Information om databeskyttelse
Nedenfor finder du en række spørgsmål og svar vedr. data beskyttelses reformen udsted af den Europæiske kommision. Informationen er oversat til dansk fra kilden: http://europa.eu/rapid/press-release_MEMO-15-6385_en.htm.
Reformen benævnes flere steder som: Databeskyttelsesloven eller Databeskyttelsesdirektivet.
Stærkere databeskyttelses regler for Europa
Europa-Parlamentet og –Rådet er nået til enighed om den databeskyttelsesreform, der foreslås af Kommissionen. Reformen er et vigtigt skridt til at styrke borgernes grundlæggende rettigheder i den digitale tidsalder og til at fremme erhvervslivet ved at forenkle regler for firmaer i det digitale indre marked.
Databeskyttelsesreform pakken omfatter den Generelle Forordning af Databeskyttelse (“Forordningen”) og direktivet om databeskyttelse for politi- og straffesektorerne.
Hvorfor foreslog Kommissionen en reform af EU’s databeskyttelsesregler?
EU’s lovgivning om databeskyttelse har været på plads siden 1995. Direktivet om databeskyttelse garanterer effektiv beskyttelse af den grundlæggende ret til databeskyttelse. Men forskelle i de måder, hvert enkelt medlemsland implementerer loven på, har ført til uoverensstemmelser, hvilket skaber kompleksitet, juridisk usikkerhed og administrative omkostninger. Dette påvirker den enkeltes tillid og konkurrencedygtigheden i EU-økonomien. De nuværende regler skal også moderniseres – de blev indført på et tidspunkt, hvor mange af nutidens online tjenester og de udfordringer, de medfører for databeskyttelse, endnu ikke eksisterede. Med sociale netværkssider, cloud computing, lokationsbaserede tjenester og smartkort er behandlingen af personlige data vokset eksponentielt. Vi har brug for et robust sæt regler for at sikre, at folks ret til personlig databeskyttelse – anerkendt i Artikel 8 af EU’s charter om grundlæggende rettigheder – fortsat er gyldig i den digitale tidsalder. Dette vil samtidig være gavnligt for udviklingen af den digitale økonomi.
Hvad vil ændre sig i henhold til forordningen?
Forordningen opdaterer og moderniserer de principper, der er fastlagt i databeskyttelsesdirektivet fra 1995 for at sikre privatlivets fred. Den fokuserer på: styrkelses af den enkeltes rettigheder, styrkelse af EU’s indre marked, sikring af stærkere håndhævelse af reglerne, strømlining af internationale overførsler af persondata og fastlæggelse af globale databeskyttelsesstandarder.
Ændringerne vil give folk mere kontrol over deres persondata og gøre dem lettere at få adgang til. De er designet til at sørge for, at folks personlige oplysninger bliver beskyttet – uanset, hvor de bliver sendt hen, behandlet eller opbevaret – selv uden for EU, som det ofte kan være tilfældet på internettet.
Hvad er fordelene for borgerne?
Reformen tilvejebringer værktøjer til at tage kontrollen over ens personlige data, hvis beskyttelse er en grundlæggende rettighed i EU.
Databeskyttelsesreformen vil styrke borgernes rettigheder og skabe tillid. Ni ud af ti europæere har givet udtryk for bekymring over mobile app´s, der indsamler deres data uden deres samtykke, og syv ud af ti bekymrer sig om den potentielle brug, firmaer kan gøre af de videregivne oplysninger.
De nye regler imødegår disse bekymringer gennem følgende:
- En “ret til at blive glemt”: Når en person ikke længere ønsker at få sine data behandlet, og hvis der ikke er nogen retmæssige grunde til at beholde dem, vil dataene blive slettet. Dette har til formål at beskytte den enkeltes privatliv, ikke at slette tidligere begivenheder eller begrænse pressefriheden.
- Lettere adgang til sine egne data: Den enkelte vil have flere oplysninger om, hvordan vedkommendes data behandles, og disse oplysninger bør være tilgængelige på en klar og forståelig måde. En ret til data portabilitet vil gøre det lettere for den enkelte at videregive persondata fra den ene tjenesteudbyder til den anden.
- Retten til at vide, når ens data er blevet hacket: Virksomheder og organisationer skal underrette den nationale tilsynsmyndighed om databrud, der udsætter enkeltpersoner for risiko, og de skal give dataenes ejer besked om alle brud, der medfører høj risiko, så hurtigt som muligt, så brugerne kan tage hensigtsmæssige foranstaltninger.
- Databeskyttelse via design eller som standard: ‘Databeskyttelse via design’ og ‘Databeskyttelse som standard’ er nu væsentlige elementer i EU’s regler om databeskyttelse. Sikkerhedsforanstaltninger for databeskyttelse vil blive indbygget i produkter og tjeneste fra de tidligste udviklingsstadier, og privatlivsvenlige standard-indstillinger vil være normen – for eksempel på sociale netværk eller mobile app’s.
- Stærkere håndhævelse af reglerne: databeskyttelsesmyndighederne vil kunne udstede bøder til firmaer, der ikke overholder EU’s regler, på op til 4% af deres globale årlige omsætning.
Ret til at blive glemt: Hvordan vil det virke?
Det nuværende direktiv giver allerede den enkelte mulighed for at få sine data slettet, især når dataene ikke længere er nødvendige.
Hvis et enkeltmenneske for eksempel har givet sit samtykke til behandling for et bestemt formål, f.eks. visning på en social netværksside, og ikke længere ønsker denne tjeneste, er der inden grund til at beholde dataene i systemet. Især må børn, når de har stillet data om sig selv til rådighed, ofte uden helt at forstå konsekvenserne, ikke hænge på konsekvenserne af dette valg resten af livet.
Dette betyder ikke, at de personlige data skal slettes en gang for alle, hver gang et enkeltmenneske beder om det. Hvis, for eksempel, det er nødvendigt at beholde dataene for at kunne opfylde en kontrakt eller for at kunne opfylde en juridisk forpligtelse, kan dataene beholdes, så længe det er nødvendigt til det formål.
De foreslåede bestemmelser med hensyn til “retten til at blive glemt” er meget klare: ytringsfrihed såvel som historisk og videnskabelig forskning er sikret.
For eksempel vil ingen politiker kunne have deres tidligere bemærkninger slettet fra internettet. Dette vil således give bl.a. nyhedswebsteder mulighed for at køre videre på grundlag af de samme principper.
Findes der særlig beskyttelse for børn?
Ja, forordningen anerkender, at børn fortjener særlig beskyttelse af deres persondata, da de kan være mindre opmærksomme på risici, konsekvenser, beskyttelser og deres rettigheder, hvad angår behandlingen af persondata. De har for eksempel den fordel, at have en mere udtrykkelig ret til at blive glemt.
Hvad angår oplysninger, samfundstjenester tilbyder direkte til et barn, imødekommer forordningen, at der skal gives samtykke for at behandle data fra et barn, som skal gives eller autoriseret af den, der har forældreret over barnet. Aldersgrænsen skal fastlægges af medlemslandene inden for et interval fra 13 til 16 år.
Formålet med netop denne bestemmelse er at beskytte børn mod at blive presset til at overgive personlige oplysninger uden fuldt ud at forstå konsekvenserne. Det vil ikke afholde teenagere fra at bruge internettet til at få information, rådgivning, uddannelse, osv. Desuden specificerer forordningen, at det er nødvendigt med samtykke fra den, der har forældreretten, i forbindelse med forebyggende tjenester eller rådgivning, der tilbydes direkte til barnet.
Hvad er fordelene for virksomheder?
Reformen giver klarhed og overensstemmelse med hensyn til de gældende regler og genopretter tillid hos kunden, hvilket giver foretagender mulighed for at udnytte mulighederne i det digitale interne marked til fulde.
Data er valutaen i nutidens digitale økonomi. Persondata indsamles, analyseres og flyttes verden over, og de har fået enorm økonomisk betydning. Ifølge visse skøn har værdien af de europæiske borgeres personlige data potentialet til at vokse til næsten 1 billion euro om året før 2020. Ved at styrke Europas høje standarder for databeskyttelse skaber lovgiverne forretningsmuligheder.
Databeskyttelsesreform pakken hjælper det digitale interne marked med at realisere dette potentiale gennem følgende:
- Et kontinent, en lov: en enkelt paneuropæisk lov for databeskyttelse erstatter det nuværende selvmodsigende patchwork af nationale love. Virksomheder vil have en love at arbejde med, ikke 28. Fordelene skønnes at være på 2,3 milliarder euro om året.
- One-stop-shop: en ‘one-stop-shop’ for virksomheder: firmaer vil kun skulle arbejde med en enkelt tilsynsførende myndighed, ikke 28, hvilket gør det enklere og billigere for virksomheder at drive forretning i EU.
- Samme regler for alle firmaer – uanset, hvor de ligger: i dag skal europæiske firmaer overholde strengere standarder end firmaer, der ligger uden for EU, men som også driver forretning på vores interne marked. Med reformen vil firmaer, der er baseret uden for Europa skulle følge de samme regler, når de tilbyder varer eller tjenester på EU-markedet. Dette skaber lige vilkår.
- Teknologisk neutralitet: forordningen gør, at innovation fortsat trives under de nye regler.
Hvad er one-stop-shoppen?
I et internt marked for data er identiske regler på papir ikke nok. Reglerne skal finde anvendelse på samme måde alle steder. ‘One-stop-shoppen’ vil strømline samarbejdet mellem databeskyttelsesmyndighederne for spørgsmål, der har implikationer for hele Europe. Firmaer vil kun skulle arbejde med en myndighed, ikke 28.
Dette vil sikre, at virksomheder har juridisk vished. Virksomheder vil profitere på hurtigere beslutninger, fra en enkelt samtalepartner (i det man udrydder flere kontaktpunkter), og fra mindre papirnusseri. De vil drage fordel af overensstemmelsen mellem beslutninger, hvor den samme procesaktivitet finder sted i flere medlemslande.
Den enkelte vil have mere kontrol. Hvordan vil det hjælp firmaer?
Den nye ret til data portabilitet vil give den enkelte mulighed for at flytte deres persondata fra den ene tjenesteudbyder til den anden. Nystartede eller mindre firmaer vil kunne få adgang til datamarkeder, der er domineret af digitale kæmper og tiltrække flere forbrugere med privatlivsvenlige løsninger. Dette vil gøre den europæiske økonomi mere konkurrencedygtig.
Eksempel: Fordele for den enkelte, fordele for virksomheder
Et nyt mindre firma ønsker at komme ind på markedet og tilbyde et online socialt mediewebsted. Der er allerede store spillere på markedet, der har en stor markedsandel. Under de nuværende regler vil hver ny kunde blive nødt til at overveje at starte forfra med de persondata, de ønsker at indgive, så de kan blive etableret på det nye websted. Dette kan være et disincitament for visse mennesker, der overvejer at skifte til det nye firma.
Med databeskyttelsesreform:
Retten til data portabilitet vil gøre det lettere for potentielle kunder at overføre deres personlige data fra den ene serviceudbyder til den anden. Dette giver kunder mulighed for at styre deres persondata, og det fremmer samtidig konkurrence og fremelsker nye virksomheder på markedet.
Hvad er fordelene for SMV’er?
Databeskyttelsesreform er gearet til at stimulere økonomisk vækst ved at skære omkostninger og papirnusseri for europæiske virksomheder, også for små og mellemstore virksomheder (SMV’er).
Ved at have en regel i stedet for 28 vil EU’s databeskyttelsesreform hjælpe SMV’er med at bryde ind på nye markeder. I flere tilfælde kalibreres forpligtelserne for datakontrollører og –behandlere til virksomhedens størrelse og/eller til den slags data, der behandles, for eksempel:
- SMV’er behøver ikke at udpege en databeskyttelsesofficer, med mindre deres kerneaktiviteter kræver jævnlig og systematisk og storstilet overvågning af dataemner eller hvis de behandler særlige kategorier af persondata, såsom data, der afslører racemæssig eller etnisk oprindelse eller religiøse overbevisninger. Desuden skal dette ikke nødvendigvis være en fuldtidsansat, men kunne være en ad-hoc konsulent, og det ville derfor være meget billigere.
- SMV’er behøver ikke at lave optegnelser of behandlingsaktiviteter, med mindre den behandling, de foretager, ikke er lejlighedsvis eller sandsynligvis vil udsætte dataemnet for risiko med hensyn til dennes rettigheder og friheder.
- SMV’er vil ikke være forpligtet til at anmelde alle databrud til den enkelte, med mindre brudene repræsenterer en høj risiko for deres rettigheder og friheder.
Hvordan vil de nye regler spare penge?
Forordningen vil etablere en enkelt, paneuropæisk lov for databeskyttelse, hvilket vil sige, at firmaer simpelthen kan arbejde med en lov, ikke 28. De nye regler vil medføre fordele for en anslået 2,3 milliarder euro om året.
Eksempel: Nedskæring i omkostninger
En butikskæde har hovedkontor i Frankrig og franchise butikker i 14 andre EU-lande. Hver butik indsamler data forbundet med dens klienter og overfører dem til hovedkvarteret i Frankrig for yderligere behandling.
Med de nuværende regler:
Frankrigs databeskyttelseslove ville gælde for den behandling, der foregår på hovedkontoret, men individuelle butikker ville stadig skulle rapportere til deres nationale databeskyttelsesmyndighed for at bekræfte, at de behandlede data i henhold til nationale love i det land, hvor de befandt sig. Dette betyder, at firmaets hovedkvarter ville være nødt til at rådføre sig med lokale advokater for alle dets filialer for at sikre overholdelse af loven. De samlede omkostninger, der opstår på grund af rapporteringskravene i alle landene kunne være over 12.000 euro.
Med databeskyttelsesreformen:
Databeskyttelsesloven vil være den samme på tværs af alle 14 EU-lande – en Europæisk Union – en lov. Dette vil gøre det unødvendigt at konsultere med lokale advokater for at sikre overholdelse af lokale love for franchise butikkerne. Resultatet er direkte besparelser og juridisk sikkerhed.
Hvordan vil databeskyttelsesreformen fremme innovation og brug af stordata?
Ifølge visse skøn kunne værdien af de europæiske borgeres persondata vokse til næsten 1 billion euro inden 2020. De nye EU regler vil tilbyde virksomheder fleksibilitet, mens de beskytter den enkeltes grundlæggende rettigheder.
‘Databeskyttelse via design og som standard’ vil blive et vigtigt princip. Det vil anspore virksomheder til at innovere og udvikle ny ideer, metoder og teknologier for sikkerhed og beskyttelse af persondata. Når det bruges sammen med konsekvensvurderinger for databeskyttelse vil virksomheder have effektive værktøjer til at skabe teknologiske og organisatoriske løsninger.
Forordningen fremmer sådanne teknikker som anonymisering (fjernelse af personligt identificerbare oplysninger, hvor de ikke er nødvendige), pseudonymisering (udskiftning af personligt identificerbart materiale med kunstige identifikatorer) og kryptering (kodning af meddelelser, så kun autoriserede personer kan læse dem) til beskyttelse af persondata. Dette vil fremme brugen af “stordata” analyse, hvilket kan gøres ved hjælp af anonymiserede eller pseudonymiserede data.
Eksempel: Førerløse biler
Teknologien for førerløse biler kræver vigtige datastrømme, herunder udveksling af persondata. Databeskyttelsesregler går hånd i hånd med innovative og progressive løsninger. For eksempel kan biler, der er udstyret med nødopringningssystemet eCall, I tilfælde af en ulykke automatisk ringe til det nærmeste nødhjælpscenter. Dette er et eksempel på en anvendelig og effektiv løsning, der følger EU’s databeskyttelsesprincipper. Med de nye regler vil eCall funktionen blive lettere, enklere og mere effektiv hvad angår databeskyttelse.
Det er et databeskyttelsesprincip, at når personlige data indsamles til et eller flere formål, bør de ikke viderebehandles på en måde, der er uforenelig med det oprindelige formål. Dette forhindrer ikke behandling til et andet formål, og det begrænser heller ikke ‘rå data’ til brug i analyse. En vigtig faktor i afgørelsen om, om et formål er uforeneligt med det oprindelige formål er, om det er timeligt. Rimeligheden vil afhænge af faktorer som indvirkningen på enkeltmenneskers privatliv (f.eks. specifikke og målrettede beslutninger om identificerede personer), og om den enkelte har en rimelig forventning om, at vedkommendes persondata vil blive brugt på den nye måde. Så i eksemplet med de førerløse biler, kan rå data bruges til at analysere, hvor de fleste ulykker finder sted, og hvordan man kan undgå ulykker i fremtiden. De kan også bruges til at analysere trafikmønstre for at reducere trafikpropper.
Virksomheder bør være i stand til at forudse og informere den enkelte om de potentielle anvendelser og fordele ved stordata – også selvom de nøjagtige detaljer om analysen ikke vides. Virksomheder bør også overveje om dataene kan anonymiseres til sådan fremtidig behandling. Dette vil gøre det muligt at gemme rå data til brug som stordata, mens den enkeltes rettigheder beskyttes.
De nye databeskyttelsesregler giver virksomheder muligheder for at fjerne den mistillid, der kan påvirke folks medvirken i innovativ brug af persondata. Ved at give den enkelte klar, effektiv information vil det bidrage til at opbygge tillid til analyse og innovation. De oplysninger, der skal gives, omhandler ikke nøjagtigt hvordan data skal behandles, men formålet for denne behandling.
Den tilsyneladende kompleksitet af innovative produkter og analyse af stordata er ingen undskyldning for at forsømme at få samtykke fra folk, når dette kræves. Men samtykke er ikke det eneste grundlag for behandling. Virksomheder kan frit basere behandlingen på en kontrakt, på en lov, eller i mangel af andre grundlag på en “afbalancering af interesser”. Disse ‘formelle krav’, såsom samtykke, er fremlagt i reglerne for at give den enkelte den nødvendige kontrol over sine persondata og for at give alle juridisk sikkerhed. De nye EU regler vil give fleksibilitet med hensyn til, hvordan man opfylder disse krav.
Hvordan vil de nye regler fungere i praksis?
Eksempel: et multinationalt firma med flere afdelinger i medlemslande af EU har et online navigerings- og kortlægningssystem på tværs af Europa. Dette system samler billeder af alle private og offentlige bygninger og kan også tage billeder af enkeltmennesker.
Med de nuværende regler:
De sikkerhedsforanstaltninger for databeskyttelse, der pålægges datakontrollanter, varierer betydeligt fra det ene medlemsland til det andet. I et medlemsland førte ibrugtagningen af denne tjeneste til et større offentligt og politisk ramaskrig, og visse aspekter af det blev betragtet som værende ulovligt. Firmaet tilbød derefter yderligere garantier og sikkerhedsforanstaltninger til de personer, der boede i det pågældende medlemsland efter forhandling med det relevante datatilsyn, men firmaet nægtede at forpligte sig til at tilbyde de samme yderligere garantier til personer i andre medlemslande.
I øjeblikket skal datakontrollanter, der opererer i flere lande, bruge tid og penge (til juridisk rådgivning og til at forberede de påkrævede formularer eller dokumenter) for at overholde forskellige, og sommetider modstridende, forpligtelser.
Med de nye regler:
De nye regler vil fastlægge en enkelt paneuropæisk lov for databeskyttelse, der erstatter det nuværende uoverensstemmende patchwork af nationale love. Enhver virksomhed vil – uanset om det har hjemme i EU eller ej – skulle følge EU’s databeskyttelseslov, hvis de ønsker at tilbyde deres tjenester i EU.
Eksempel: et mindre reklamebureau ønsker at udvide deres aktiviteter fra Frankrig til Tyskland.
Med de nuværende regler:
Dets databehandlingsaktiviteter vil være underlagt et separat regelsæt i Tyskland, og firmaet vil være nødt til at arbejde med et nyt kontrolorgan. Omkostningerne forbundet med juridisk rådgivning og tilpasning af forretningsmodeller for at komme ind på dette nye marked kan være uoverkommelige. For eksempel er der visse medlemslande, der opkræver underrettelsesgebyrer for behandling af data.
Med de nye regler:
De nye databeskyttelsesregler vil afskaffe alle underretningsforpligtelser og de dermed forbundne omkostninger. Formålet med databeskyttelsesforordningen er at fjerne forhindringer for handel mellem landene.
Hvad med direktivet for databeskyttelse for politiet og straffesektoren?
Politidirektivet sikrer beskyttelsen af persondata for enkeltmennesker, der er involveret i kriminalsager, hvad enten de er vidner, ofre eller mistænkte. Det vil også lette en bedre udveksling af oplysninger mellem medlemslandenes politi og juridiske myndigheder, hvilket forbedrer samarbejdet i kampen mod terrorisme og andre alvorlige forbrydelser i Europa. Det skaber omfattende rammer til at sikre et højt niveau af databeskyttelse under hensyntagen til politiet og straffesektorens særlige karakter.
Hvordan påvirker direktivet for databeskyttelse for politiet og straffesektoren retshåndhævelsesoperationer?
Retshåndhævende myndigheder vil kunne udveksle data mere effektivt. Ved yderligere at afstemme de 28 forskellige nationale lovgivninger vil de fælles regler om databeskyttelse gøre det muligt for retshåndhævende og juridiske myndigheder at samarbejde med hinanden mere effektivt og med større hastighed ved at lette udvekslingen af persondata, der er nødvendige til at forebygge forbrydelser, på betingelse af retssikkerhed og i fuld overensstemmelse med de grundlæggende rettigheder.
Retshåndhævende myndigheder inden for kriminalitetssektoren vil ikke længere skulle anvende forskellige regler afhængigt af de personlige datas oprindelse, hvilket sparer tid og penge. De nye regler vil gælde for både indenrigs behandling og overførsel mellem landene af persondata. Ved at have mere afpassede love i alle EU’s medlemslande, vil det være nemmere for vores politistyrker at arbejde sammen. Reglerne i direktivet tager de specifikke behov i betragtning, der er forbundet med kriminel retshåndhævelse, og de respekterer medlemslandenes forskellige juridiske traditioner.
Hvordan påvirker direktivet borgerne?
Den enkeltes persondata vil blive beskyttet bedre. Direktivet beskytter borgernes grundlæggende ret til databeskyttelse, når data bruges af retshåndhævende myndigheder inden for kriminalitetssektoren. Alles personlige data bør behandles retmæssigt, rimeligt og kun til specifikke formål. Al behandling til retshåndhævelsesformål i EU skal overholde principper om nødvendighed, proportionalitet og legalitet med hensigtsmæssige sikkerhedsforanstaltninger for den enkelte. Tilsynsføring sikres af uafhængige nationale databeskyttelsesmyndigheder, og der skal være effektive retsmidler til rådighed.
Direktivet giver også udtrykkelige regler for overførsel af persondata af retshåndhævende myndigheder inden for kriminalitetssektoren, der er uden for EU, for at sikre, at disse overførsler finder sted med et tilstrækkeligt niveau af databeskyttelse. Direktivet giver robuste regler om udveksling af persondata på det nationale, europæiske og internationale niveau.
Hvordan påvirker direktivet arbejdet for retshåndhævende myndigheder inden for kriminalitetssektoren?
Ved at have den samme lov i alle EU’s medlemslande, vil det gøre det lettere for vores retshåndhævende myndigheder inden for kriminalitetssektoren at arbejde samme om at udveksle oplysninger. Dette vil øge effektiviteten af retshåndhævelse inden for kriminalitetssektoren og vil således skabe forhold, hvor kriminalitet kan forebygges mere effektivt.
Det er også derfor direktivet om databeskyttelse betragtes som værende et vigtigt element af udviklingen på EU’s friheds-, sikkerheds- og retsområder og som værende en byggesten for EU’s sikkerhedsdagsorden.
Direktivet erstatter Rammeafgørelse 2008/977/JHA, som tidligere regulerede databehandling af politiet og retsmyndighederne.
Ikrafttrædelsen af Lissabon traktaten og specielt introduktionen af et nyt juridisk grundlag (Artikel 16 TFEU) muliggør etableringen af omfattende rammer for databeskyttelse inden for samarbejdet mellem politi og retsvæsenet i kriminelle sager. De nye rammer vil dække behandling af persondata både landene imellem og indenrigs.
Hvornår vil de nye love træde i kraft?
Forordningen skal træde i kraft 2 år efter dens officielle vedtagelse af Europa-Parlamentet og -Rådet. Kommissionen vil arbejde sammen med medlemslandene og databeskyttelsesmyndighederne – den fremtidige Europæiske Databeskyttelsesbestyrelse – for at sikre ensartet anvendelse af de nye regler.
Politidirektivet har en toårig implementeringsperiode. Medlemslandene er forpligtet til at opdatere deres juridiske rammer i denne periode.