Behandling af persondata og lovgivning

I Persondataloven dækker det at behandle persondata over "enhver operation eller række af operationer med eller uden brug af elektronisk databehandling, som oplysninger gøres til genstand for". Behandling omfatter indsamling, registrering, lagring, systematisering, ændring, udvælgelse, videregivelse, sammenstilling og lignende behandling.

Behandling af persondata
I praksis er al håndtering af persondata en "behandling af data" i lovens forstand, og "behandleren" skal som udgangspunkt have personligt samtykke fra de implicerede fysiske personer for at håndtere den registreredes persondata.

De behandlede data kan ifølge Persondataloven kun være de relevante og tilstrækkelige data, og disse skal kontinuerligt opbevares sikkert. Vi må henvise til Persondataloven for konkrete regler og retningslinjer.

Den virksomhed, der modtager, behandler eller opbevarer persondata, er ansvarlig overfor den fysiske person.

Sanktioner for dataansvarlige
Under nuværende lovgivning skal den dataansvarlige ifølge § 69 erstatte skade, der er forvoldt ved behandling i strid med bestemmelserne i denne lov, medmindre det godtgøres, at skaden ikke kunne have været afværget ved den agtpågivenhed og omhu, der må kræves i forbindelse med behandling af oplysninger. Strafferammerne vil blive skærpet betydeligt med den nye EU-forordning.

Hvad betyder den nye EU-Persondataforordning?
Den 15. december 2015 blev der opnået politisk enighed i EU om persondataforordningens ordlyd.

Det betyder, at forordningen formelt vil blive vedtaget i begyndelsen af 2016, når arbejdet med at oversætte og kvalitetssikre de 23 sprogversioner af forordningen er afsluttet. Når forordningen formelt er vedtaget, vil der være en 2-årig frist for ikrafttrædelsen. Det betyder, at forordningen først vil få virkning for alle berørte virksomheder og myndigheder efter de 2 år.

Her vil vi give en opsummering af nogle af de væsentlige punkter i forordningen, som virksomheder og myndigheder bør have fokus på.

Formålet med forordningen
Formålet med forordningen er at forstærke databeskyttelse og rettigheder for individer, facilitetere datas frie bevægelighed og reducere den administrative byrde. Grundlæggende skærpes kravene til behandling af data, og de omfattede virksomheder/myndigheder skal igangsætte en juridisk øvelse for, at leve op til lovens regler.

Forordningens omfang
Forordningen finder anvendelse på behandling af persondata inden for den Europæiske Union. I følge forordningens artikel 4 er persondata som udgangspunkt defineret som følgende:

"Enhver information, der kan relateres til en identificeret person, eller data der kan direkte eller indirekte identificere en person. F.eks. kan der være tale om navn, CPR-nr. online identifikationer eller oplysninger angående fysisk, psykologisk, økonomisk, kulturel tilstand samt religiøs eller politisk overbevisning."

Væsentlige punkter i den nye forordning

  • Krav til dokumentation
    Overordnet er der blevet indført skærpede krav til, at virksomheden/myndigheden skal kunne dokumentere, at reglerne overholdes. Blandt andet er det vigtigt, at virksomheden/myndigheden kan dokumentere, at samtykke er givet forinden behandling af persondata.

  • Der er indført en ret til at blive glemt (right-to-be-forgotten)
    Forordningens artikel 17 specificerer, at datasubjekter har ret til at blive slettet i en database. Det vil sige, at en person inden for visse ramme har ret til at kontakte en databehandler og få dokumentation for, at vedkommendes persondata er blevet slettet på anmodning.

  • Notifikation til datatilsynet og berørte personer
    Et databrud skal uden unødig forsinkelse, og ikke senere end 72 timer efter at virksomheden er blevet bekendt med databruddet, berettes til datatilsynet jf. forordningens artikel 31, jf. artikel 51.

    Når et databrud overvejende sandsynligt resulterer i høj risiko for eksponering af individers data, skal databruddet også kommunikeres til de berørte datasubjekter/personer uden unødig forsinkelse.

  • Data Protection officer i offentlige myndigheder og visse private virksomheder
    Med forordningen bliver der indført et krav om, at alle offentlige myndigheder og visse private virksomheder skal udpege en Data Protection Officer (DPO).

    DPO'ens opgave bliver at sikre, at regler og procedurer i forhold til behandling af personoplysninger overholdes i det daglige. DPO'en skal ansættes på særlige vilkår og skal være kvalificeret til at bestride opgaven. Overholder virksomheder og myndigheder ikke kravet om en DPO, kan det få store konsekvenser i form af bøder.

  • "One-stop-shop"
    For koncerner, der er etableret i flere EU-lande, bliver der truffet en enkelt tilsynsafgørelse, så de har nemmere ved at vide, hvilket datatilsyn der er kompetent til at håndhæve reglerne. Dette vil mindske de administrative omkostninger og hæve retssikkerhedsniveauet.

  • Sanktioner
    Forordningen indeholder en række foranstaltninger, der skal øge dataansvarliges forpligtelser og ansvar. Desuden er der indført nye sanktionsmuligheder. Registrerede datasubjekter og under visse omstændigheder kan databeskyttelsesorganisationer indgive en klage til en tilsynsmyndighed eller indbringe sagen for en domstol i tilfælde, hvor databeskyttelsesreglerne ikke overholdes. Dataansvarlige kan udsættes for maksimale bøder på op til 20 mio. euro eller 4 procent af koncernens samlede årlige omsætning.

OBS! Dette er ikke juridisk vejledning, og der henvises i ethvert tilfælde til advokatrådgivning.