Status på EU kommissionens forslag til nyt General Data Protection Regulation forordning?

Kommissionens målsætning med den nye forordninger er at harmonisere anvendelsen og håndhævelsen af databeskyttelsesretten, at fremme Det digitale Indre Marked samt at forbedre beskyttelsen af individers grundlæggende rettigheder.

Kommissionen fremsatte forslaget til den nye forordning i januar 2012 og parlamentet havde deres forslag på plads i marts 2014 hvorefter ministerrådet vedtog deres ”general approach” 15. juni 2015.

Ambitionen er at være færdig senest december i år med vedtagelse af forordningen første halvår 2016.

Den nye forordning indeholder krav som vi kender fra persondataloven og direktivet 95/46, men den nye og meget afgørende forskel er forordningen juridiske krav til den dataansvarlige, særlige krav til databehandlingsaftaler, skærpet og strafbelagt pligt til selv at melde/tilstå brister med rapportering til en central myndighed, pligt til at kunne dokumenterer at alle retlige krav er efterlevet, regler om søgsmål, Jurisdiktion m.m.

Kommissionens erklæret målsætning er en harmoniseret anvendelse og håndhævelse af databeskyttelsesretten, fremme realiseringen af Det Indre Marked samt at forbedre beskyttelsen af individers grundlæggende rettigheder, mens kommissionens supplerende målsætninger er at efterligne EU-konkurrencerettens succes, at rykke databeskyttelsen ind i bestyrelseslokalerne og at sikre at forordningen reelt efterleves.

Som tidligere nævnt bliver eventuelle bøder af en helt anden størrelse end vi tidligere har kendt i Danmark og fokus på om forordningen overholdes vil øges markant fra myndigheder, kunder, konkurrenter og medier. Et  punkt som pt. mangler afklaring er, hvor stor en organisation skal være for at der skal være krav om at ansætte en ”Data Protection Officer”. På nuværende tidspunkt er den eneste undtagelse: “Virksomheder og organisationer under 250 medarbejdere hvis hovedaktivitet ikke er behandling af persondata”.

Som det ser ud på nuværende tidspunkt er jobbeskrivelsen for en DPO følgende:

  • Ikke en intern rådgiver for virksomhed/organisation men derimod en persondatatillidsmand.
  • Har mange lighedspunkter med tilsvarende compliance funktion i den finansielle sektor.
  • Har ikke ansvar for at virksomhed/organisation overholder forordningen men at føre tilsyn.
  • Skal ikke varetage virksomhedens/organisationens interesser men derimod datasubjekternes og tilsynsmyndighedernes interesse.

Konklusionen på forordninger:

  • Større bøder, øget fokus fra myndigheder, kunder, konkurrenter og medierne.
  • Persondataforordningen er en game-changer inden for compliance med persondatabeskyttelse.
  • Man skal – som i dag – også kunne dokumentere, at man har en tilstrækkelig datasikkerhed.
  • Den store forandring bliver, at skulle dokumentere, at man overholder de materielle regler – altså at man har et lovgrundlag for sin indsamling og anvendelse af oplysningerne, at man orienterer individerne om, at man har deres oplysninger, at man har foretaget Privacy Impact Assessment osv.
  • Persondatabeskyttelse og datasikkerhed er ikke det samme!
  • Datasikkerhed handler om beskyttelse af virksomhedens interesser. Inden for datasikkerhed accepteres det, at der aldrig kan opnås fuldstændig sikkerhed.
  • Persondatabeskyttelse handler om beskyttelse af individernes interesser. Individerne er per definition ikke risikovillige. Enhver risikovilje fra virksomhedens side er en vilje til at tage en risiko for en bøde – og få en tur på forsiden!