virksomheder og myndigheder et reelt indblik i, hvad forordningen konkret betyder for dem, og hvilke tiltag de bør iværksætte, nu hvor forordningen er på plads.
De væsentligste nyskabelser i persondataforordningen.
- Skærpet krav til dokumentation for samtykke
- Styrkelse af den registreredes rettigheder
- Right-to-be-forgotten (retten til at blive glemt)
- Risikobaseret krav om privacy by design og privacy by default
- Risikobaseret krav om, at virksomheden/myndigheden skal kunne dokumentere, at man overholder reglerne (accountability)
- Pligt til at orientere Datatilsynet og i nogen tilfælde også de registrerede i tilfælde af datasikkerhedsbrister som f.eks. hackerangreb, datatyveri (f.eks. på grund af manglende datasletning), mv.
- Udbydere af sociale medier og andre informationssamfundstjenester skal have forældresamtykke for at kunne behandle oplysninger om børn under 16 år. Medlemsstaterne kan vælge at sænke denne alder til 13 år
- Data Protection Officer i offentlige myndigheder og visse private virksomheder
- En ny “One-stop-shop” for koncerner, der er etablerede i flere EU lande, så de har nemmere ved at vide, hvilket datatilsyn der er kompetent til at håndhæve reglerne
- Bøder på op til 4% af global årlig omsætning
Michael Hopp fra advokatfirmaet Plesner har 6 anbefalinger til tiltag som bør iværksættes
Persondataforordningen har et meget bredt anvendelsesområde, der omfatter alle private virksomheder og organisationer og alle offentlige myndigheder bortset fra bl.a. visse dele af politiet og anklagemyndigheden. Uanset hvilken sektor din organisation tilhører, er der seks konkrete tiltag, som vi fra Plesners side anbefaler, I iværksætter for at udnytte tiden frem til forordningens ikrafttrædelse bedst muligt.
- Foretag en overordnet juridisk analyse af, hvilke ændringer i forordningen, som er vigtigst for jer
For at sikre, at I har fokus på de områder, hvor ændringerne vil få størst betydning for organisationen, bør der foretages en indledende juridisk analyse af, om organisationen bliver direkte berørt af en konkret ændring som følge af forordningen.
For private virksomheder kan det for eksempel være dokumentationskravene ved brug af samtykke, mens det for offentlige myndigheder kan være kravet om at udpege en Data Protection Officer.
- Kortlæg hvilke personoplysninger, der behandles i organisationen
Det kan lyde som en simpel øvelse at fastlægge hvilke personoplysninger, der behandles i jeres organisation. Al erfaring viser imidlertid, at netop denne opgave ofte kan være særdeles kompleks. Samtidig er dens løsning en grundlæggende forudsætning for, at jeres organisation kan danne sig et reelt overblik over, hvor der størst behov for at sætte ind for at sikre, at I minimerer jeres risici for datasikkerhedsbrister, ulovlige behandlinger, unødig ophobning af oplysninger mv., samt generelt gør det muligt at efterleve reglerne i praksis.
Som en mulig sidegevinst vil en effektiv kortlægning af jeres datastrømme ofte kunne generere værdi for organisationen ved at skabe et overblik over, hvilke potentielt værdiskabende oplysninger om jeres drift, kunder, sagsgange mv. der ligger uudnyttede hen.
- Få overblik over jeres leverandører
En af de største risici for enhver organisation, der behandler personoplysninger, er, når oplysninger overlades til eksterne parter (databehandlere). I naturlig forlængelse af ovennævnte kortlægning af de personoplysninger, der behandles, bør jeres organisation derfor foretage en grundig afdækning på tværs af organisationen af, hvilke underleverandører I har kontraheret med om behandlingen af personoplysninger, f.eks. cloud leverandører og mediebureauer. Hvad skal der til for at sikre, at de pågældende aftaler lever op til de skærpede krav i forordningen? Når dette er afklaret, bør der iværksættes en genforhandling og måske – i forhold til den enkelte leverandørs modenhedsniveau – en opsigelse af aftalen i lyset af de nye krav og risici, som forordningen indebærer.
- Vurder jeres samlede eksponering
Persondataforordningen indeholder mange krav, og flere af dem er forholdsvis generelle. I praksis vil forordningen dog kun sjældent ramme to organisationer på samme vis, ikke engang når de er i samme branche eller sektor. En række faktorer, såsom brugen af it-systemer, udbredelsen af cloud computing, graden af efterlevelse af de nuværende regler i persondataloven, hvilke typer personoplysninger, der behandles mv., er blot nogen af de forhold, der kan have stor betydning for, hvordan I berøres, og ikke mindst hvor mange eller få ressourcer I skal bruge på at sikre, at I kan møde forordningens krav.
- Hav persondataforordningens særlige karakter for øje
På baggrund af de oplysninger, der afdækkes under punkt 1 – 4, bør jeres organisation foretage en konkret vurdering af, hvordan de juridiske krav i forordningen bedst efterleves i praksis.
Som udgangspunkt adskiller denne opgave sig ikke fra andre compliance-projekter. Dog er der den væsentlige forskel, at persondataforordningen til forskel fra de fleste andre compliance-områder har sin helt egen juridiske struktur, og fortolkningen af kravene fremadrettet skal foretages i lyset af den vidtgående beskyttelse, som det enkelte individs ret til databeskyttelse i dag nyder under EU-retten. Som rigeligt illustreret gennem EU-domstolens afgørelser i bl.a. Schrems (Facebook/Safe Harbor-sagen), Google (om retten til at blive glemt) og Digital Rights (om logningsdirektivet) er databeskyttelsesområdet underlagt nogle helt særlige og til tider vidtrækkende juridiske krav, hvis efterlevelse stiller store krav til alle relevante aktører. I praksis betyder dette, at sikringen af, at jeres organisation efterlever persondataforordningen, ofte vil bero på nogle vanskelige juridiske afvejninger af modstående hensyn, f.eks. ved brugen af profilering, udrulningen af “Big Data”-projekter og ved implementering af “retten til at blive glemt”.
Efterlevelsen af forordningens krav kan således aldrig blot være en “check-liste øvelse”, men skal indebære en reel juridisk efterprøvelse af, om de påtænkte behandlinger af personoplysninger er lovlige.
- Dokumentér
Det såkaldte princip om accountability (ansvarlighed) rykker med forordningen ansvaret ikke blot for reglernes efterlevelse, men også efterprøvelsen og dokumentationen heraf, væk fra Datatilsynet og ud til de enkelte dataansvarlige. Til forskel fra under persondataloven, hvor bl.a. anmeldelsessystemet i vidt omfang medvirkede til en grad af – utilsigtet – forskydning af ansvaret for reglernes efterlevelse over på Datatilsynet, indebærer princippet om accountability således, at den enkelte dataansvarlige selv skal kunne indestå for og dokumentere reglernes efterlevelse.
