I EU har man, som det sikkert er mange bekendt, i længere tid forhandlet om en ny persondataforordning, der skal erstatte direktiv 95/46/EF, der danner grundlag for persondataloven. How can I borrow 1000 dollars today?
I går – efter næsten 4 års forhandlinger, hundredevis af møder, ændringsforslag og kompromiser – blev der så opnået politisk enighed om persondataforordningens ordlyd.
Hvad sker der nu?
Opnåelsen af politisk enighed om forordningens ordlyd indebærer, at der nu alene udestår et arbejde med at oversætte og kvalitetssikre de 23 sprogversioner af forordningen. Når dette arbejde er afsluttet – hvilket forventes at ske inden for få uger eller måneder – vil den endelige formelle vedtagelse af forordningen finde sted tidligt i 2016. Fra dette tidspunkt vil den 2 årige frist for forordningens ikrafttræden begynde at løbe. Inden for samme tidsfrist vil alle berørte virksomheder og myndigheder mv. skulle sikre sig, at de efterlever forordningens krav.
Igennem de sidste 4 år har forhandlingerne af persondataforordningen nydt stor opmærksomhed i offentligheden. Samtidig har forordningen opnået den uofficielle titel som det forslag i EU’s historie, der har udløst den mest intense lobbyindsats. Denne opmærksomhed – og omfattende medieomtale – har imidlertid kun i meget begrænset omfang givet virksomheder og myndigheder et reelt indblik i, hvad forordningen konkret betyder for dem, og hvilke tiltag de bør iværksætte, nu hvor forordningen er meget tæt på at falde på plads.
Hvis man kort skal forsøge at opregne de væsentligste nyskabelser i forordningen kunne de være:
•Skærpet krav til dokumentation for samtykke
•Styrkelse af den registreredes rettigheder
•Right-to-be-forgotten (retten til at blive glemt)
•Risikobaseret krav om privacy by design og privacy by default
•Risikobaseret krav om, at virksomheden/myndigheden skal kunne dokumentere, at man overholder reglerne (accountability)
•Pligt til at orientere Datatilsynet og i nogen tilfælde også de registrerede i tilfælde af datasikkerhedsbrister (hackerangreb mv.)
•Udbydere af sociale medier og andre informationssamfundstjenester skal have forældresamtykke for at kunne behandle oplysninger om børn under 16 år. Medlemsstaterne kan vælge at sænke denne alder til 13 år
• Krav om en Data Protection Officer i offentlige myndigheder og visse private virksomheder
•En ny “One-stop-shop” for koncerner, der er etablerede i flere EU lande, så de har nemmere ved at vide, hvilket datatilsyn der er kompetent til at håndhæve reglerne
•Bøder på op til 4% af global årlig omsætning
