I de kommende fire uger vil jeg i klummen her fortælle om den nye persondataforordning og dens enkelte dele. Fokus er på, hvad der er relevant for danske virksomheder.
Mine klummeindlæg lægger på til mit indlæg på Computerworlds store datasikkerhedsevent 27. januar 2016 og følger op herpå.
I dette første indlæg prøver jeg at give et overblik over de væsentligste punkter i den nye persondataforordning.
Efter lang tids forhandlinger i den såkaldte trilog blev EUs lovgivende institutioner den 15. december endeligt enige om udformningen af persondataforordningen.
Persondataforordningen skal formelt godkendes, hvorefter den vil blive offentliggjort i starten af 2016. Herefter vil persondataforordningen træde i kraft 2 år og 20 dage fra offentliggørelsen.
Der må altså forventes formel ikrafttræden i første kvartal af 2018.
De mest overordnede konsekvenser af persondataforordningen er, at de, der behandler persondata, vil få et større ansvar, at individer vil få udvidede rettigheder og at de nationale datatilsyn vil få bedre og skærpede håndhævelsesmuligheder.
De mere specifikke tiltag gennemgås overordnet nedenfor. Jeg vil i de kommende klummeindlæg gå mere i detaljer hermed.
De specifikke tiltag
Fremover vil persondataforordningen gælde for alle, der behandler persondata. Også virksomheder uden for EU blive omfattet, hvis de tilbyder varer eller tjenester til EU-borgere.
Dette er en vigtig nyskabelse i forhold til forordningens rækkevidde.
Persondataforordningen vil omfatte de samme typer af persondata som under den tidligere persondatalov, dog med tilføjelse af genetiske data (for eksempel DNA) og biometriske data (for eksempel fingeraftryk).
Derudover introduceres konceptet "pseudonyme data", som er en måde at håndtere persondata, hvor dataene og de tilknyttede informationer, der er med til at identificere personerne bag dataene, holdes adskilt.
Børn under 13 år
Samtykke fra børn vil under persondataforordningen blive reguleret særskilt fra voksne.
Herefter kan børn under 13 år ikke give samtykke til behandling af persondata i forbindelse med online-serviceydelser. Dette er meget vigtigt at holde sig for øje for virksomheder, hvis produkter er målrettet børn.
Underretningspligt inden for 72 timer
Fremover vil der indføres en underretningspligt, hvorefter underretning om alvorlige brud på datasikkerheden skal ske inden for 72 timer til de nationale datatilsyn.
Virksomheder og myndigheder skal fremover sikre, både at persondatabeskyttelsesreglerne overholdes samt dokumentere, at dette sker ved hjælp af interne procedurer og privatlivspolitikker - dette kaldes Privacy By Design og Privacy by Default.
Derudover indføres der krav om, at der foretages såkaldte "Privacy Impact Assessments" i en række situationer, hvor behandlingen af persondata kan medføre særlige risici for den enkelte.
Udpeg en DPO
Der vil som noget helt nyt blive indført et krav om tilknytning af en såkaldt DPO (Data Protection Officer) både i den offentlige sektor og for virksomheder, hvis deres hovedaktivitet er behandling af persondata, eller hvor der behandles mange følsomme oplysninger.
Dette er altså ikke som et generelt krav, men det er vigtigt at undersøge, om det vil være nødvendigt for din organisation.
Virksomheder og myndigheder har tidligere været underlagt en oplysningspligt overfor den registrerede, og fremover vil denne blive mere vidtgående og vil skulle give dybdegående information til enkeltpersoner vedrørende håndteringen af dennes persondata og rettigheder i henhold til forordningen.
Retten til at blive glemt
Retten til at blive glemt, eller "the right to be forgotten" som det er bedre kendt under, vil blive cementeret i persondataforordningen.
Dog må dataansvarlige stadig behandle persondata, selvom enkeltpersoner kræver dataene "glemt", såfremt den dataansvarlige har en legitim grund til at fortsætte.
Der indføres en ny ret til dataportabilitet. Herefter vil enkeltpersoner, der har afgivet persondata til en dataansvarlig, kunne kræve sådanne persondata udleveret i et standardformat eller overført til en anden dataansvarlig, såfremt dette rent teknisk er muligt.
Persondataforordningen vil indføre en såkaldt one-stop-shop mekanisme, hvorefter virksomheder alene skulle have kontakt med én enkelt tilsynsmyndighed, som udgangspunkt.
For at opfylde dette, skal tilsynsmyndighederne inden for EU samarbejde i væsentlig højere grad, end det er tilfældet i dag, ligesom der skal ske harmonisering af de afgørelser og retningslinjer, som myndighederne udstikker.
Kæmpemæssige bøder
Som nævnt ovenfor vil håndhævelsen af reglerne blive skærpet. Dette vil blandt andet ske ved, at bødeniveauet ændres markant.
Modsat de tidligere minimale bøder, der blev udstedt under persondataloven, vil der fremover kunne udstedes bøder på op til EUR 20.000.000 eller fire procent af den globale årlige koncernomsætning, afhængigt af hvad der er højest.
Det er for den interesserede vigtigt at notere sig, at persondataforordningen ikke adresserer den nylige afgørelse vedrørende Safe Harbor-ordningens ugyldighed, som i stedet håndteres adskilt fra forordningen.
(Tak til mine Bird & Bird-kollegaer, advokatfuldmægtig Amalie Langebæk og advokatfuldmægtig Kamilla Pierdola Mondrup, for hjælp med indlægget.)
Læs også:
Ny skrap EU-datalov får konsekvenser for dig: Sådan kan du ruste din virksomhed
Hackerne kommer - og du kan (næsten) intet gøre
Tvang: Skal dit firma ansætte en databeskyttelses-chef eller smutter du under søgelyset?