Bruger:Bornholmer/sandkasse

Persondataforordningen (Forordning 2016/679) er en forordning som skal styrke og harmonisere persondatabeskyttelsen ved behandling af personoplysninger i Den Europæiske Union (EU). Den omhandler også i udstrakt grad databehandling som sker udenfor EU eller overførsel af personoplysninger ud af EU. Ofte benævnt som GDPR baseret på den engelske forkortelse.

Forordningen træder i kraft 25. maj 2018. Den afløser databeskyttelsesdirektivet. Forordningen får direkte virkning i medlemslandene, og kræver derfor – i modsætning til direktiv – ikke national lovgivning for at være gældende. Danmark må som EU-medlem følge forordningen som den er og uden tilpasninger i stil med Persondataloven.

Opsummering[redigér | rediger kildetekst]

Forordningen udvider virkeområdet for EUs lovgivning om personoplysninger ved yderligere at dække alle udenlandske selskaber som behandler data om borgere i EU. Ved at skabe et fælles regelværk i EU er det hensigten at det skal blive enklere for virksomheder at følge reglerne. Der lægges op til en streng databeskyttelse, og brud kan medføre store bøder på op til 4% af virksomhedens samlede omsætning.

Indhold[redigér | rediger kildetekst]

Forordningen viderefører mange af databeskyttelsesdirektivets regler, men afløser dette direktiv. Forordningen indeholder desuden følgende centrale ændringer:

Virkeområde[redigér | rediger kildetekst]

Forordningen gælder dersom den behandlingsansvarlige eller databehandleren (en virksomhed) eller den registrerede (individet) er i EU.

I motsætning til det eksisterende direktiv gælder forordningen også for virksomheder som er baseret udenfor Den Europæiske Union, hvis de behandler personoplysninger om EUs borgere.

Forordningen gælder ikke behandling af personoplysninger i forbindelse med national sikkerhed eller kriminalitetsbekæmpelse.

Personoplysningsbegrebet dækker alle oplysninger knyttet til en person, enten det gælder vedkommendes private, professionelle eller offentlige liv. Det kan være alt fra et navn, et billede, en e-mail-adresse, bankdetaljer, indlæg på sociale medier, medicinsk information, eller en IP-adresse i forbindelse med en internetforbundet enhed. ^[1]

Fælles regler og one-stop shop[redigér | rediger kildetekst]

Forordningen giver et fælles regelsæt for alle EU-medlemslande og lande der har valgt at følge det, f.eks. Norge. Hver medlemsstat skal oprette en uafhængig tilsynsmyndighed som skal tage imod og behandle klager og fastlægge administrative sanktioner for brud på forordningen. Tilsynsmyndighederne i hver medlemsstat skal samarbejde med de andre tilsynsmyndigheder, og give gensidig bistand.

For virksomheder som er etablerede i flere medlemsstater vil en enkelt tilsynsmyndighed kunne virke som den ledende tilsynsmyndighed. Denne skal vælges baseret på placeringen af virksomhedens «viktigste etablering» (dvs., stedet hvor den vigtigste databehandling foregår). Den ledende tilsynsmyndighed vil fungere som en «one-stop-shop» for at føre tilsyn med alle behandlingsaktiviteter for erhvervslivet i hele EU^[2]^[3] (Artikkel 46 - 55 i GDPR).

Koordinering af tilsynsmyndigheter vil udføres af Det Europæiske Databeskyttelsesråd. Denne råd vil afløse Artikel 29s "Working Party", som angivet i databeskyttelsesdirektivet.

Samtykke[redigér | rediger kildetekst]

Gyldigt samtykke skal være eksplicit for data som er indsamlet (Artikel 7; defineret i Artikel 4). Samtykke for børn under 13 år skal gives af en person med forældremyndighed over barnet (Artikel 8). Forordningen giver medlemslandene en mulighed for selv at sætte grænsen mellem 13+16 år. Behandlingsansvarlige må være i stand til at bevise samtykket (opt-in) og samtykket kan trækkes tilbage.^[4]

Databeskyttelsesrådgiver[redigér | rediger kildetekst]

Såfremt den dataansvarlige er en offentlig myndighed (med visse undtagelser for domstole m.m.) eller en virksomhed med over 250 ansatte, er det obligatorisk at udpege en databeskyttelsesrådgiver.

Pseudonymisering[redigér | rediger kildetekst]

Persondataforordningen refererer til områder hvor pseudonymisering er påkrævet. Det er defineret som en proces hvor personoplysninger omformes på en sådan måde, at personoplysningerne ikke længere kan henføres til en bestemt person eller enhed uden brug af supplerende oplysninger.

Sikkerhedsbrud[redigér | rediger kildetekst]

Efter forordningen vil den lokale databeskyttelsesrådgiver være retsligt forpligtet til at meddele tilsynsmyndighederner uden ubegrundet forsinkelse. Ved sikkerhedsbrud som har medført ulovlig behandling skal enkeltpersoner varsles af databehandleren eller datarådgiveren, men ikke påkrævet hvis der er tale om anonyme data.

Sanktioner[redigér | rediger kildetekst]

Følgende sanktioner kan blive pålagt:

en skriftlig advarsel i tilfælde af førstegangs- og ikke-tilsigtede brud
krav om jævnlige tilsyn
en bøde på op til 10.000.000 EUR eller, for virksomheder, op til 2% af forrige regnskabsårs totale årlige omsætning på verdensbasis. Største beløb gælder (Artikel 83 stk. 4 ^[5]))
en bøde på op til 20.000.000 EUR, eller, for virksomheder, op til 4% af forrige regnskabsårs totale årlige omsætning på verdensbasis. Største beløb gælder (Artikel 83, Afsnit 5 og 6^[5])

Ret til sletning («retten til at blive glemt»)[redigér | rediger kildetekst]

"Retten til at blive glemt" blev under forhandlingerne afløst af en mindre omfattende "ret til sletning". Artikel 17 fastslår at den registrerede har ret til at bede om at få personoplysninger om vedkommende slettet, hvis et af flere alternative grundlag er til stede. Et af grundlagene er at behandlingen ikke er lovlig, eksempelvis at artikel 6 (f) ikke er opfyldt. (se også Google Spain SL, Google Inc. v Agencia Española de Protección de Datos, Mario Costeja González).

Dataportabilitet[redigér | rediger kildetekst]

Den registrerede har i forordningen ret til at kunne overføre sine personoplysninger fra et system til et andet, uden at blive forhindret fra at gøre det af den dataansvarlige. Der er også et krav om at oplysningerne må gives til den registrerede i et struktureret og brugbart elektronisk format. Retten til data portabilitet har hjemmel i Artikel 18 i forordningen.

Databeskyttelse via design og gennem standardindstillinger[redigér | rediger kildetekst]

Artikel 25 pålægger at databeskyttelse er del af forretningsprocesser i forbindelse med produkter og tjenester. Dette forudsætter at standardindstillingen er sat til et "højt" niveau.

Tidslinie[redigér | rediger kildetekst]

Forslaget til Persondataforordningen (GDPR) blev publiceret 25. januar 2012 og Rådet havde som målsætning at kunne godkende det i starten af 2016.^[6]

The schedule is

21. oktober 2013: Afstemning i Europa-Parlamentets hovedansvarlige udvalg (LIBE).
15. december 2015: Forhandlinger mellem tre EU institutioner, trilog, der resulterede i et fælles forslag.
17. december 2015: LIBE-udvalget stemte igen med positivt udfald.
8. april 2016: Rådet vedtager.^[7]
14. april 2016: Europa-Parlaamentet vedtager.^[8]
Forordningen træder i kraft 20 dage efter dets publicering i EU-tidende 4. may 2016.^[9] Its provisions will be directly applicable in all member states two years after this date.
Træder i kraft 25. maj 2018.^[9]

Referencer[redigér | rediger kildetekst]

^ European Commission’s press release announcing the proposed comprehensive reform of data protection rules. 25. januar 2012.
^ The Proposed EU General Data Protection Regulation.
^ «GDPR proposal»
^ «How the Proposed EU Data Protection Regulation Is Creating a Ripple Effect Worldwide».
^ ^a ^b Article 83, GDPR
^ The EU General Data Protection Regulation Timeline, Allen & Overy
^ Data protection reform: Council adopts position at first reading
^ Data protection reform – Parliament approves new rules fit for the digital era
^ ^a ^b EU Official Journal issue L 119

Eksterne links[redigér | rediger kildetekst]

http://eur-lex.europa.eu/legal-content/DA/TXT/PDF/?uri=CELEX:32016R0679&from=EN EUROPA-PARLAMENTETS OG RÅDETS FORORDNING (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse)

[1] European Commission’s press release announcing the proposed comprehensive reform of data protection rules. 25. januar 2012.

[2] The Proposed EU General Data Protection Regulation.

[:1-3] «GDPR proposal»

[privacyassociation-4] «How the Proposed EU Data Protection Regulation Is Creating a Ripple Effect Worldwide».

[article83-5] Article 83, GDPR

[6] The EU General Data Protection Regulation Timeline, Allen & Overy

[7] Data protection reform: Council adopts position at first reading

[8] Data protection reform – Parliament approves new rules fit for the digital era

[eujournalpublication-9] EU Official Journal issue L 119

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]