11/01/16EU forordningen om persondatabeskyttelse – opdatering

Udkastet til den Generelle Databeskyttelseslovgivning ser ud til at nærme sig den endelige underskrift. Udkastet indeholder mange af de nøgleelementer, som vi allerede tidligere har gjort opmærksom på. Overordnet er lovgivningen ukompliceret, let tilgængelig og afspejler bekymringer angående den stigende trussel om indtrængen i EU-borgernes privatliv.

Ansvarlighed – Mens den dataansvarlige stadig primært er ansvarlig for overholdelse, kan databehandlere under nogle omstændigheder have et lige så stort ansvar.

Beskyttelses af privatlivet gennem design (Privacy by design) – Dataansvarlige skal tage hensyn til konsekvenserne for beskyttelse af privatlivet ved alle omfattende ændringer af databehandlingen og indbygge beskyttelse af privatlivet i deres løsninger.

Privacy Impact Assessments – Lovgivningen introducerer en forpligtelse til at gennemføre risiko-baserede vurderinger af projekter for at sikre, at enhver behandling af personlige oplysninger forudser og minimerer risici.

Data portability – Datasubjekter (de registrerede) skal frit og effektivt kunne flytte deres data fra en organisation til en anden, fx ved skift af serviceudbyder etc.

Data Protection Officers – under nærmere definerede omstændigheder, vil organisationer være forpligtede til at udpege en DPO, som ‘gå-til’ person inden for organisationen med ansvar for DP compliance.

Udpeget repræsentant – organisationer, som befinder sig uden for EU, skal have en repræsentant med base i den jurisdiktion, hvor de arbejder eller behandler EU-borgernes personlige oplysninger.

“One-stop shop” – Da der vil være én gældende lovgivning på tværs af EU’s 28 medlemsstater, vil dataansvarlige kunne identificere den enkelte jurisdiktion, hvis tilsynsmyndighed vil have beføjelser til at afgøre om den overholdes.

Retten til at blive glemt (The Right to be forgotten) – Med mindre den dataansvarlige har en lovgivningsmæssig ret til at beholde data, har de registrerede ret til at kræve, at deres data fjernes og ikke længere behandles.

Indberetning om datakrænkelse – De dataansvarlige skal føre en logbog over datakrænkende hændelser, og skal give besked til den lovbestemte myndighed indenfor 48 timer efter at have opdaget krænkelsen.

Større bøder – De dataansvarlige og databehandlerne, som retsforfølges for overtrædelse af lovgivningen kan idømmes bøder på op til 4% af den årlige omsætning eller 20 mil Euro.

Privatliv som kriterium for valg af forhandler – Dataansvarlige bør kun anvende databehandlere, som kan stille tilstrækkelige garantier med hensyn til deres ekspertise, pålidelighed og tilstrækkelige ressourcer til at kunne garantere en sikker behandling.

Myndighedsalder – De dataansvarlige, der behandler børns personlige oplysninger (børn under 16 år) vil eventuelt skulle bevise at forældrene har givet deres tilladelse før databehandlingen.

Danmark nævnes særligt i loven (sammen med Estland). Det aktuelle retssystem i Danmark giver ikke mulighed for administrative bøder, udstedt direkte af Datatilsynet. Derfor skal sådanne bøder sandsynligvis idømmes af de danske domstole som straffeforanstaltninger. I alle tilfælde skal de idømte bøder være “effektive, proportionelle og afskrækkende”.
Den estimerede tidsplan gælder stadig – den endelige lovtekst forventes at blive offentliggjort af EU-parlamentet i marts, 2016 og vil gælde i EU-medlemsstaterne to år senere, i begyndelsen af 2018.

Digicure arbejder fortsat med vores kunder for at hjælpe dem med at forberede sig på den nye lovgivning. For mange vil dette omfatte organisatoriske, system- og proceduremæssige ændringer, samt uddannelse af personalet.

For nogle, der allerede kæmper med overholdelse af den ‘gamle’ lovgivning, vil dette blive et noget stejlere bjerg at skulle bestige, men vi har to år!!

Nyhedsoversigt