Europakommissionen, Europa-Parlamentet og Rådet er nået til enighed om den nye ‎persondataforordning. Forordningen forventes at blive formelt vedtaget i begyndelsen af 2016 og vil træde i kraft 2 år herefter.

Den nye persondataforordning vil blandt andet medføre: 

  • meget højere bøder for brud ‒ op til EUR 20 mio. eller ‎‎4 % af den globale omsætning‎,
  • pligt til at udpege en databeskyttelsesansvarlig (Data Protection Officer) for større virksomheder,
  • skærpede regler og øgede krav, herunder blandt andet øget information om, hvorledes oplysninger behandles, og forpligtelse til at ”glemme” (permanent slette) alle oplysninger om en person på anmodning,
  • underretning til den nationale tilsynsmyndighed om alvorlige brud på datasikkerheden (eksempelvis hvis enkeltpersoners oplysninger er blevet hacket) inden for 72 timer, og
  • udarbejdelse af compliance-program/regelsæt for større virksomheder.

Alle virksomheder, der behandler persondata ‒ uanset om de er dataansvarlige eller alene behandler data på vegne af andre (databehandlere) – vil blive omfattet af forordningen. Virksomheder, der er etableret uden for EU, vil også være omfattet, hvis de tilbyder tjenester i EU og dermed behandler persondata om EU-borgere.

Det overordnede formål er at sikre individer kontrol over deres personoplysninger. Det er dog også hensigten, at persondataforordningen skal stimulere den økonomiske vækst, og at den ‒ særligt for små og mellemstore virksomheder – vil reducere administrative byrder og omkostninger for de europæiske virksomheder.

For koncerner og virksomheder, der opererer på tværs af EU, vil den nye forordning således også indebære, at organisationen kan nøjes med at forholde sig til ét sæt regler og én tilsynsmyndighed (og ikke 28 som i dag), og at de vil konkurrere på lige vilkår (i forhold til databeskyttelse) med virksomheder, der er etableret uden for EU.

Som udgangspunkt vil de nugældende krav om anmeldelse og underretning også helt forsvinde. Der vil dog fortsat kunne gælde enkelte lokale regler, eksempelvis Danmarks forpligtelse til at anmelde behandlingen af persondata som led i personaleadministration.

Vi opfordrer alle virksomheder til allerede nu at iværksætte de nødvendige forandringsprocesser.