EU klar med historisk persondatalov: Bøder til virksomheder på op til 4 pct. af omsætningen

EU-parlamentet og EU-rådet er nået til enighed om persondataforordningen, der giver forbrugerne flere rettigheder over deres personlige data og indfører væsentlige bødesanktioner over for virksomheder, der bryder loven.

Dine persondata bør fremover blive behandlet mere varsomt af virksomheder i EU. Ellers vanker der.

EU er netop nået til enighed om en historisk databeskyttelseslov, der for første gang indfører væsentlige sanktionsmuligheder over for virksomheder, der ikke passer på forbrugernes persondata.

I Danmark har virksomheder som bryder med persondataloven kun sjældent fået andet end en advarsel, og den højeste bøde, som Datatilsynet har givet, er på 25.000 kr.

Det vil nu ændre sig med persondataforordningen. Virksomheder, der bryder loven, vil kunne idømmes bøder på op til 4 pct. af deres globale omsætning ifølge Politico.eu, hvilket er et væsentligt nøk op og en advarsel til især de store amerikanske tech-virksomheder som Google og Facebook.

Bliver en virksomhed udsat for et datalæk, der kan skade enkeltpersoner, har den 72 timer til at rapportere lækket til de nationale myndigheder. Hidtil har området været skyggelagt, fordi mange virksomheder vælger at holde tæt med den slags, men dette vil sandsynligvis ændre sig med de skærpede krav til gennemsigtighed.

Databehandlere kan også holdes ansvarlige

Et andet kontroversielt punkt i forordningen er, at databehandlere nu også kan holdes ansvarlige for eksempelvis læk af persondata.

Hidtil har det udelukkende været den dataansvarlige, der har stået med ansvaret.

Det vil sige, at hvis en virksomhed eksempelvis opbevarer persondata om sine kunder i en cloudtjeneste, drevet af en anden virksomhed, og disse data bliver lækket, så er det ikke længere kun den første virksomhed, der kan holdes til ansvar. Også cloud-leverandøren vil fremover kunne blive idømt bøder, når EU-forordningen træder i kraft.

Ændringen vil utvivlsomt få virksomheder til at være mere varsomme med at vælge deres samarbejdspartnere i fremtiden.

Samtidig indfører forordningen også et håndfast krav om, at alle større virksomheder skal have en såkaldt DPO - Data Protection Officer, der er ansvarlig for beskyttelse af persondata i virksomheden. Kravet gælder ikke små og mellemstore virksomheder, medmindre behandling af persondata er en del af deres kerneforretning. Er dette tilfældet, skal de også have en DPO for at overholde loven og undgå bødestraf.

Retten til at få korrigeret data

EU-borgere har samtidig fået udvidet retten til at blive glemt.

Den nye forordning indfører samtidig retten til at få korrigeret ukorrekte oplysninger. Det vil sige at forbrugere kan kræve at få ændret personlige oplysninger, der er ukorrekte samt at få fjernet irrelevant og forældet information.

Lukker man eksempelvis en profil på et socialt medie, så kan man efterfølgende kræve, at virksomheden stopper med at bruge ens personlige data til markedsføring.

Derudover bliver aldersgrænsen for at skrive sig op til digitale tjenester, der behandler brugernes personlige oplysninger (som fx Facebook), sat op til 16 år. De fleste steder - heriblandt USA - er minimumsalderen i øjeblikket 13 år. De enkelte EU-lande har dog mulighed for at fastsætte nationale aldersgrænser ned til 13 år.

Til sidst har utilfredse borgere mulighed for at klage over misbrug af persondata i hjemlandet. Hidtil har man skullet klage i det pågældende land, hvor virksomheden har hovedkvarter, hvilket kunne lægge en dæmper på klagerne. Samtidig bliver der oprettet en ny europæisk databeskyttelseskomité, der skal være med til at afgøre tværeuropæiske tvister om persondata.

Det forventes at databeskyttelsesforordningen bliver offentliggjort i starten af næste år, hvorefter Danmark og resten af medlemslandene har to år til at tilpasse national lovgivning, så den ikke strider imod forordningen. De nuværende EU-regler på området stammer tilbage fra 1995.

Opdateret den 16. december 2015 kl. 13.54: EU's persondataforordning har forrang for national lovgivning, hvorfor den ikke skal implementeres i dansk lov, som tidligere beskrevet.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (24)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Bent Jensen

"Det forventes at databeskyttelsesforordningen bliver offentliggjort i starten af næste år,"

Kan ikke lide love og forvaltninger der ikke tør være gennemsigtigt også under udarbejdelse.
"Djævlen ligger gemt i detaljerne"

Men ellers Hi-Five

  • 8
  • 0
Anne-Marie Krogsbøll

"Opdateret den 16. december 2015 kl. 13.54: EU's persondataforordning har forrang for national lovgivning, hvorfor den ikke skal implementeres i dansk lov, som tidligere beskrevet."

Er det svar på mit tidligere spørgsmål (som er forsvundet) om, om reglerne kommer til at gælde i Danmark på trods af retsforbeholdet? I givet fald, betyder det vel "Ja"?

  • 4
  • 0
Carsten Jørgensen

Ja, gælder også i Danmark:

(120a) (new) The legal systems of Denmark and Estonia do not allow for administrative fines as set out in this Regulation. The rules on administrative fines may be applied in such a manner that in Denmark, the fine is imposed by competent national courts as a criminal sanction and in Estonia, the fine is imposed by the supervisory authority in the framework of a misdemeanor procedure, provided that such an application of the rules in those Member States has an equivalent effect to administrative fines imposed by supervisory authorities. Therefore the competent national courts should take into account the recommendation by the supervisory authority initiating the fine. In any event, the fines imposed should be effective, proportionate and dissuasive.

  • 2
  • 0
Anne-Marie Krogsbøll

Carsten Jørgensen:

Tak for uddybningen. Jeg forstår det på den måde, at reglerne som sådan kommer til at gælde, men at selve det med at idømme store bøder, det bliver pga. retsforbeholdet mere op til vore egne domstole - selv om det henstilles.

Hvis det er rigtigt forstået, så er svaret vel lidt "Både og"-agtigt. Vi kan så frygte det værste mht. viljen til at gribe ordentligt ind herhjemme (ganske som hidtil), men må jo krydse fingre for, at man følger trop mht. bødestørrelser - for ellers bliver effekten vist ret begrænset.

  • 1
  • 0
Elías Christian Lundström

Kære Anne-Marie

Vi har efter mit kendskab ikke slettet dit spørgsmål. Det må være en fejl, at det er forsvundet. EU-kommissionen har endnu ikke frigivet hele forordningsteksten, hvorfor det stadig er svært at sige noget mere konkret om konsekvensen for de danske forhold, men vi følger naturligvis op på det, når der kommer nyt i sagen.

Såvidt jeg kan forstå, vil bøde-niveauet også gælde i Danmark, eftersom der ikke kan pilles ved en EU-forordning, så det fortolkes på en anden måde i national lovgivning. Eneste mulighed skulle være, hvis man anser forordningen for i strid med grundloven.

Stay tuned.

/Elías, V2

  • 4
  • 0
John Foley

@Carsten Jørgensen
Kunne du evt. kortfattet forklare, hvordan offentlige myndigheder tænkes sanktioneret, når de er skyld i kompromittering af befolkningsens tvangslagrede data i deres varetægt? Og hvilken instans i Danmark skal sanktionere og påse at reglerne overholdes?
Jf., talrige Stats- og rigsrevionsrapporter er det især de offentlige myndigheder, der er de store synder og som har dataansvaret for de milliader og atter milliader af personfølsomme oplysninger i deres varetægt. På forhånd tak.

  • 3
  • 2
Ole Jørgensen

Det vil sige, at hvis en virksomhed eksempelvis opbevarer persondata om sine kunder i en cloudtjeneste, drevet af en anden virksomhed, og disse data bliver lækket, så er det ikke længere kun den første virksomhed, der kan holdes til ansvar. Også cloud-leverandøren vil fremover kunne blive idømt bøder, når EU-forordningen træder i kraft.

Citatet kan forstås som én hændelse, men hvad med gentagelser? Hvis f.eks CSC har en lækage og de samme data lækkes af en anden virksomhed eller offentlig instans 2år senere. Kan den nye kilde til lækagen så forsvare sig med "data er allerede offentliggjort for 2år siden" ?

  • 2
  • 0
Ole Gaarde Kristensen

@Elias: Du skriver: "Samtidig indfører forordningen også et håndfast krav om, at alle større virksomheder skal have en såkaldt DPO - Data Protection Officer, der er ansvarlig for beskyttelse af persondata i virksomheden. Kravet gælder ikke små og mellemstore virksomheder, medmindre behandling af persondata er en del af deres kerneforretning. Er dette tilfældet, skal de også have en DPO for at overholde loven og undgå bødestraf."
Hvor har du fundet det i teksten - synes ikke der står noget om størrelsen på virksomheden gør nogen forskel - og kan heller ikke finde en definition på hvad der er små og mellemstore virksomheder.

  • 1
  • 0
Kenn Nielsen

Citatet kan forstås som én hændelse, men hvad med gentagelser? Hvis f.eks CSC har en lækage og de samme data lækkes af en anden virksomhed eller offentlig instans 2år senere. Kan den nye kilde til lækagen så forsvare sig med "data er allerede offentliggjort for 2år siden" ?

Interesseant spørgsmål...

Hvis de kan påberåbe sig mindre skadesvirkning fordi data er lækket 2 år forinden, er vi vel på vej dérhen , at man godt 'må' lække data som er i forvejen er blevet stjålet/lækket/antydet på facebook/<find selv på flere it-ignorante argumenter>.

K

  • 1
  • 0
Anne-Marie Krogsbøll

Linket i mit indlæg ovenfor viser sig at være forkert.

Det er i stedet en artikel i Politiken i dag, som hedder "Firmaer tvinges til at passe på dine data", men det ser ud til, at der skal abonnement til, desværre.

Det fremgår, at man selv skal rejse sag og søge erstatning ved overtrædelser af ens "datarettigheder" indenfor det offentlige, og at justitsministeren er lidt bekymret over de store bødestørrelser, og at det i Danmark vil være domstolene, der skal pålægge virksomheder bøder, hvorved disse kan blive af mindre størrelse end lagt op til fra EU's side.

Såhh................måske skal man lige dæmpe sin begejstring, indtil vi har set, hvordan dette kommer til at udfolde sig i Danmark? Det var også næsten for godt til at være sandt - men det er måske i det mindste en forbedring i forhold til eksisterende lovgivning.

  • 0
  • 0
Carsten Jørgensen

Kenn Nielsen:
Det er en grundlæggende rettighed i EU at der bliver passset på ens persondata, så bare fordi nogen har lækket data bliver det ikke ok at andre også mister data.
Der kan også være forskel på konsekvensen for den enkelte person, selvom det er fuldstændig samme data:
Hvis man får lækket navn og e-mail hos Alices-Træhandel.dk er konsekvensen måske ikke så stor som hvis den samme data senere mistes hos Bobs-Ekstreme-XXX-Shop.dk.

Knud Larsen:
Det er ikke officielle borger-vendte dokumenter. Der kommer danske versioner, læsevejledninger, templates og meget, meget mere.

Anne-Marie Krogsbøll:
Der er to elementer: virksomheder og organisationer kan få bøde på op til 4% og personer der har lidt skade kan nu også søge erstatning for den skade de har lidt pga tabet. Se f.eks. (112) og (118) i dokumentet.

  • 0
  • 0
Anne-Marie Krogsbøll

Carsten Jørgensen:

Anne-Marie Krogsbøll: Der er to elementer: virksomheder og organisationer kan få bøde på op til 4% og personer der har lidt skade kan nu også søge erstatning for den skade de har lidt pga tabet. Se f.eks. (112) og (118) i dokumentet.

Jeg er ikke helt sikker på, hvad du mener i forhold til min post, som var ment som en kritisk kommentar til de manglende bøder i forhold til overtrædelser indenfor det offentlige, og desuden en bekymret kommentar til, at den danske justitsminister lægger op til, at bøder til virksomheder ikke nødvendigvis skal være så store herhjemme, som de er lagt op til i EU-reglerne? Det var muligvis lidt rodet formuleret fra min side, beklager.

  • 0
  • 0
Kenn Nielsen

...og personer der har lidt skade kan nu også søge erstatning for den skade de har lidt pga tabet. Se f.eks. (112) og (118) i dokumentet.

Hvilket jo er "en gratis omgang"....Fordi;

Hvordan søger man erstatning, når man aldrig bliver klar over at grunden til man ikke fik jobbet ved indre mission var fordi mit navn kunne findes på en top-10 over bedste kunder ved BigBoobRentals efter de er blevet hacket.

Og hvilket beløb er jeg "gået glip af" ?

Kryds i rectum, hvor kunne jeg godt tænke mig amerikanske tilstande på retsområdet, når nu det skal være erstatningernes størrelse, som laver afgrænsningerne for ansvarligheden.

K

  • 1
  • 1
Stig Guldager

Det der bliver rigtig interessant er, hvilken indflydelse det får på selskaber, som er baseret udenfor EU.
EU har kun ringe mulighed for at lovgive om, hvordan globale tjenester kan opererer. Hvis brugerne frivilligt anvender og skriver under på tjenestens betingelser og vilkår, så er det tvivlsom om de er omfattet af forordningen, hvis de ikke har et selskab inden for EU.
Forordningen erstatter ikke Safe Harbour ordningen, som blev underkendt af domstolen tidligere på året. Denne ordning blev skabt i erkendelse af, at selskaber i USA og for den sags skyld resten af verden, ikke var omfattet af den eksisterende forordning.
Det danske datatilsyn er desuden af den grundopfattelse, at tjenester som Facebook, Instagram, Twitter og lignende, hvor brugerne frivilligt afgiver deres oplysninger og overdrager deres anvendelsesrettigheder, ikke er omfattet af persondatabeskyttelses-loven, idet der i højere grad er tale om ophavsretsbeskyttelse, frem for persondatabeskyttelse.

  • 0
  • 0
Carsten Jørgensen

Alle krav gælder også for selskaber baseret uden for EU hvis selskaberne tilbyder tjenester til personer i EU:

Paragraf 3
2. This Regulation applies to the processing of personal data of data subjects who are in the Union by a controller or processor not established in the Union, where the processing activities are related to:
(a) the offering of goods or services, irrespective of whether a payment of the data subject is required, to such data subjects in the Union; or
(b) the monitoring of their behaviour as far as their behaviour takes place within the European Union.

Det bliver uddybet, at hvis det ikke er tydeligt om et selskab tilbyder tjenester til personer i EU kan man f.eks. se om der er mulighed for betaling i europæiske valutaer, om hjemmesiden er oversat til europæiske sprog osv.

  • 0
  • 0
Anne-Marie Krogsbøll

Kravet om samtykke til registerforskning ser ud til at være faldet ud af de nye EU-regler: http://www.lakartidningen.se/Aktuellt/Nyheter/2015/12/Registerforskninge...

Som jeg forstår det, skal man give et bredt samtykke (jeg håber da, at man bliver spurgt om en eller anden form for samtykke), der så kan genbruges.

Det vil jo sige, at hvis man ikke vil miste kontrollen, så tvinges man til at sige nej til det brede samtykke, i stedet for at kunne tage stilling til, hvilken forskning, man evt. vil sige ja til.

Ikke særligt smart synes jeg - så bliver man jo nødt til at sige helt nej.

  • 0
  • 0
Log ind eller Opret konto for at kommentere