Ny dataforordning udfordrer offentlige myndigheder
PERSONDATA: Kommuner og andre offentlige myndigheder tager tilløb til at omsætte EU’s nye persondataforordning til praksis. Men mange ubekendte faktorer skaber uvished om opgavens omfang.
Kim Rosenkilde
RedaktørDer er selvfølgelig nyheder rundt omkring og nogle væsentlige nyskabelser. Men der er ingen grund til at dramatisere det for meget.
Peter Blume
Professor ved Københavns Universitet
Blækket på EU’s nye persondataforordning er knap nok tørt, før en stor mængde af spørgsmål begynder at trænge sig på.
Persondataforordningen har været på vej igennem EU-systemet siden 2012, og er blevet lagt stort an fra EU-Kommissionens side.
Men det endelige resultat er langt fra så skarpt formuleret som det oprindelige udkast.
Nye regler om persondata
I december 2015 blev der opnået enighed mellem EU Kommissionen, Europa-Parlamentet og Rådet om en ny persondataforordning.
Forordningen indeholder en række nye og ændrede regler for behandling af personoplysninger, og den vil erstatte persondatadirektivet, som i Danmark er gennemført i persondataloven.
Forordningen forventes endeligt vedtaget i foråret 2016 og træde i kraft 2 år efter vedtagelsen,
det vil sige forventeligt anden kvartal 2018.
Blandt de centrale nyskabelser er:
- Øgede dokumentationskrav for overholdelse af forordningen, som bl.a. omfatter kortlægning af:
- Hvilke typer data der behandles
- Formålet med behandlingerne
- Kategorier af registrerede personer og modtagere af oplysninger
- Eventuelle videregivelser til usikre tredjelande
- Angivelse af tidsfrister for sletning af oplysninger
- Pligt til at udarbejde konsekvensanalyser (Privacy Impact Assessments), hvis behandlingen af
personoplysninger indebærer høje risici for registreredes rettigheder og friheder.
- Pligt til at lave 'indbygget databeskyttelse' ('privacy by design og by default'), dvs. til at tænke
databeskyttelse ind fra start ved udviklingen af nye IT-løsninger, services m.v.
- Udpegning af en databeskyttelsesansvarlig ('data protection officer'/'DPO') bliver obligatorisk
for alle offentlige myndigheder – og visse private virksomheder. DPO’en skal have en særlig viden
om persondatabeskyttelse og bl.a. sikre, at forordningens regler overholdes i myndighedens/
virksomhedens daglige drift.
- Mulighed for indførelse af væsentligt højere bøder for overtrædelser af forordningen. op til
20 millioner Euro eller fire procent af årlig omsætning for virksomheder. De enkelte medlemsstater kan dog selv bestemme, om bøderne skal udstedes administrativt af Datatilsynet eller fastsættes af domstolene samt bødeniveauet.
Kilde: Kammeradvokaten, Advokatfirmaet Poul Schmith