Fakta

Fra den 25. maj 2018 bortfalde den danske persondatalov, og blev erstattet af de nye regler i EU-Persondataforordningen samt den nationale databeskyttelseslov, som dækker de områder, som i EU-Persondataforordningen ikke forholder sig til, så som CPR-nummer, begge skal anvendes ved behandlingen af personoplysninger. Her på siden har vi fokuseret, på at samle nogle af de vigtigste oplysninger fra den persondataforordning.

EU-Persondataforordningen

• EU-Persondataforordningen er en forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (generel forordning om databeskyttelse) af 27. april 2016 skal anvendes fra den 25. maj 2018.
• Forordningen erstatter alle EU-medlemslandes tidligere nationale persondatalove og dermed også den danske lov fra 2000, der omhandler behandling af personoplysninger og de bekendtgørelser, der er udstedt i medfør af persondataloven, herunder sikkerhedsbekendtgørelsen for offentlige myndigheder.
• En række af artiklerne i EU-persondataforordningen er blevet og vil løbende blive uddybet i retningslinjer og vejledninger fra Det Europæiske Databeskyttelsesråd. Dansk lovgivning vil også på flere områder få indflydelse på de krav, der bliver stillet til behandling af personoplysninger. De europæiske retningslinjer og vejledninger samt de danske bestemmelser vil løbende blive offentliggjort frem til den 25. maj 2018.
  
  

Behandling af personoplysninger

Som i den nuværende persondatalov er enhver behandling af oplysninger om en identificeret person eller en person, der direkte eller indirekte er identificerbar, omfattet af EU-persondataforordningen.

EU-persondataforordningen stiller krav til den dataansvarlige om, at registrering og behandling af personoplysninger sker i overensstemmelse med udtrykkeligt angivne og legitime formål. Derudover bliver der stillet krav om, at behandlingen skal være rimelig og gennemsigtig i forhold til den registrerede, og at både den dataansvarlige og databehandleren er underlagt dokumentationskrav i forhold til opfyldelse af forordningen.

EU-persondataforordningen giver større kontrol til den registrerede i form af flere rettigheder. Håndhævelse af reglerne er forbedret ved at stille krav om udpegelse af en databeskyttelsesrådgiver (DPO) i særlige tilfælde. Der bliver også stillet krav om underretning ved brud på persondatasikkerheden til såvel tilsynsmyndigheden som den registrerede. Ved overtrædelse af forordningen kan både den dataansvarlige og databehandleren tildeles administrative bøder.

Kravene til den dataansvarlige

Den dataansvarlige er ansvarlig for at implementere passende tekniske og organisatoriske sikkerhedsforanstaltninger. De skal baseres på en fortegnelse over behandlingsaktiviteter, en dokumenteret risikovurdering, skriftlige databeskyttelsespolitikker og procedurebeskrivelser. På den måde påviser den dataansvarlige over for tilsynsmyndigheden, at behandlingen af personoplysninger er i overensstemmelse med forordningen. Den dataansvarlige er desuden forpligtet til at designe systemer og opsætte systemers standardindstillinger, herunder indføre interne procedurer, således at de understøtter principperne for databeskyttelse.

Overlader den dataansvarlige behandlingen af personoplysninger til en databehandler, stiller EU-persondataforordningen krav om, at databehandleren stiller fornødne garantier for at have indført passende tekniske og organisatoriske foranstaltninger, der opfylder kravene i forordningen. Vilkårene for databehandlingen skal fremgå af en skriftlig kontrakt mellem den dataansvarlige og databehandleren.

Overførsler af personoplysninger til lande uden for EU kan alene ske, når tredjelandet har et tilstrækkeligt databeskyttelsesniveau, eller når fornødne garantier om databeskyttelse er sikret eksempelvis gennem godkendte standardkontrakter fra EU eller godkendte certificeringsordninger. Ved overførsel af personoplysninger i koncerner med aktiviteter uden for EU, kan koncernen anvende bindende virksomhedsregler, såfremt de er retligt bindende for alle koncernselskaber, de udtrykkeligt tillægger personerne rettigheder, som kan håndhæves, og de opfylder en række øvrige krav.