Enighed om indholdet af den nye persondataforordning – bedre rettigheder for privatpersoner samt forhøjet bødeniveau

Persondataret  Skrevet den 17.12.2015

Tirsdag d. 15. december 2015 blev EUs organer enige om teksten til den kommende persondataforordning og her til formiddag (d. 17. december 2015) stemte EU-Parlamentets Komité for Borgeres rettigheder og Retlige og Andre Anliggender ligeledes for indholdet af forordningen.

Selve teksten til persondataforordningen er endnu ikke offentliggjort, idet dette først sker efter en formel vedtagelsesprocedure i 2016, men på baggrund tidligere udkast til persondataforordningen og EU-Kommissionens pressemeddelelse i anledning af, at der nu er enighed om forordningens indhold, er det muligt at løfte sløret for nogle af de markante ændringer, forordningen medfører.

I forhold til de nugældende regler vil den nye forordning medføre følgende væsentlige ændringer:

  • Øget adgang for privatpersoner til egne data;
  • Retten til at blive glemt (dvs. det bliver lettere for privatpersoner at kræve egne data slettet hos virksomheder);
  • Ret til dataportabilitet (dvs. det bliver lettere for privatpersoner at kræve egne data mellem tjenesteudbydere);
  • Skærpet krav til virksomheders indhentelse af samtykke fra privatpersoner til behandling af data;
  • Begrebet barn eller mindreårig introduceres, hvilket bl.a. særligt vil have betydning for diverse sociale medier, idet børn under en nærmere bestemt aldersgrænse (ml. 13-16 år) for eksempel skal have forældrenes samtykke til at åbne en konto på disse;
  • Krav om ansættelse af en såkaldt Data Protection Officer (DPO) for visse typer af virksomheder og offentlige myndigheder;
  • Brud på datasikkerhed skal anmeldes til Datatilsynet samt til de omhandlende privatpersoner;
  • Bødeniveauet for overtrædelser forhøjes markant: Op til 20 mio. EUR eller 4 % af virksomhedens/koncernens samlede årlige globale omsætning; og
  • Klager fra privatpersoner skal blot indleveres i privatpersonens hjemstat (uanset om klagen angår en virksomhed eller databehandling i andet EU-land).

 
Da der nu i EU er politisk enighed, vil forordningens endelige indhold formelt blive vedtaget i EU-Parlamentet og Rådet i løbet af foråret i 2016. Efter vedtagelsen træder den nye persondataforordning i kraft efter to år, og virksomheder har således lidt mere end to år på nuværende tidspunkt til at indrette sig på de ændrede regler.

DELACOUR vil i løbet af foråret afholde en række persondatakurser, der har fokus på de skærpede regler i den kommende forordning, samt tilbyde en DPO uddannelse. I mellemtiden kan du holde dig opdateret ved at blive medlem af gruppen Persondata Forum på LinkedIn.