01/02/16Opdatering: Sidste (og endelige?) udkast til den Generelle Databeskyttelseslovgivning

Udkastet til den Generelle Databeskyttelseslovgivning (GPRD) er nu blevet underskrevet af EU-regeringens treenighed – kommissionen, parlamentet og ministerrådet. Forordningen indeholder mange af de nøgleelementer, som vi allerede tidligere har gjort opmærksom på. Overordnet er lovgivningen ukompliceret, let tilgængelig og afspejler bekymringer angående den stigende trussel om indtrængen i EU-borgernes privatliv.

Formålet med GDPR er at give EU-borgere bedre kontrol over deres personlige data og større beskyttelse af privatlivet. I modsætning til tidligere implementeret lovgivning om databeskyttelse vil denne lovgivning træde i kraft på samme dato i alle 28 EU- medlemslande.

På baggrund af de seneste meldinger fra EU, kan vi forvente at denne dato vil være i begyndelsen af 2018, to år fra den dato, hvor den endelige tekst bliver vedtaget.

Forordningen tilstræber at opnå en harmonisering på tværs af medlemsstaterne gennem:
• At stille krav, som gælder i hele EU, til organisationer, som er i besiddelse af og /eller behandler personlige data.
• At give de nationale myndigheder ret til at foretage klart definerede sanktioner, herunder at idømme betydelige administrative bøder og straffe til organisationer, som ikke opfylder de krav, der er fastsat i lovgivningen.

Forordningen indfører et antal nye, definerede begreber, som viser hvor fokuserede og bekymrede lovgiverne er, når det gælder beskyttelse af privatlivet. De omfatter bl.a.:
Profilering – automatiseret behandling af data for at evaluere og forudsige individuel adfærd og præferencer
Pseudonymisering – forebyggelse af identifikation af et individ ved at separere nogle datapunkter fra et sæt
Datamodtager – en organisation som modtager persondata uden for EU-lovgivningens gyldighedsområde
Genetiske data – data angående et individs arvelige eller erhvervede karakteristika
Biometriske data – data fra teknisk behandling af individuelle karakteristika, som giver mulighed for bekræftelse af et individs unikke identifikation

De velkendte otte regler i EU-direktivet fra 1995 er bibeholdt, men de er blevet moderniserede og formuleres på en ny måde i forordningen. De er ikke beskrevet i forhold til de principper, som er udledt af OECD retningslinjerne fra 1980, som reglerne har til formål at håndhæve.

Gennemskuelighed – databehandling skal følge loven, være retfærdig og skal foregå på en gennemskuelig måde
Begrænset formål – data må kun indsamles til et nærmere bestemt, tydeligt og legitimt formål, og igen former for behandling må være i uoverensstemmelse med dette formål
Data-minimering – behandling af data skal være begrænset til det, der er nødvendigt for formålet
Rigtighed – upræcise eller ukorrekte personlige data skal rettes eller slettes så hurtigt som muligt
Begrænset lagring – data skal opbevares i et format, som giver mulighed for identifikation af individet i så kort tid som muligt og skal derefter anonymiseres eller slettes
Troværdighed og fortrolighed – datasikkerhed og troværdighed skal beskyttes ved hjælp af både teknologiske og organisatoriske strukturer
Ansvarlighed – datakontrollanten skal kunne vise, at lovgivningen overholdes i praksis.

Den vigtigste ændring her er måske, at der er fokus på forpligtelserne for datakontrollanten, som skal være proaktiv, når det gælder dokumentation og logning af DB-hændelser. Med den nye forordning vil der være fokus på, om kontrollanten kan fremvise de skridt, der er taget for at sikre overholdelse – herunder etablering af uddannelse, håndtering af datasikkerhedshændelser, risiko analyse af nye processer og procedurer etc.
Kontrollanter og behandlere opfordres aktivt til at søge om certificering efter anerkendte standarder (eksempelvis ISO 27001) og datatilsynsmyndighederne i de enkelte medlemslande opfordres til at definere adfærdskodekser, som kan bruges i forhold til vurdering af kontrollanter og behandlere i bestemte sektorer og brancher.

Følgende er hvad vi mener, er de vigtigste ændringer for datakontrollanter og behandlere i indholdet af GDPR (i tilfældig rækkefølge):
1. Ansvarlighed – Mens den dataansvarlige stadig primært er ansvarlig for overholdelse, kan databehandlere under nogle omstændigheder have et lige så stort ansvar. Forordningen anerkender også muligheden for at to eller flere dataansvarlige kan dele ansvaret, når de deler databehandlingen.

2. Beskyttelses af privatlivet gennem design (Privacy by design) – dataansvarlige skal tage hensyn til konsekvenserne for beskyttelse af privatlivet ved alle omfattende ændringer af databehandlingen og indbygge beskyttelse af privatlivet i deres løsninger.

3. Vurdering af indflydelse på beskyttelse af privatlivet – forordningen introducerer en forpligtelse til at gennemføre risiko-baserede vurderinger af projekter for at sikre, at enhver behandling af personlige oplysninger forudser og minimerer risici.

4. Større bøder – dataansvarlige og databehandlere, som retsforfølges for overtrædelse af lovgivningen kan idømmes bøder på op til 4% af den årlige omsætning – detaljer om straffene er stadig ikke helt fastsat.

5. Data Protection Officers – organisationer, som opfylder bestemte kriterier, vil være forpligtede til at udpege en DPO, som ‘gå-til’ person inden for organisationen med ansvar for DP compliance. Kriterierne omfatter offentlige myndigheder, organisationer, som behandler store mængder personfølsomme oplysninger, og databehandling, som omfatter systematisk overvågning af store befolkningsgrupper.

6. Data portability – datasubjekter (den registrerede) skal frit og effektivt kunne flytte deres data fra en organisation til en anden, fx ved skift af serviceudbyder etc.

7. Myndighedsalder – de dataansvarlige, som tilbyder sociale medietjenester til børn (under 16 år) vil skulle vise, at de har forældrenes tilladelse til databehandlingen. De enkelte EU-lande kan dog individuelt sænke den alder, der kræver forældrenes tilladelse, til 13 år.

8. Udpeget repræsentant – organisationer, som befinder sig uden for EU, skal have en repræsentant med base i den jurisdiktion, hvor de arbejder eller behandler EU-borgeres personlige oplysninger.

9. Territorium – forordningen vil gælde for alle organisationer uden for EU, som behandler EU-borgeres personlige data – en vigtig ændring som er af særlig interesse for internationale organisationer, som arbejder i EU.

10. “One Stop Shop” – da der vil være én gældende lovgivning på tværs af EU’s 28 medlemsstater, vil overvågningsmyndigheden (DP kommissæren) i det land hvor dataansvarlige har sit hovedsæde, have myndighed til at afgøre om forordningen overholdes.

11. Retten til at blive glemt – Med mindre den dataansvarlige har en lovgivningsmæssig ret til at beholde deres data, har datasubjekterne (de registrerede) ret til at kræve, at deres data fjernes og ikke længere behandles.

12. Privatliv som kriterium for valg af forhandler – dataansvarlige bør kun anvende behandlere, som kan stille tilstrækkelige garantier med hensyn til deres ekspertise, pålidelighed og tilstrækkelige ressourcer til at kunne garantere en sikker behandling.

13. Klar og bekræftet samtykke – datasubjektet (den registrerede) skal give klart samtykke til behandling af private data, hvilket giver individer mere kontrol over behandlingen af deres egne personlige data, især til direct-marketing formål. Tavshed, bokse med allerede satte flueben eller inaktivitet vil ikke betyde samtykke. Endelige vil datasubjektet til enhver tid have ret til at tilbagekalde sit samtykke.

14. Sekundære formål med behandling – organisationer vil ikke have ret til at indsamle data til et erklæret formål og så bruge dem til noget andet uden først at give besked til datasubjekterne (de registrerede).

15. Forståeligt sprog – Information om planlagt behandling bør gives i klart formuleret sprog inden indsamling af data. Det vigtigste er, at overdrevet tekniske og utilgængelige privatlivspolitikker, skrevet med småt, som forvirrer datasubjekter, ikke vil være tilladt.

16. Registrering – der er ikke længere noget krav om registrering hos datatilsynsmyndigheden i den jurisdiktion, hvor dataansvarlige har nedsat sig – dette erstattes af forpligtelsen til at oprette og vedligeholde logs med PIA’er, datakrænkelseshændelser og alle andre aspekter angående data administration.

17. Danmark nævnes særligt i forordningen (sammen med Estland). Fordi det nuværende retssystem i Danmark ikke giver mulighed for administrative bøder, som idømmes direkte af Datatilsynet, kan bøder idømmes af de danske domstole som straffeforanstaltning. I alle tilfælde skal de idømte bøder være “effektive, proportionelle og afskrækkende”.
Den offentliggjorte forklaring nævner, at nu hvor forordningen er udsendt, vil overvågningsmyndighederne i de enkelte EU-medlemslande snart vurdere DP problemer og brud ved at se efter tegn på en “tænke fremad” holdning. Det betyder, at det vil være en fordel for organisationerne at begynde opbygningen af strukturer, som lever op til de nye regler, så hurtigt som muligt

Den estimerede tidsplan gælder stadig – den godkendte lovtekst vil blive offentliggjort af parlamentet i marts, 2016 og vil gælde i de 28 EU-medlemsstaterne to år senere, i begyndelsen af 2018.

For nogle, der allerede kæmper med overholdelse af den ‘gamle’ lovgivning, vil dette blive et noget stejlere bjerg at skulle bestige, men vi har to år!!

Vi glæder os til at samarbejde med dig og dine kolleger i de kommende måneder, hvor vi forsætter denne rejse.

Download EU forordningen om Persondatabeskyttelse (versionen der er opnået enighed omkring d. 15/12-2015) her!

Nyhedsoversigt