Europaudvalget 2016-17
EUU Alm.del EU-note E 27
Offentligt
1754762_0001.png
Europaudvalget, Sundheds- og Ældreudvalget, Uddannelses- og Forsk-
ningsudvalget og Retsudvalget
EU-konsulenterne
EU-note
Til:
Dato:
Udvalgets medlemmer
10. maj 2017
Kontaktperson:
Julia Ballaschk (3655)
Persondataforordning
evolution frem for revolution
Sammenfatning
I maj 2018 træder den nye EU-persondataforordning i kraft. Forord-
ning virker direkte i alle EU-medlemslande og erstatter dermed den
danske persondatalov. Forordningen styrker rettighederne for de per-
soner, hvis data bliver indsamlet og behandlet, og skærper kravene til
virksomheder og offentlige myndigheder.
I oktober 2017 forventes justitsministeren at fremsætte et lovforslag
om en ny persondatalov og eventuelt særlovgivning på visse områder,
som f.eks. forskning. Noten sammenfatter de vigtigste af forordnin-
gens ændringer og nyskabelser og deres mulige konsekvenser på
forskningsområdet.
I 2012 fremlagde EU-Kommissionen en persondatareform, der bl.a. omfattede
et forslag til en forordning, der skulle erstatte det efterhånden forældede direk-
tiv 95/46/EC. Årene forud var præget af en omfattende diskussion af behovet
for en revolution af persondataretten, der bl.a. tog højde for den tekniske ud-
vikling og den øgede betydning, persondataretten havde fået.
1
1
Retten til databeskyttelse er blevet en del af EU-primærret og er bl.a. beskyttet i EU-traktatens
art. 16 TEUF og i art. 8 i EU’s charter om grundlæggende rettigheder.
1/6
EU-note - 2016-17 - E 27: Persondataforordning – evolution frem for revolution
1754762_0002.png
Forhandlingerne i Europa-Parlamentet og Rådet blev ledsaget af en lobbyind-
sats af hidtil uset omfang. Teksten, der blev endeligt vedtaget i april 2016, har
ikke revolutioneret EU-persondataretten, men videreudvikler de fleste af de
databeskyttelsesprincipper, som er kendt fra direktivet eller den gældende
danske lovgivning. Forordningen kodificerer desuden nogle af de seneste EU-
domme på persondataområdet. F.eks. gælder forordningen for alle virksom-
heder, der tilbyder tjenester til EU-borgere, uanset om de befinder sig i EU el-
ler ej.
2
Forordningen styrker rettighederne for personer, hvis data bliver behandlet
(de registrerede), indfører skrappere krav til dem, som behandler data, og ind-
fører betydeligt højere bøder for overtrædelsen af de nye regler.
Oversigt over ændringer i forhold til virksomheder og offentlige myndigheder
Emne
Ændring ift. til
persondatadi-
rektiv
X
X
X
X
X
X
Forpligtelser
X
X
X
X
X
Sanktioner
X
X
Skærpede regler om samtykke
Flere rettigheder til registrerede personer. Skærpede krav til op-
lysningspligten
Styrket ret til indsigt for registrerede personer
Ret til sletning (”retten til at blive glemt”)
Ret for registrerede til at begrænse databehandlingen
Ret til dataportabilitet
Pligt til at føre fortegnelser over databehandling
Databeskyttelse gennem design og databeskyttelse gennem
standardindstillinger
Virksomheder og offentlige myndigheder skal foretage risikovur-
dering
Notifikationspligt ved sikkerhedsbrud
Offentlige myndigheder og nogle virksomheder skal have en da-
tabeskyttelsesrådgiver (DPO).
Betydeligt højere bøder for virksomheder
Erstatningsansvar
Nye
regler
2
Sag C-131/12 Google v. Spain
2/6
EU-note - 2016-17 - E 27: Persondataforordning – evolution frem for revolution
1754762_0003.png
Hvad betyder persondataforordning for forskningen?
Under forhandlingerne til persondataforordningen kom Europa-Parlamentet
med nogle ændringsforslag, der krævede samtykke, for at persondata kunne
bruges til videnskabelige formål. Forslaget ville have gjort det mere komplicer-
et at bruge personoplysninger og især følsomme oplysninger til forskning.
Nogle frygtede, at den danske registerforskning ville blive lagt i graven.
3
De
bange anelser blev dog ikke til virkelighed, idet Parlamentets ændringsforslag
ikke vandt støtte.
4
Den endelige forordningstekst ændrer stort set ikke på de
gældende danske og EU-regler.
5
De nuværende regler
Den nuværende persondatalov indeholder nogle særlige regler og undtagel-
ser, hvis personoplysninger behandles i forbindelse med videnskabelige, hi-
storiske eller statistiske formål:
Følsomme personoplysninger f.eks. om etnisk oprindelse eller om helbreds-
mæssige forhold og oplysninger om strafbare forhold må behandles til viden-
skabelige, historiske eller statiske formål ifølge persondatalovens § 10. Den
danske regulering giver dermed som udgangspunkt en lempeligere adgang til
at behandle disse oplysninger.
Generelt må persondata ikke viderebehandles, når den senere behandling er
uforenelig med de oprindelige formål. Persondatalovens § 5, stk. 2 tillader dog
senere behandling til historiske, videnskabelige eller statistiske formål. Det
samme gælder for følsomme data, når viderebehandling er til videnskabelige
formål (§ 10, stk. 1, i persondataloven).
Når persondata behandles til videnskabeligt formål, undtager persondatalo-
vens § 32, stk. 4, databehandleren fra indsigtsretten.
Persondataforordningen
Den nye persondataforordning indeholder de samme undtagelser for databe-
handling til videnskabelige, historiske og statistiske formål. Samtidig lægger
forordningen op til, at disse behandlingsformål fortolkes bredt, så de f.eks.
Peter Blume (2016), Den nye persondataret, s. 190
192.
Forordningen blev forhandlet i en lukket trilogprocedure. Derfor ved man ikke, hvorfor Parlamen-
tet ændrede holdning.
5
Den britiske ngo Wellcome Trust har udarbejdet en meget udførlig liste over de enkle bestem-
melser: Wellcome Trust (2016),
Analysis: Research and the General Data Protection Regula-
tion
3
4
3/6
EU-note - 2016-17 - E 27: Persondataforordning – evolution frem for revolution
1754762_0004.png
omfatter grundforskning, privat finansieret forskning eller studier, der udføres i
samfundets interesse på folkesundhedsområdet.
Rent praktisk betyder det, at der fortsat ikke skal indhentes samtykke fra den
registrerede, hvis f.eks. sundhedsdata skal indgå i et forskningsprojekt. Det vil
således også fremover være muligt at udføre registerforskning.
Forordningen giver desuden medlemslandene mulighed for at vedtage sektor-
specifikke nationale regler og særregler for behandlingen af følsomme oplys-
ninger til videnskabelige, historiske eller arkivformål og for behandlingen af
oplysninger om strafbare forhold.
6
Med disse regler må medlemslandene fast-
sætte forskellige undtagelser fra de registreredes rettigheder, herunder oplys-
nings-
eller indsigtsretten. Reglerne skal dog samtidig stille ”fornødne garan-
tier”
til rådighed, f.eks. at anonymiseret data bliver brugt hvis muligt.
Ytrings- og informationsfrihed
Ikke alle forskningsfelter passer ind i forordningens definition af ”videnskabe-
lige formål”. Medlemslandene må derfor vedtage
særregler for akademisk yt-
ringsfrihed, som kan indeholde undtagelser fra næsten alle bestemmelser i
forordningen.
7
Forordningen lægger dermed op til langt bredere undtagelser
for databehandling i forbindelse med ytringsfrihed end for databehandling til
videnskabelige formål.
Nye forpligtelser
Selv om persondataforordningen ikke begrænser muligheden for fortsat at an-
vende persondata til videnskabelige formål, vil der alligevel blive stillet nye
krav til dem, der behandler eller indsamler data til disse formål, da de er om-
fattet af de generelle krav, som gælder for alle der behandler persondata:
Indsigtsret
For det første gælder indsigtsretten, når persondata indsamles direkte fra den
registrerede.
8
Konkret betyder det, at personer må få indsigt i, hvem der be-
handler deres persondata, til hvilket formål, hvem der skal modtage disse
data og i hvor lang tid data skal opbevares. Den dataansvarlige har kun 1 må-
ned til at besvare anmodninger om indsigt.
Jf. forordningens art. 6, stk. 2, art. 89, stk. 2 og art. 10.
Jf. art. 85.
8
Jf. art. 15.
7
6
4/6
EU-note - 2016-17 - E 27: Persondataforordning – evolution frem for revolution
1754762_0005.png
Ret til dataportabilitet
En ny ret til dataportabilitet indebærer, at den registrerede kan få sine data
udleveret og overført i et struktureret, maskinlæsbart format, så den registre-
rede kan gå til en anden dataansvarlig og anvende sine oplysningerne der.
9
Dokumentationskrav
Forordningen afskaffer anmeldelsespligten til tilsynsmyndighederne og erstat-
ter den med et højere dokumentationskrav for den dataansvarlige. Fremover
skal den dataansvarlige føre fortegnelser over enhver behandling af person-
oplysninger.
10
Selv om kravet ikke gælder for virksomheder med under 250
ansatte, gælder det altid for behandlingen af følsomme oplysninger.
Databeskyttelse gennem design og databeskyttelse gennem standardindstil-
linger
Databeskyttelse skal være indbygget i de tekniske systemer, hvor data be-
handles. Standardindstillinger skal sikre, at kun nødvendige data behandles,
og at der kun sker den nødvendige indsamling og opbevaring i forhold til be-
handlingsformålet (mængde, omfang og periode).
11
Risikovurdering
Forordningen kræver, at den dataansvarlige foretager en risikoanalyse, hver
gang persondata behandles for at fastsætte et passende niveau af teknisk og
organisatorisk sikkerhed. Hver gang, der behandles følsomme personoplys-
ninger
og dermed også oplysninger om helbred
skal den dataansvarlige
også gennemføre en konsekvensanalyse, som er en udvidet risikovurdering.
12
Risikovurderingen skal dokumenteres skriftligt.
Databehandleraftale
En dataansvarlig må kun bruge databehandlere, der giver tilstrækkelige ga-
rantier for, at behandlingen foregår i overensstemmelse med forordningen og
skal indgå en databehandleraftale.
13
Forordningen skærper kravene til sådan
en aftale. Den skal være skriftlig og bl.a. indeholde oplysninger om varighed-
en af behandlingen, instruktionerne, en fortrolighedsforpligtelse, vilkår for sik-
kerhedsforanstaltninger og dokumentationskrav. Det er den dataansvarlige,
der er ansvarlig for at indgå databehandleraftalen.
9
Jf. art. 20.
Jf. art. 30.
11
Jf. art. 25.
12
Jf. art. 35.
13
Jf. art. 28.
10
5/6
EU-note - 2016-17 - E 27: Persondataforordning – evolution frem for revolution
1754762_0006.png
Notifikationspligt
Forordningen indfører en notifikationspligt. Ved brud på sikkerheden, der fører
til hændelig eller ulovlig tilintetgørelse, tab, ændring eller ubeføjet adgang til
personoplysninger, skal tilsynsmyndigheden informeres inden for 72 timer.
14
Databeskyttelsesrådgiver (DPO)
Alle offentlige myndigheder og offentligretlige organer skal udnævne en data-
beskyttelsesrådgiver. Private virksomheder skal bl.a. udpege en DPO, hvis de
behandler følsomme oplysninger i stort omfang.
15
DPO’en skal involveres i
alle spørgsmål, som vedrører beskyttelse af personoplysninger, og derudover
kontrollere, at myndigheden eller virksomheden overholder databeskyttelses-
reglerne.
16
14
15
Jf. art. 33.
Jf. art. 37.
16
Jf. art. 39.
6/6