Hvad betyder den nye EU-Persondataforordning?

Tine Olsen - onsdag d. 13. januar, 2016

Den 15. december 2015 blev der opnået politisk enighed i EU om persondataforordningens ordlyd.

Dette betyder, at forordningen formelt vil blive vedtaget i begyndelsen af 2016, når arbejdet med at oversætte og kvalitetssikre de 23 sprogversioner af forordningen er afsluttet.

Når forordningen formelt er vedtaget, vil der være en 2-årig frist for ikrafttrædelsen. Det betyder, at forordningen først vil få virkning for alle berørte virksomheder og myndigheder efter de 2 år.

Her vil vi give en opsummering af nogle af de væsentlige punkter i forordningen, som virksomheder og myndigheder bør have fokus på.

Formålet med forordningen
Formålet med forordningen er at forstærke databeskyttelse og rettigheder for individer, facilitetere datas frie bevægelighed og reducere den administrative byrde. Grundlæggende skærpes kravene til behandling af data, og de omfattede virksomheder/myndigheder skal igangsætte en juridisk øvelse for, at leve op til lovens regler.

Forordningens omfang
Forordningen finder anvendelse på behandling af persondata inden for den Europæiske Union. I følge forordningens artikel 4 er persondata som udgangspunkt defineret som følgende:

"Enhver information, der kan relateres til en identificeret person, eller data der kan direkte eller indirekte identificere en person. F.eks. kan der være tale om navn, CPR-nr. online identifikationer eller oplysninger angående fysisk, psykologisk, økonomisk, kulturel tilstand samt religiøs eller politisk overbevisning."

Væsentlige punkter i den nye forordning

  • Krav til dokumentation
    Overordnet er der blevet indført skærpede krav til, at virksomheden/myndigheden skal kunne dokumentere, at reglerne overholdes. Blandt andet er det vigtigt, at virksomheden/myndigheden kan dokumentere, at samtykke er givet forinden behandling af persondata.

  • Der er indført en ret til at blive glemt (right-to-be-forgotten)
    Forordningens artikel 17 specificerer, at datasubjekter har ret til at blive slettet i en database. Det vil sige, at en person inden for visse ramme har ret til at kontakte en databehandler og få dokumentation for, at vedkommendes persondata er blevet slettet på anmodning.

  • Notifikation til datatilsynet og berørte personer
    Et databrud skal uden unødig forsinkelse, og ikke senere end 72 timer efter at virksomheden er blevet bekendt med databruddet, berettes til datatilsynet jf. forordningens artikel 31, jf. artikel 51.

    Når et databrud overvejende sandsynligt resulterer i høj risiko for eksponering af individers data, skal databruddet også kommunikeres til de berørte datasubjekter/personer uden unødig forsinkelse.

  • Data Protection officer i offentlige myndigheder og visse private virksomheder
    Med forordningen bliver der indført et krav om, at alle offentlige myndigheder og visse private virksomheder skal udpege en Data Protection Officer (DPO).

    DPO'ens opgave bliver at sikre, at regler og procedurer i forhold til behandling af personoplysninger overholdes i det daglige. DPO'en skal ansættes på særlige vilkår og skal være kvalificeret til at bestride opgaven. Overholder virksomheder og myndigheder ikke kravet om en DPO, kan det få store konsekvenser i form af bøder.

  • "One-stop-shop"
    For koncerner, der er etableret i flere EU-lande, bliver der truffet en enkelt tilsynsafgørelse, så de har nemmere ved at vide, hvilket datatilsyn der er kompetent til at håndhæve reglerne. Dette vil mindske de administrative omkostninger og hæve retssikkerhedsniveauet.

  • Sanktioner
    Forordningen indeholder en række foranstaltninger, der skal øge dataansvarliges forpligtelser og ansvar. Desuden er der indført nye sanktionsmuligheder. Registrerede datasubjekter og under visse omstændigheder kan databeskyttelsesorganisationer indgive en klage til en tilsynsmyndighed eller indbringe sagen for en domstol i tilfælde, hvor databeskyttelsesreglerne ikke overholdes. Dataansvarlige kan udsættes for maksimale bøder på op til 20 mio. euro eller 4 procent af koncernens samlede årlige omsætning.

Willis Towers Watsons anbefaling til virksomheder og myndigheder
Den nye forordning får ikke virkning før i 2018. Dog skal denne overgangsperiode på to år benyttes til at få redegjort hvilke regler, der er relevante for den konkrete organisation.

Første skridt er at få kortlagt hvilke bestemmelser i forordningen, der er af størst betydning for den konkrete organisation. Herunder vil det være væsentligt at få kortlagt hvilke former for persondata, der opbevares, og hvordan disse opbevares i dag. Dataene bør klassificeres og opdeles i kategorier, der gør det lettere at skabe et overblik.

Et overblik over den samlede eksponering af virksomhedens behandling af persondata kan medføre et behov for at søge juridisk rådgivning, og Willis Towers Watson anbefaler, at dette iværksættes snarest muligt, for at virksomheden/myndigheden bliver parat til de nye lovregler i 2018.

Forsikringsdækning i forbindelse med databrud
Overtrædelse af persondataforordningen kan medføre krav om erstatning eller godtgørelse. Desuden kan virksomheder/myndigheder lide et formuetab i form af omkostninger til genetablering af mistet, ødelagt eller manipuleret data og omkostninger til juridisk bistand i forbindelse med underretning af myndigheder eller berørte personer.

Vi anbefaler, at enhver virksomhed gennemgår interne procedurer og regler omkring opbevaring af persondata og analyserer de risici, der er forbundet hermed. Sluttelig bør der oprettes en beredskabsplan, som tager højde for, hvordan et databrud skal håndteres.

Det bør endvidere overvejes at tegne en cyberforsikring, der kan dække erstatningskrav rejst på baggrund af mistet persondata eller uberettiget offentliggørelse af persondata. Forsikringen kan også dække omkostninger til at notificere berørte personer og omkostninger til juridisk assistance i forbindelse med notifikation eller retssag. Ydermere er der dækning for omkostninger til at engagere it-konsulenter i forbindelse med genetablering af data og/eller netværk samt afværge cyberafpresning.


Denne artikel kan ikke anses som juridisk vejledning. I ethvert tvivlstilfælde henviser vi til den konkrete lovgivning og konkret juridisk rådgivning.