Nye europæiske regler om databeskyttelse

To nye forslag fra Europa-Kommissionen.

Efter megen spekulation og forventning offentliggjorde Europa-Kommissionen den 25. januar 2012 to nye forslag til regulering: en forordning om en generel EU-ramme for databeskyttelse og et direktiv om beskyttelse af personoplysninger, der behandles med henblik på forebyggelse, afsløring, efterforskning og retsforfølgning af strafbare handlinger og andre retlige relaterede aktiviteter.  

Forordningen træder i stedet for det nuværende databeskyttelsesdirektiv (direktiv 95/46/EF) og indeholder et revideret sæt databeskyttelsesregler, som vil gælde direkte i alle EU-medlemslandene. Dette adskiller sig fra, hvordan tingene er i dag, idet det nuværende databeskyttelsesdirektiv er implementeret ved lov i det enkelte medlemsland.  Formålet med forordningen er, at komme de mange forskelligheder for hvordan det nuværende direktiv er blevet implementeret i medlemslandene til livs og derved sikre større sammenhæng mellem de europæiske databeskyttelsesregler. 

Forordningen vil fortsætte mange af de databeskyttelsesretlige principper, som vi kender i dag. Når det er sagt, vil der dog ske væsentlige ændringer på en række centrale områder, som vil gøre reglerne bredere, dybere og mere præskriptive, hvis forordningen vedtages i sin nuværende form. Disse ændringer har til formål at sikre, at reglerne fortsat er egnede til at beskytte personoplysninger i det 21. århundrede, særligt med fokus på brug af personoplysninger på Internettet og personoplysninger i en international sammenhæng.

De overordnede ændringer indebærer:

  • Et enkelt sæt databeskyttelsesregler, som er gældende i hele EU. Unødvendige administrative krav, såsom virksomheders anmeldelsespligt, vil blive fjernet. 
  • I stedet for den nuværende forpligtelse for virksomheder til at anmelde databeskyttelsesaktiviteter til databeskyttelsesmyndighederne, lægger forordningen op til øget ansvarlighed blandt dem, der behandler personoplysninger. 
  • Virksomheder og organisationer skal hurtigst muligt underrette den nationale tilsynsmyndighed om alvorlige brud på datasikkerheden (om muligt inden for 24 timer).
  • Organisationer vil alene skulle have at gøre med databeskyttelsesmyndigheden i det land, hvor organisationen har sit hovedsæde. På samme vis kan folk nøjes med at henvise til databeskyttelsesmyndigheden i deres hjemland, selv hvis deres personoplysninger bliver behandlet af en virksomhed etableret uden for EU.  
  • I tilfælde, hvor samtykke er påkrævet for at kunne behandle personoplysninger, er det blevet klargjort, at samtykket skal være givet udtrykkeligt og ikke indirekte.  
  • Folk vil få lettere adgang til deres personoplysninger og på en nemmere måde være i stand til at overføre disse oplysninger fra en tjenesteyder til en anden (ret til dataportabilitet).
  • En “ret til at blive glemt” vil hjælpe folk med bedre at kunne håndtere databeskyttelsesrisici online: folk vil kunne kræve, at deres oplysninger bliver slettet, hvis der ikke er legitime grunde til at opbevare dem.
  • EU-reglerne skal finde anvendelse, hvis personoplysninger behandles af udenlandske virksomheder, der er aktive på EU-markedet og som tilbyder deres tjenester til borgere i EU. 
  • De nationale databeskyttelsesmyndigheder vil blive styrket, således at de bedre kan håndhæve reglerne nationalt. Myndighederne vil blandt andet kunne pålægge virksomheder, som overtræder reglerne, bøder på op til EUR 1 mio. eller op til 2% af virksomhedens samlede årlige omsætning. 
  • Sideløbende med forordningen vil et nyt direktiv om generelle databeskyttelsesretlige principper og regler for politisamarbejde og retligt samarbejde i sager om kriminelle forhold finde anvendelse.  Reglerne vil gælde for både indenlandske og grænseoverskridende overførsler af personoplysninger.

Den fulde tekst af den foreslåede forordning kan læses her (bemærk, at teksten er på engelsk):

http://ec.europa.eu/justice/data-protection/document/review2012/com_2012_11_en.pdf

Forslaget er nu sendt til høring i Europa-Parlamentet og EU-medlemslandene, hvilket kan resultere i yderligere revisioner, førend forslaget formelt vedtages. Denne proces kan tage lang tid. Udtalelser fra ICO (”The Information Commissioner’s Office ”, svarende til det danske Datatilsyn) indikerer, at forslagene  ikke repræsenterer en enig holdning til emnet blandt medlemsstaterne. Forordningen træder i kraft to år efter det tidspunkt, hvor den vedtages. På det tidspunkt vil de gamle regler i direktiv 95/46/EF blive ophævet, og den nye ordning træder i kraft.

Ovenstående er alene af vejledende karakter og bør derfor ikke betragtes som egentlig juridisk rådgivning.

For yderligere oplysninger kontakt advokat Catrine Søndergaard Byrne, Eversheds, på telefon 33 75 05 64.