Persondataforordningen

Status og introduktion af nogle af de væsentlige ændringer, herunder særligt bødeniveauet.

EU har vedtaget forordningen General Data Protection Regulation (efterfølgende Persondataforordningen), som omhandler beskyttelsen af fysiske personers personoplysninger i forbindelse med andres behandling heraf. Denne indeholder 99 artikler, som overordnet skal sikre en harmonisering af reglerne, herunder ens fortolkning heraf, i medlemslandene. Persondataforordningen vil få direkte – horisontal og vertikal – virkning i dansk ret på lovsniveau pr. 25. maj 2018 uden nærmere implementering, og afløser det nuværende persondatadirektiv og dermed den danske persondatalov.

Persondataforordningen er af denne grund blevet en realitet, som giver »de registrerede« rettigheder, men forpligter »databehandlerne« og »dataansvarlige«. »De registrerede« er de fysiske personer, som personoplysningerne vedrører. Disse har en række rettigheder, som de bør stifte nærmere bekendtskab med, herunder særligt deres indsigtsret, ret til berigtigelse, sletning, dataportabilitet, til begrænsning af behandlingen samt indsigelse. Rettighederne er ikke alle nye, da flere allerede er indeholdt i den eksisterende lovgivning.

Heroverfor skal de »dataansvarlige«, dem der har ansvaret for behandlingen af data, og »databehandlerne«, dem som faktisk udfører behandlingen på vegne af de dataansvarlige, som pligtsubjekter, forholde sig til en række skærpede krav til databehandling. Disse subjekter kan være både fysiske- og juridiske personer samt offentlige myndigheder, institutioner og andre organer.

De skærpede krav har ført til adskillelige artikler m.v. om Persondataforordningen, som på nuværende tidspunkt må anses som et særdeles samfundsaktuelt emne. Dette skyldes hovedsageligt introduktion af betydelige bøder for ikke at efterleve forordningen, som er indeholdt i forordningens art. 83, stk. 4 og stk. 5. Disse indeholder nemlig to bødeniveauer op til €10.000.000,00 henholdsvis €20.000.000,00, eller en procentvis del af virksomheden samlede globale årlige omsætning.

Bødeniveauet
Det førnævnte bødeniveau udgør et bødeloft, da ordlyden i artikel 83 fastsætter niveauet »op til«. På nuværende tidspunkt er det uklart, hvilket bødeniveau som den danske tilsynsmyndighed vil praktisere. Den højeste bøde i dansk praksis udgør på nuværende tidspunkt 25.000,00 kr. i godtgørelse for videregivelse af følsomme oplysninger fra en kommune til en anden kommune i strid med persondataloven. Det er sikkert, at dette bødeniveau vil blive øget betragteligt, da forordningen fastslår at bøderne »under alle omstændigheder skal være effektive, stå i rimeligt forhold til overtrædelsen og have afskrækkende virkning« og som følge af at Persondataforordningen har til hensigt, at opnå en større harmonisering i Unionen.

Til sammenligning har den største bøde i Storbritannien, udstedt i 2015 af UK Information Commissioner’s Office (“ICO”), udgjort £400.000,00, svarende til ca. 3.500.000,00 kr. Den Italienske tilsynsmyndighed, Garante per la protezione dei dati personali, udstedte imidlertid i 2017 en bøde på €11.000.000,00, svarende til ca. 82.000.000,00 kr. Det europæiske bødeniveau for overtrædelse af persondatareglerne er således væsentlig højere end i Danmark, hvilket også kan forklare, hvorfor de fleste danske virksomheder ikke allerede tager den nugældende persondatalov alvorligt.

Nogle af de nye tiltag i hovedtræk
Persondataforordningen bygger videre på den eksisterende lovgivning, men indeholder en række nye rettigheder/pligter, hvor kravet om indhentelse af samtykke og retten til dataportabilitet vil blive omtalt nedenfor.

Persondatalovens § 6, stk. 1, nr. 1 og § 7, stk. 2, nr. 1 fastsætter, at behandlingen af personoplysninger for at være lovlig bl.a. kræver indhentelse af samtykke fra den registrerede. Samtykket skal være frit, specifikt og informeret, jf. lovens § 3, nr. 8. Persondataforordningen kræver, at samtykket tillige skal være utvetydigt. Dette betyder at den registrerede ved en aktiv handling skal give sit samtykke. Dermed kan tavshed, forudafkrydsede felter eller inaktivitet ikke længere udgøre et samtykke.

Derudover er der fastsat en yderligere betingelse for indhentelsen af et barns samtykke (under 16 år) i forbindelse med informationstjenester. I denne forbindelse skal den dataansvarlige efter forordningens art. 8 kunne påvise, at samtykket gives eller godkendes af indehaveren af forældremyndigheden over barnet. På nuværende tidspunkt er forordningen tavs om, hvorledes dette skal udføres i praksis.

Retten til dataportabilitet er en helt ny rettighed, som indebærer, at de registrerede i nogle situationer kan kræve at få udleveret deres personoplysninger i et struktureret, almindeligt anvendt og maskinlæsbart format, således disse oplysninger kan sendes til en anden dataansvarlig.

JURA, Jan Toft Olesen, advokat.