EU-note - 2016-17 - E 27: Persondataforordning – evolution frem for revolution

Europaudvalget 2016-17
EUU Alm.del EU-note E 27
Offentligt

Europaudvalget, Sundheds- og Ældreudvalget, Uddannelses- og Forsk-

ningsudvalget og Retsudvalget

EU-konsulenterne

EU-note

Til:

Dato:

Udvalgets medlemmer

10. maj 2017

Kontaktperson:

Julia Ballaschk (3655)

Persondataforordning

–

evolution frem for revolution

Sammenfatning

I maj 2018 træder den nye EU-persondataforordning i kraft. Forord-

ning virker direkte i alle EU-medlemslande og erstatter dermed den

danske persondatalov. Forordningen styrker rettighederne for de per-

soner, hvis data bliver indsamlet og behandlet, og skærper kravene til

virksomheder og offentlige myndigheder.

I oktober 2017 forventes justitsministeren at fremsætte et lovforslag

om en ny persondatalov og eventuelt særlovgivning på visse områder,

som f.eks. forskning. Noten sammenfatter de vigtigste af forordnin-

gens ændringer og nyskabelser og deres mulige konsekvenser på

forskningsområdet.

I 2012 fremlagde EU-Kommissionen en persondatareform, der bl.a. omfattede

et forslag til en forordning, der skulle erstatte det efterhånden forældede direk-

tiv 95/46/EC. Årene forud var præget af en omfattende diskussion af behovet

for en revolution af persondataretten, der bl.a. tog højde for den tekniske ud-

vikling og den øgede betydning, persondataretten havde fået.

Retten til databeskyttelse er blevet en del af EU-primærret og er bl.a. beskyttet i EU-traktatens

art. 16 TEUF og i art. 8 i EU’s charter om grundlæggende rettigheder.

1/6

EU-note - 2016-17 - E 27: Persondataforordning – evolution frem for revolution

Forhandlingerne i Europa-Parlamentet og Rådet blev ledsaget af en lobbyind-

sats af hidtil uset omfang. Teksten, der blev endeligt vedtaget i april 2016, har

ikke revolutioneret EU-persondataretten, men videreudvikler de fleste af de

databeskyttelsesprincipper, som er kendt fra direktivet eller den gældende

danske lovgivning. Forordningen kodificerer desuden nogle af de seneste EU-

domme på persondataområdet. F.eks. gælder forordningen for alle virksom-

heder, der tilbyder tjenester til EU-borgere, uanset om de befinder sig i EU el-

ler ej.

Forordningen styrker rettighederne for personer, hvis data bliver behandlet

(de registrerede), indfører skrappere krav til dem, som behandler data, og ind-

fører betydeligt højere bøder for overtrædelsen af de nye regler.

Oversigt over ændringer i forhold til virksomheder og offentlige myndigheder

Emne

Ændring ift. til

persondatadi-

rektiv

Forpligtelser

Sanktioner

Skærpede regler om samtykke

Flere rettigheder til registrerede personer. Skærpede krav til op-

lysningspligten

Styrket ret til indsigt for registrerede personer

Ret til sletning (”retten til at blive glemt”)

Ret for registrerede til at begrænse databehandlingen

Ret til dataportabilitet

Pligt til at føre fortegnelser over databehandling

Databeskyttelse gennem design og databeskyttelse gennem

standardindstillinger

Virksomheder og offentlige myndigheder skal foretage risikovur-

dering

Notifikationspligt ved sikkerhedsbrud

Offentlige myndigheder og nogle virksomheder skal have en da-

tabeskyttelsesrådgiver (DPO).

Betydeligt højere bøder for virksomheder

Erstatningsansvar

Nye

regler

Sag C-131/12 Google v. Spain

2/6

EU-note - 2016-17 - E 27: Persondataforordning – evolution frem for revolution

Hvad betyder persondataforordning for forskningen?

Under forhandlingerne til persondataforordningen kom Europa-Parlamentet

med nogle ændringsforslag, der krævede samtykke, for at persondata kunne

bruges til videnskabelige formål. Forslaget ville have gjort det mere komplicer-

et at bruge personoplysninger og især følsomme oplysninger til forskning.

Nogle frygtede, at den danske registerforskning ville blive lagt i graven.

bange anelser blev dog ikke til virkelighed, idet Parlamentets ændringsforslag

ikke vandt støtte.

Den endelige forordningstekst ændrer stort set ikke på de

gældende danske og EU-regler.

De nuværende regler

Den nuværende persondatalov indeholder nogle særlige regler og undtagel-

ser, hvis personoplysninger behandles i forbindelse med videnskabelige, hi-

storiske eller statistiske formål:

Følsomme personoplysninger f.eks. om etnisk oprindelse eller om helbreds-

mæssige forhold og oplysninger om strafbare forhold må behandles til viden-

skabelige, historiske eller statiske formål ifølge persondatalovens § 10. Den

danske regulering giver dermed som udgangspunkt en lempeligere adgang til

at behandle disse oplysninger.

Generelt må persondata ikke viderebehandles, når den senere behandling er

uforenelig med de oprindelige formål. Persondatalovens § 5, stk. 2 tillader dog

senere behandling til historiske, videnskabelige eller statistiske formål. Det

samme gælder for følsomme data, når viderebehandling er til videnskabelige

formål (§ 10, stk. 1, i persondataloven).

Når persondata behandles til videnskabeligt formål, undtager persondatalo-

vens § 32, stk. 4, databehandleren fra indsigtsretten.

Persondataforordningen

Den nye persondataforordning indeholder de samme undtagelser for databe-

handling til videnskabelige, historiske og statistiske formål. Samtidig lægger

forordningen op til, at disse behandlingsformål fortolkes bredt, så de f.eks.

Peter Blume (2016), Den nye persondataret, s. 190

–

192.

Forordningen blev forhandlet i en lukket trilogprocedure. Derfor ved man ikke, hvorfor Parlamen-

tet ændrede holdning.

Den britiske ngo Wellcome Trust har udarbejdet en meget udførlig liste over de enkle bestem-

melser: Wellcome Trust (2016),

Analysis: Research and the General Data Protection Regula-

tion

3/6

EU-note - 2016-17 - E 27: Persondataforordning – evolution frem for revolution

omfatter grundforskning, privat finansieret forskning eller studier, der udføres i

samfundets interesse på folkesundhedsområdet.

Rent praktisk betyder det, at der fortsat ikke skal indhentes samtykke fra den

registrerede, hvis f.eks. sundhedsdata skal indgå i et forskningsprojekt. Det vil

således også fremover være muligt at udføre registerforskning.

Forordningen giver desuden medlemslandene mulighed for at vedtage sektor-

specifikke nationale regler og særregler for behandlingen af følsomme oplys-

ninger til videnskabelige, historiske eller arkivformål og for behandlingen af

oplysninger om strafbare forhold.

Med disse regler må medlemslandene fast-

sætte forskellige undtagelser fra de registreredes rettigheder, herunder oplys-

nings-

eller indsigtsretten. Reglerne skal dog samtidig stille ”fornødne garan-

tier”

til rådighed, f.eks. at anonymiseret data bliver brugt hvis muligt.

Ytrings- og informationsfrihed

Ikke alle forskningsfelter passer ind i forordningens definition af ”videnskabe-

lige formål”. Medlemslandene må derfor vedtage

særregler for akademisk yt-

ringsfrihed, som kan indeholde undtagelser fra næsten alle bestemmelser i

forordningen.

Forordningen lægger dermed op til langt bredere undtagelser

for databehandling i forbindelse med ytringsfrihed end for databehandling til

videnskabelige formål.

Nye forpligtelser

Selv om persondataforordningen ikke begrænser muligheden for fortsat at an-

vende persondata til videnskabelige formål, vil der alligevel blive stillet nye

krav til dem, der behandler eller indsamler data til disse formål, da de er om-

fattet af de generelle krav, som gælder for alle der behandler persondata:

Indsigtsret

For det første gælder indsigtsretten, når persondata indsamles direkte fra den

registrerede.

Konkret betyder det, at personer må få indsigt i, hvem der be-

handler deres persondata, til hvilket formål, hvem der skal modtage disse

data og i hvor lang tid data skal opbevares. Den dataansvarlige har kun 1 må-

ned til at besvare anmodninger om indsigt.

Jf. forordningens art. 6, stk. 2, art. 89, stk. 2 og art. 10.

Jf. art. 85.

Jf. art. 15.

4/6

EU-note - 2016-17 - E 27: Persondataforordning – evolution frem for revolution

Ret til dataportabilitet

En ny ret til dataportabilitet indebærer, at den registrerede kan få sine data

udleveret og overført i et struktureret, maskinlæsbart format, så den registre-

rede kan gå til en anden dataansvarlig og anvende sine oplysningerne der.

Dokumentationskrav

Forordningen afskaffer anmeldelsespligten til tilsynsmyndighederne og erstat-

ter den med et højere dokumentationskrav for den dataansvarlige. Fremover

skal den dataansvarlige føre fortegnelser over enhver behandling af person-

oplysninger.

Selv om kravet ikke gælder for virksomheder med under 250

ansatte, gælder det altid for behandlingen af følsomme oplysninger.

Databeskyttelse gennem design og databeskyttelse gennem standardindstil-

linger

Databeskyttelse skal være indbygget i de tekniske systemer, hvor data be-

handles. Standardindstillinger skal sikre, at kun nødvendige data behandles,

og at der kun sker den nødvendige indsamling og opbevaring i forhold til be-

handlingsformålet (mængde, omfang og periode).

Risikovurdering

Forordningen kræver, at den dataansvarlige foretager en risikoanalyse, hver

gang persondata behandles for at fastsætte et passende niveau af teknisk og

organisatorisk sikkerhed. Hver gang, der behandles følsomme personoplys-

ninger

–

og dermed også oplysninger om helbred

–

skal den dataansvarlige

også gennemføre en konsekvensanalyse, som er en udvidet risikovurdering.

Risikovurderingen skal dokumenteres skriftligt.

Databehandleraftale

En dataansvarlig må kun bruge databehandlere, der giver tilstrækkelige ga-

rantier for, at behandlingen foregår i overensstemmelse med forordningen og

skal indgå en databehandleraftale.

Forordningen skærper kravene til sådan

en aftale. Den skal være skriftlig og bl.a. indeholde oplysninger om varighed-

en af behandlingen, instruktionerne, en fortrolighedsforpligtelse, vilkår for sik-

kerhedsforanstaltninger og dokumentationskrav. Det er den dataansvarlige,

der er ansvarlig for at indgå databehandleraftalen.

Jf. art. 20.

Jf. art. 30.

Jf. art. 25.

Jf. art. 35.

Jf. art. 28.

5/6

EU-note - 2016-17 - E 27: Persondataforordning – evolution frem for revolution

Notifikationspligt

Forordningen indfører en notifikationspligt. Ved brud på sikkerheden, der fører

til hændelig eller ulovlig tilintetgørelse, tab, ændring eller ubeføjet adgang til

personoplysninger, skal tilsynsmyndigheden informeres inden for 72 timer.

Databeskyttelsesrådgiver (DPO)

Alle offentlige myndigheder og offentligretlige organer skal udnævne en data-

beskyttelsesrådgiver. Private virksomheder skal bl.a. udpege en DPO, hvis de

behandler følsomme oplysninger i stort omfang.

DPO’en skal involveres i

alle spørgsmål, som vedrører beskyttelse af personoplysninger, og derudover

kontrollere, at myndigheden eller virksomheden overholder databeskyttelses-

reglerne.

Jf. art. 33.

Jf. art. 37.

Jf. art. 39.

6/6