Ny dataforordning udfordrer offentlige myndigheder

Nye regler om persondata

I december 2015 blev der opnået enighed mellem EU Kommissionen, Europa-Parlamentet og Rådet om en ny persondataforordning.

Forordningen indeholder en række nye og ændrede regler for behandling af personoplysninger, og den vil erstatte persondatadirektivet, som i Danmark er gennemført i persondataloven. 

Forordningen forventes endeligt vedtaget i foråret 2016 og træde i kraft 2 år efter vedtagelsen,
det vil sige forventeligt anden kvartal 2018.

Blandt de centrale nyskabelser er:

• Øgede dokumentationskrav for overholdelse af forordningen, som bl.a. omfatter kortlægning af:
  • Hvilke typer data der behandles
  • Formålet med behandlingerne
  • Kategorier af registrerede personer og modtagere af oplysninger
  • Eventuelle videregivelser til usikre tredjelande
  • Angivelse af tidsfrister for sletning af oplysninger

• Pligt til at udarbejde konsekvensanalyser (Privacy Impact Assessments), hvis behandlingen af
  personoplysninger indebærer høje risici for registreredes rettigheder og friheder.

• Pligt til at lave 'indbygget databeskyttelse' ('privacy by design og by default'), dvs. til at tænke
  databeskyttelse ind fra start ved udviklingen af nye IT-løsninger, services m.v.

• Udpegning af en databeskyttelsesansvarlig ('data protection officer'/'DPO') bliver obligatorisk
  for alle offentlige myndigheder – og visse private virksomheder. DPO’en skal have en særlig viden
  om persondatabeskyttelse og bl.a. sikre, at forordningens regler overholdes i myndighedens/
  virksomhedens daglige drift.

• Mulighed for indførelse af væsentligt højere bøder for overtrædelser af forordningen. op til
  20 millioner Euro eller fire procent af årlig omsætning for virksomheder. De enkelte medlemsstater kan dog selv bestemme, om bøderne skal udstedes administrativt af Datatilsynet eller fastsættes af domstolene samt bødeniveauet.

Kilde: Kammeradvokaten, Advokatfirmaet Poul Schmith