Spring over hovedmenu
Spring over venstremenu

Anbefaling EU-REG. nr. 13 fra Implementeringsrådet: Databeskyttelsesforordningen

Mødedato 06. juni 2017

Implementeringsrådet vedtog på mødet den 06.06.17 anbefaling om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse), Implementering af ny EU-regulering

Ansvarligt ministerium Justitsminsteriet

Titel

EUROPA-PARLAMENTETS OG RÅDETS FORORDNING (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF
(generel forordning om databeskyttelse)

http://eur-lex.europa.eu/legal-content/DA/TXT/?uri=CELEX%3A32016R0679

EU nummerering

EUROPA-PARLAMENTETS OG RÅDETS FORORDNING (EU) 2016/679

Vurderes retsakten at få væsentlige konsekvenser for dansk erhvervsliv

Da der er tale om en forordning, skal den ikke implementeres.,
Forordningen vil have direkte virkning i Danmark, hvilket betyder, at der som udgangspunkt ikke må være anden dansk lovgivning, der regulerer behandling af personoplysninger, i det omfang dette er reguleret i forordningen – medmindre forordningen overlader et nationalt råderum herfor.
Forordningen indeholder nye elementer, herunder krav om, at dataansvarlige i visse tilfælde skal udpege en databeskyttelsesrådgiver, ligesom sanktionsniveauet bliver skærpet markant med forordningen. Det bemærkes, at det langt fra altid er nødvendigt for danske virksomheder at udpege en databeskyttelsesrådgiver.
Selvom der er tale om en forordning med direkte virkning, giver forordningen inden for en række områder mulighed for, at der i national ret kan fastsættes bestemmelser for at tilpasse anvendelsen af forordningen.
Det vil derfor være muligt i vidt omfang at opretholde danske regler i særlovgivningen, som vedrører behandling af personoplysninger.
Reglerne i den nugældende persondatalov skal derudover tilpasses til forordningen.
Justitsministeriet forventer at sende et udkast til en ny persondatalov i høring i løbet af sommeren 2017, og forslaget forventes som det klare udgangspunkt at videreføre den gældende retstilstand.

På nuværende tidspunkt forventes det således ikke, at der ved supplerende dansk lovgivning indføres bestemmelser, som ikke allerede følger af den nugældende persondatalov.
Databeskyttelsesforordningen medfører, at det er nødvendigt, at der ved siden af forordningen er national regulering, såfremt de nugældende muligheder for bl.a. behandling af personoplysninger og undtagelse fra eksempelvis oplysningspligten skal kunne fortsætte.

Typen af retsakt

Forordning, som overlader medlemsstaterne et nationalt råderum.

Dato for vedtagelse af retsakt i EU

Vedtaget 27. april 2016.

Metode til implementering

Da der er tale om en forordning, skal den ikke implementeres, men det vil være nødvendigt at tilpasse den nugældende persondatalov til databeskyttelsesforordningen.
Databeskyttelsesforordningen giver imidlertid inden for en lang række områder mulighed for, at der i national ret kan fastsættes bestemmelser for at tilpasse anvendelsen af forordningen. Forordningen overlader således medlemslandene et nationalt råderum, som giver mulighed for, at der opretholdes og fastsættes supplerende nationale bestemmelser om behandling af personoplysninger.
Der er i regi af Justitsministeriet blevet udført et analysearbejde i samarbejde med samtlige ministerier, KL og Danske Regioner samt Erhvervsstyrelsen, Datatilsynet og Digitaliseringsstyrelsen, hvor der er foretaget en nærmere analyse af forordningens bestemmelser, herunder forordningens rammer for nationale særregler, og en analyse af konsekvenserne for gældende dansk lovgivning.
Der er desuden i regi af Erhvervsstyrelsen blevet afholdt et work-shop forløb, hvor erhvervslivet har identificeret centrale problemstillinger for erhvervslivet i forhold til databeskyttelsesforordningen.
I forlængelse heraf har Justitsministeriet i samarbejde med Erhvervsstyrelsen afholdt et stormøde med ca. 350 deltagere, hvor det danske erhvervsliv bl.a. har været repræsenteret.
Justitsministeriet offentliggjorde den 24.maj 2017 en betænkning om databeskyttelsesforordningen med analyserne fra projektarbejdet, og der vil den 13. juni 2017 blive afholdt endnu et stormøde for bl.a. erhvervslivet.
Justitsministeriet forventer at fremsætte et lovforslag til en ny version af persondataloven i oktober 2017.
I forlængelse af betænkningen og lovforslaget vil der blive udarbejdet en række vejledninger. Listen over vejledninger fremgår nedenfor.

Plan for at undersøge implementeringen i andre lande

Danmark har i forbindelse med arbejdet med at tilpasse dansk lovgivning til forordningen deltaget i ekspertmøder i Kommissionen.
Endvidere har Danmark deltaget i en like-minded gruppe med Sverige, Finland, Tyskland, Holland, Luxembourg og Irland, hvor der er afholdt en række møder.

EU’s implementeringsfrist

Databeskyttelsesforordningen får virkning fra den 25. maj 2018.

Anbefalinger fra Implementeringsrådet

Ens fortolkningspraksis på tværs af lande

Det anbefales, at regeringen ser nærmere på proportionaliteten i sanktionsmulighederne for henholdsvis private virksomheder og for offentlige myndigheder. Det er vigtigt, at danske borgere og virksomheder har samme grad af tillid til, at deres data behandles på forsvarlig vis, uanset om data håndteres i privat eller i offentligt regi, og derfor bør brud på reglerne af offentlige myndigheder medføre sanktioner, der er proportionale med de sanktioner, en privat virksomhed ville ifalde for samme forseelse.

  • Databeskyttelsesforordningen åbner op for, at der frem mod ikrafttrædelsen i 2018 kan ske fortolkning af forordningens regler på en række områder. I den forbindelse er det vigtigt at sikre, at danske virksomheder stilles overfor ens krav, uanset hvilket EU-land virksomheder driver forretning i. Regeringen bør derfor arbejde for en harmoniseret fortolkningspraksis på tværs af alle EU-landene.
  • Et eksempel på et område, hvor der er behov for harmonisering, er reglen om databeskyttelsesrådgiverens muligheder for at tage aktivt del i virksomhedens arbejde med at skrive politikker og procedurer og iværksætte konkrete organisatoriske og tekniske sikkerhedsforanstaltninger. Det anbefales, at Danmark arbejder for en europæisk fortolkningspraksis, hvor databeskyttelsesrådgiveren kan bruges til at udføre alle opgaver, der vedrører persondataforordningen, dvs. både skrive politikker og procedurer og fungere som auditor. I praksis skal databeskyttelsesrådgiveren samtidig kunne bestride stillinger som it-chef, HR-chef eller kundechef og dermed medvirke til at skabe værdi for virksomhedens forretning i stedet for at alene at fungere som en unødvendig omkostning.

Forenkling af eksisterende regler

  • Forordningen giver mulighed for, at der kan fastsættes nationale særregler. Implementeringsrådet anbefaler, at der fastholdes så få danske særregler som muligt, og at der ske en forenkling af den nugældende persondatalov. Et eksempel på en utidssvarende dansk særregel er persondatalovens § 41, stk. 4, hvorefter oplysninger, der behandles for den offentlige forvaltning, og som er af særlig interesse for fremmede magter, skal kunne bortskaffes eller tilintetgøres i tilfælde af krig eller lignende forhold. Denne regel indebærer bl.a., at visse større landsdækkende administrative systemer og specialregistre ikke må føres i udlandet. Implementeringsrådet anbefaler, at denne regel afskaffes, da det tvinger data til at ligge indenfor et bestemt lands grænser.

Inddragelse af erhvervslivet og forbrugerrepræsentanter

  • Implementeringsrådet anbefaler, at der nedsættes en følgegruppe til implementeringen af forordningen.
  • Implementeringsrådet anbefaler, at Datatilsynet i højere grad og tidligere i processen inddrager de relevante erhvervsorganisationer i forbindelse med tilsynets arbejde i Artikel 29-gruppen1. Gruppens anbefalinger har meget stor betydning for den endelige fortolkning af forordningen, men pt. får de relevante erhvervsorganisationer først mulighed for at komme med input i forbindelse med de officielle høringer over næsten færdige anbefalinger.

Klare vejledninger

  • Regeringen bør arbejde for en harmoniseret fortolkningspraksis på tværs af alle EU–landene, som også afspejles i vejledningerne til persondatafordningen.
  • Implementeringsrådet ønsker at understrege vigtigheden af, at der udarbejdes vejledninger til erhvervslivet om forordningen og den danske implementering, og at disse vejledninger offentliggøres hurtigst muligt, så virksomhederne kan nå at tilpasse sig.
  • Eksempelvis lægger databeskyttelsesforordningen op til et helt nyt bøderegime for virksomheder, med bøder for overtrædelser på helt op til 20 mio. euro eller 4 % af den samlede globale koncernomsætning, hvis dette beløb er højere, jf. forordningens artikel 83. I tilknytning hertil forudsætter forordningen, at de nationale tilsynsmyndigheder (i Danmark Datatilsynet) skal have øget fokus på, at persondatareglernes overholdelse. Således følger det bl.a. af forordningens præambelbetragtning nr. 120, at medlemsstaterne skal sørge for, at de nationale tilsynsmyndigheder tilføres de nødvendige finansielle og menneskelige ressourcer samt lokaler og infrastruktur til ”effektivt” at kunne udføre sine tilsynsopgaver. I lyset heraf er det væsentligt, at Justitsministeriet udarbejder specifikke og brugervenlige vejledninger med ”best practice”, således at danske virksomheder på bedst mulig vis og på den mindst byrdefulde måde givet den politiske målsætning kan implementere Databeskyttelsesforordningen.
  • Vejledningerne bør i øvrigt indeholde konkrete praktiske eksempler på, hvordan de oftest forekommende virksomhedsrelaterede persondataproblemstillinger kan løses i praksis. Det gælder fx i et mere kommercielt perspektiv (behandling af personoplysninger om kunder og samarbejdspartnere), som ikke synes at have haft så stor bevågenhed under den nugældende persondatalov, hvorfor der heller ikke foreligger meget guidens herom. I den forbindelse er det særligt i relation til udbud (både efter tilbudsloven og udbudsloven) relevant nærmere at få retningslinjer i forhold til den enkelte ansøgers/tilbudsgiveres eventuelle elektroniske behandling, herunder indsamling og videregivelse, af personoplysninger i forbindelse med indgivelse/afgivelse af ansøgning/tilbud.
  • Implementeringsrådet kvitterer for listen med de planlagte vejledninger, men anbefaler, at der som minimum udarbejdes vejledninger ud fra et slutbrugerperspektiv på følgende områder:
  • Overordnet vejledning: Drejebog for SMV’ers efterlevelse af persondataforordningen
  • Vejledning b: Hvordan håndterer en virksomhed kundedata (kundernes persondata) i overensstemmelse med persondataforordningen?
  • Vejledning c: Procedure for håndtering af samtykke, herunder eventuel indhentning af fornyede samtykker
  • Vejledning d: Procedure for udlevering af (herunder også overførsel af), rettelser i og sletning af oplysninger efter datasubjektets ønske
  • Vejledning e: Håndtering af markedsføringsproblematik (herunder håndtering af samtykke til profilering og retten til ikke at blive profileret) og herunder loyalitetsprogrammer.
  • Vejledning f: Konkret hjælp til hvad virksomhedernes dokumentation af deres compliance med persondataforordningen, herunder indrapportering af sikkerhedsbrud til offentlig myndighed.
  • Vejledning g: Hjælp til indførelse af nye IT-systemer i overensstemmelse med persondataforordningen.
  • Vejledning h: Skabelon til en indledende risikovurdering forud for en konsekvensanalyse.
  • Vejledning i: Data Protection Officer (DPO) – ny medarbejderrolle i virksomheden. Hvem skal ansætte en DPO og hvilke funktioner må en DPO varetage?
  • Vejledning j: Håndtering af data i offentligt/privat regi såsom sundhedsdata

Implementeringsrådet henviser i øvrigt til en tidligere anbefaling om tidlig interessevaretagelse om vejledningen til Databeskyttelsesforordningen fra september 2016. Heri har rådet udpeget områder, hvor det er vigtigt at få klarhed, hvilket der også bør tages højde for i forbindelse med implementeringen i Danmark.

1 Artikel 29-gruppen består af repræsentanter fra de nationale tilsynsmyndigheder og udarbejder fælleseuropæiske fortolkningsbidrag i form af anbefalinger på forskellige områder af forordningen. Når forordningen træder i krat i maj 2018 bliver Ar)kel 29-gruppen afløst af Databeskyttelsesrådet, som vil have en rådgivende funktion, udstede retningslinjer og henstillinger samt have afgørelseskompetence på en række områder. 

 

Sidst opdateret: 07-05-2019