Spring til indhold

Databeskyttelsesforordningen

Fra Wikipedia, den frie encyklopædi
(Omdirigeret fra Databeskyttelsesforordning)
Forordning (EU) 2016/679
EU-forordning
TitelForordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse)
PopulærtitelDatabeskyttelsesforordningen
Persondataforordningen
General Data Protection Regulation (GDPR)
Lavet afEuropa-Parlamentet og Rådet
Tidende-referenceL119, 4/5/2016, s. 1–88
Historik
Dato lavet27. april 2016
Trådte i kraft25. maj 2016
Finder anvendelse fra25. maj 2018
Forberedende tekster
Kommissions­forslagCOM/2012/010 final - 2012/0010 (COD)
Anden lovgivning
ErstatterDatabeskyttelsesdirektivet
Implementeret i national ret vedSuppleres af Databeskyttelsesloven i Danmark
Gældende ret
Logo for databeskyttelsesforordningen, ('General Data Protection Regulation')

Databeskyttelsesforordningen (også kaldet persondataforordningen) er en EU-forordning, som har til formål at styrke og harmonisere beskyttelsen af personoplysninger i Den Europæiske Union (EU).

Den formelle danske titel er, "Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse)".[1]

Forordningen ses også ofte omtalt blot som GDPR baseret på forkortelsen af det formelle engelske navn (General Data Protection Regulation).

Forordningen finder anvendelse fra den 25. maj 2018, og afløser databeskyttelsesdirektivet, der blev gennemført i dansk ret via Persondataloven. Forordningen får direkte virkning i medlemslandene, men forudsætter i en række henseender national lovgivning for at den af forordningen forudsatte retstilstand er gældende i dansk ret. Danmark skal som EU-medlemsstat følge forordningen, og vil dermed supplere bestemmelserne i forordningen via bl.a. Databeskyttelsesloven. Forordningen omhandler også databehandling, som sker udenfor EU eller overførsel af personoplysninger ud af EU.

Forordningen udvider virkeområdet for EUs lovgivning om personoplysninger ved i visse tilfælde at omfatte selskaber uden for EU, som behandler data om borgere i EU. Ved at skabe et fælles regelværk i EU er det hensigten, at det skal blive enklere for virksomheder at følge reglerne. Der lægges op til en streng databeskyttelse, og brud kan medføre store bøder på op til 4% af virksomhedens samlede omsætning eller €20 millioner - det der er højest.

Principperne for behandling af personoplysninger

[redigér | rediger kildetekst]

Forordningen stiller krav til hvordan personoplysninger behandles. Med behandling menes enhver form for aktivitet med personlige oplysninger, f.eks. indsamling, registrering, organisering, systematisering og opbevaring. Det præciseres hvornår personoplysninger må indsamles, og hvilke særlige følsomme personoplysninger der kun undtagelsesvist må indsamles. Typisk kræver behandling af personoplysninger lovhjemmel, samtykke eller en eller anden form for nødvendighed idet der kræves størst muligt hensyn til den registredes rettigheder og interesser.

Personoplysninger skal:

a) behandles lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede (»lovlighed, rimelighed og gennemsigtighed«)

b) indsamles til udtrykkeligt angivne og legitime formål og må ikke viderebehandles på en måde, der er uforenelig med disse formål; viderebehandling til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål i overensstemmelse med artikel 89, stk. 1, skal ikke anses for at være uforenelig med de oprindelige formål (»formålsbegrænsning«)

c) være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles (»dataminimering«)

d) være korrekte og om nødvendigt ajourførte ... (»rigtighed«)

e) opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt for formålet .. (»opbevaringsbegrænsning«)

f) behandles på en måde, der sikrer tilstrækkelig sikkerhed for de pågældende personoplysninger ... (»integritet og fortrolighed«)

Behandling af personoplysninger er kun lovlig

  • ved registreredes samtykke, ved opfyldelse af en kontrakt,
  • ved en retlig forpligtelse for den dataansvarlige,
  • for at beskytte den registreredes eller en anden fysisk persons vitale interesser,
  • ved udførelse af en samfundsopgave eller myndighedsudøvelse,
  • for at forfølge en legitim interesse, medmindre den registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder, der kræver beskyttelse af personoplysninger, går forud herfor, navnlig hvis den registrerede er et barn.

Det er forbudt at behandle følsomme personoplysninger: Dvs. oplysninger om race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning eller fagforeningsmæssigt tilhørsforhold samt behandling af genetiske data, biometriske data for at identificere en fysisk person, helbredsoplysninger eller oplysninger om seksuelle forhold eller orientering er forbudt.

Forbuddet mod behandling af følsomme personoplysninger gælder dog ikke:

  • når den registrerede har givet samtykke, såfremt lovgivningen tillader dette.
  • ved overholdelse af  arbejds-, sundheds- og socialretlige forpligtelser og rettigheder hjemlet i lov.,
  • ved beskyttelse af en fysisk persons vitale interesser når samtykke ikke kan gives.
  • ved foreningers fortrolige behandling af medlemsoplysninger
  • for personoplysninger offentliggjort af den registrerede.
  • når retskrav fastlægges af domstolene
  • ved lovhjemlede væsentlige samfundsinteresser når den registreredes grundlæggende rettigheder og interesser respekteres.
  • ved medicinsk vurdering af arbejdstagers erhvervsevne, medicinsk diagnose, ydelse og forvaltning af social- og sundhedsomsorg eller -behandling eller i henhold til en kontrakt
  • ved lovhjemlede samfundsinteresser på folkesundhedsområdet idet den registreredes rettigheder og frihedsrettigheder, navnlig tavshedspligt.
  • ved arkivformål i samfundets interesse, ved videnskabelige eller historiske forskningsformål eller ved statistiske formål når den registreredes grundlæggende rettigheder og interesser respekteres.

Registre med og behandling af personoplysninger om straffedomme og lovovertrædelser kræver offentlig kontrol og garantier for registreredes rettigheder og frihedsrettigheder.

Samtykke om behandling af personoplysninger skal kunne dokumenteres og skal kunne trækkes tilbage. Samtykke må kun kræves ved ved kontraktindgåelse hvis dette er strengt nødvendigt.

Forordningen viderefører mange af databeskyttelsesdirektivets regler, men afløser dette direktiv. Forordningen indeholder desuden følgende centrale ændringer:

Forordningen gælder dersom den behandlingsansvarlige eller databehandleren (en virksomhed) eller den registrerede (individet) er i EU.

I modsætning til det eksisterende direktiv gælder forordningen også for virksomheder som er baseret udenfor Den Europæiske Union, hvis de behandler personoplysninger om EU's borgere.

Forordningen gælder ikke behandling af personoplysninger i forbindelse med national sikkerhed eller kriminalitetsbekæmpelse.

Personoplysningsbegrebet dækker alle oplysninger knyttet til en person, enten det gælder vedkommendes private, professionelle eller offentlige liv. Det kan være alt fra et navn, et billede, en e-mail-adresse, bankdetaljer, indlæg på sociale medier, medicinsk information, eller en IP-adresse i forbindelse med en internetforbundet enhed. [2]

Forordningen finder ikke anvendelse på anonyme eller anonymiserede oplysninger, hvor identifikation ikke er mulig.

Fælles regler og one-stop shop

[redigér | rediger kildetekst]

Forordningen giver et fælles regelsæt for alle EU-medlemslande og lande der har valgt at følge det, f.eks. Norge. Hver medlemsstat skal oprette en uafhængig tilsynsmyndighed som skal tage imod og behandle klager og fastlægge administrative sanktioner for brud på forordningen. Tilsynsmyndighederne i hver medlemsstat skal samarbejde med de andre tilsynsmyndigheder, og give gensidig bistand.

For virksomheder som er etablerede i flere medlemsstater vil en enkelt tilsynsmyndighed kunne virke som den ledende tilsynsmyndighed. Denne skal vælges baseret på placeringen af virksomhedens "vigtigste etablering" (dvs. stedet, hvor den vigtigste databehandling foregår). Den ledende tilsynsmyndighed vil fungere som en "one-stop-shop" for at føre tilsyn med alle behandlingsaktiviteter for erhvervslivet i hele EU[3][4] (Artikkel 46 - 55 i GDPR).

Koordinering af tilsynsmyndigheder vil udføres af Det Europæiske Databeskyttelsesråd. Denne råd vil afløse Artikel 29s "Working Party", som angivet i databeskyttelsesdirektivet.

Gyldigt samtykke skal være eksplicit for data som er indsamlet (Artikel 7; defineret i Artikel 4). Samtykke for børn under 13 år skal gives af en person med forældremyndighed over barnet (Artikel 8). Forordningen giver medlemslandene en mulighed for selv at sætte grænsen mellem 13+16 år. Behandlingsansvarlige må være i stand til at bevise samtykket (opt-in) og samtykket kan trækkes tilbage.[5]

Pseudonymisering

[redigér | rediger kildetekst]

Persondataforordningen refererer til områder hvor pseudonymisering er påkrævet. Det er defineret som en proces hvor personoplysninger omformes på en sådan måde, at personoplysningerne ikke længere kan henføres til en bestemt person eller enhed uden brug af supplerende oplysninger.

Registreredes rettigheder

[redigér | rediger kildetekst]

Oplysningspligt

[redigér | rediger kildetekst]

Den registrerede har ret til at få information når den dataansvarlige indsamler oplysninger. Der sondres mellem oplysninger som er hentet direkte fra den registrerede eller oplysningerne som er modtaget fra andre end den registrerede. I begge tilfælde har den dataansvarlige pligt til at oplyse, medmindre den registrerede kender informationen på forhånd.[A]

Den registrerede har ret til at få den dataansvarliges bekræftelse på, om der behandles personoplysninger om den registrerede og indsigtsret heri.[B]

Ret til berigtigelse

[redigér | rediger kildetekst]

Den registrerede har ret til at få urigtige personoplysninger om sig selv berigtiget af den dataansvarlige uden unødig forsinkelse.[C]

Ret til sletning ("retten til at blive glemt")

[redigér | rediger kildetekst]

"Retten til at blive glemt" blev under forhandlingerne afløst af en mindre omfattende "ret til sletning". Artikel 17 fastslår at den registrerede har ret til at bede om at få personoplysninger om vedkommende slettet, hvis et af flere alternative grundlag er til stede. Et af grundlagene er at behandlingen ikke er lovlig, eksempelvis at artikel 6(f) ikke er opfyldt. (se også Google Spain SL, Google Inc. v Agencia Española de Protección de Datos, Mario Costeja González).[D]

Ret til begrænsning af behandling

[redigér | rediger kildetekst]

Den registrerede har ret til at den dataansvarlige skal begrænse eller blokere behandlingen af oplysninger om den registrerede. Dette skal ske igennem mærkning af oplysninger, således at fremtidig behandling begrænses, jf. definitionen i art. 4, nr. 3.

Den dataansvarlige er forpligtet til at begrænse/blokere behandling, når den registrerede bestrider oplysningernes korrekthed, ved ulovlig behandling (fx hvis persondata behandles i public cloud hvor den dataansvarlige ikke har en GDPR-databehandleraftale med), men ikke sletning, ved fastlæggelse af et retskrav eller når den registrerede gør indsigelse, jf. art. 18(1a-1d).[E]

Ret til dataportabilitet

[redigér | rediger kildetekst]

Den registrerede har efter forordningen ret til at kunne overføre sine personoplysninger fra et system til et andet, uden at blive forhindret fra at gøre det af den dataansvarlige. Der er også et krav om at oplysningerne må gives til den registrerede i et struktureret og brugbart elektronisk format.[F]

Ret til indsigelse

[redigér | rediger kildetekst]

Den registrerede har ret til at gøre indsigelse over for en ellers lovlig behandling, hvis særlige forhold tilsiger det.[G]

Forbud mod automatiske individuelle afgørelser og profilering

[redigér | rediger kildetekst]

Den registrerede har ret til ikke at være genstand for en afgørelse, der alene er baseret på automatisk behandling, herunder profilering, som har retsvirkning eller på tilsvarende vis betydeligt påvirker den pågældende, medmindre afgørelsen er nødvendig for indgåelse eller opfyldelse af en kontrakt, er hjemlet i EU-ret eller medlemsstaternes nationale ret eller er baseret på den registreredes udtrykkelige samtykke.[H]

Databeskyttelse via design og gennem standardindstillinger

[redigér | rediger kildetekst]

Artikel 25 pålægger at databeskyttelse er del af forretningsprocesser i forbindelse med produkter og tjenester. Dette forudsætter at standardindstillingen er sat til et "højt" niveau.[I]

Fortegnelsespligt (dokumentationspligt)

[redigér | rediger kildetekst]

[J]

Sikkerhedsbrud

[redigér | rediger kildetekst]

Efter forordningen er den dataansvarlige forpligtet til at at meddele tilsynsmyndigheder uden unødig forsinkelse og om muligt senest 72 timer, efter at denne er blevet bekendt med bruddet. Ved sikkerhedsbrud som har medført ulovlig behandling skal enkeltpersoner underrettes af den dataansvarlige, men ikke påkrævet hvis der er tale om anonyme data.[K]

Konsekvensanalyse

[redigér | rediger kildetekst]

[L]

Databeskyttelsesrådgiver

[redigér | rediger kildetekst]
Uddybende Uddybende artikel: Databeskyttelsesrådgiver

Det er obligatorisk at udpege en databeskyttelsesrådgiver (DPO), såfremt den dataansvarlige er en offentlig myndighed (med visse undtagelser for domstole m.m.), at kerneaktiviteterne består af behandling, som omfatter regelmæssig og systematisk overvågning af registrerede i stort omfang eller at kerneaktiviteterne i stort omfang består af behandling af følsomme oplysninger, jf. artikel 9, eller personoplysninger vedrørende straffedomme og lovovertrædelser, jf. artikel 10.[M]

Overførsler af personoplysninger til tredjelande

[redigér | rediger kildetekst]

[N]

Følgende sanktioner kan blive pålagt:

  • en skriftlig advarsel i tilfælde af førstegangs- og ikke-tilsigtede brud
  • krav om jævnlige tilsyn
  • en bøde på op til 10.000.000 EUR eller, for virksomheder, op til 2% af forrige regnskabsårs totale årlige omsætning på verdensbasis. Største beløb gælder (Artikel 83 stk. 4 [6]))
  • en bøde på op til 20.000.000 EUR, eller, for virksomheder, op til 4% af forrige regnskabsårs totale årlige omsætning på verdensbasis. Største beløb gælder (Artikel 83, Afsnit 5 og 6)[6]

Forslaget til Persondataforordningen (GDPR) blev publiceret 25. januar 2012 og Rådet havde som målsætning at kunne godkende det i starten af 2016.[7]

  • 21. oktober 2013: Afstemning i Europa-Parlamentets hovedansvarlige udvalg (LIBE).
  • 15. december 2015: Forhandlinger mellem tre EU institutioner, trilog, der resulterede i et fælles forslag.
  • 17. december 2015: LIBE-udvalget stemte igen med positivt udfald.
  • 8. april 2016: Rådet vedtager.[8]
  • 14. april 2016: Europa-Parlamentet vedtager.[9]
  • Forordningen træder i kraft 20 dage efter dets publicering i EU-tidende 4. maj 2016.[10] Dets regler vil blive gældende to år efter denne dato.
  • Træder i kraft 25. maj 2018.[10]
  1. ^ Forordningens artikel 13 og 14
  2. ^ Forordningens artikel 15
  3. ^ Forordningens artikel 16
  4. ^ Forordningens artikel 17
  5. ^ Forordningens artikel 18
  6. ^ Forordningens artikel 20
  7. ^ Forordningens artikel 21
  8. ^ Forordningens artikel 22
  9. ^ Forordningens artikel 25
  10. ^ Forordningens artikel 30
  11. ^ Forordningens artikel 33 og 34
  12. ^ Forordningens artikel 35
  13. ^ Forordningens artikel 37
  14. ^ Forordningens artikel 44-49
  1. ^ "Arkiveret kopi". Arkiveret fra originalen 29. september 2020. Hentet 29. september 2020.
  2. ^ European Commission’s press release announcing the proposed comprehensive reform of data protection rules Arkiveret 24. december 2012 hos Wayback Machine. 25. januar 2012.
  3. ^ The Proposed EU General Data Protection Regulation.
  4. ^ "«GDPR proposal»" (PDF). Arkiveret (PDF) fra originalen 3. december 2012. Hentet 26. juli 2017.
  5. ^ «How the Proposed EU Data Protection Regulation Is Creating a Ripple Effect Worldwide».
  6. ^ a b "Article 83, GDPR". Arkiveret fra originalen 23. april 2020. Hentet 26. juli 2017.
  7. ^ "The EU General Data Protection Regulation Timeline, Allen & Overy". Arkiveret fra originalen 19. juni 2017. Hentet 26. juli 2017.
  8. ^ "Data protection reform: Council adopts position at first reading". Arkiveret fra originalen 6. oktober 2017. Hentet 26. juli 2017.
  9. ^ "Data protection reform – Parliament approves new rules fit for the digital era". Arkiveret fra originalen 17. april 2016. Hentet 26. juli 2017.
  10. ^ a b "EU Official Journal issue L 119". Arkiveret fra originalen 10. november 2017. Hentet 26. juli 2017.
[redigér | rediger kildetekst]