Persondataloven er på vej på pension. Et nyt forslag til persondataforordning skal i højere grad gøre beskyttelsen af personoplysninger til et EU-anliggende. Datatilsynet skal som noget nyt have mulighed for at udstede bøder.
Af Anders Lotterup, advokat, Kammeradvokaten
EU-Kommissionen har fremsat forslag til en forordning, der skal afløse det gamle persondatadirektiv. Persondatalovens dage, som vi kender den i dag, vil dermed være talte. Behandling af personoplysninger bliver i højere grad et EU-anliggende med central rolle for Kommissionen.
Det gældende persondatadirektiv (direktiv 95/46/EF), der er gennemført ved persondataloven (lov 429/2000), blev vedtaget i 1995 på baggrund af to direktivforslag fra EU-Kommissionen fra hhv. 1990 og 1992.
I starten af 1990'erne var en e-mailadresse langt fra hvermandseje. I 1995 brugte mindre end en procent af europæerne internettet, mens en meget stor mængde af personoplysninger i dag konstant udveksles via internettet. Europa har i dag 250 mio. internetbrugere.
17 år er lang tid i it-verdenen, og der er mange, der længe har ment, at det var tid til at ændre og opdatere persondatadirektivet. Offentlige myndigheder træffer i stigende omfang afgørelser i digital form på baggrund af personoplysninger, ligesom personoplysninger er blevet et aktiv for mange virksomheder i forbindelse med bl.a. nethandel.
Tiden til forandring er åbenbart kommet nu. Kommissionen fremsatte 25. januar 2012 forslag til en generel forordning om databeskyttelse (KOM(2012) 11 endelig), som skal afløse persondatadirektivet.
Persondatareglernes formål
Det er ikke hverdagskost, at der kommer nye regler på persondatarettens område. I persondatakredse taler man da også om, at forordningsforslaget er udtryk for en lille revolution af persondataretten. Forordningsforslaget ligner på mange måder det gældende persondatadirektiv, men der skal ikke skrabes meget i overfladen, før væsentlige og centrale nyskabelser kommer til syne. Forslaget er på vej igennem et formentlig vanskeligt og langt forhandlingsforløb, og den endeligt vedtagne tekst vil nok adskille sig en del fra det foreliggende forslag.
Forordningsforslaget lægger op til, at de nye regler – ligesom det gældende persondatadirektiv – skal tjene to formål. Persondatareglerne skal således for det første beskytte fysiske personers grundlæggende rettigheder i forbindelse med dataansvarlige offentlige myndigheders og privates behandling af personoplysninger. For det andet skal reglerne i klassisk EU-stil sikre den fri udveksling af personoplysninger – tanken er, at personoplysninger således skal kunne flyde frit mellem medlemsstaterne.
Delformålet om beskyttelse af grundlæggende rettigheder er velkendt. Behandling af personoplysninger kan være et indgreb i EMRK artikel 8. Med EU's Charter om grundlæggende rettigheder er dette understreget ved, at der i artikel 8 specifikt er indført en regel om beskyttelse af personoplysninger. I EU-Domstolens dom af 9. november 2010 i de forenede sager C-92/09 og 93/09, Volker und Markus Schecke GbR, fandt Domstolen – på baggrund af charterets artikel 8 – at en forordningsbestemt offentliggørelse af oplysninger om fysiske personers modtagelse af EU's landbrugsstøtte stred mod proportionalitetsprincippets nødvendighedsbetingelse.
Delformålet med fri bevægelighed er måske lidt overset. Det kommer f.eks. til udtryk ved, at dataansvarlige myndigheder og virksomheder i udgangspunktet skal have mulighed for at opnå en økonomisk gevinst ved at outsource opbevaringen af deres it til en hosting-leverandør i et andet EU-land, hvis opbevaringen kan foregå billigere i datacentre dér.
Persondatadirektivet har harmoniseret beskyttelsen af personoplysninger i et vist omfang. Direktivet overlader dog i vidt omfang den nærmere fastlæggelse af beskyttelsesniveauet til medlemsstaterne selv.
Som et eksempel kan nævnes, at det efter direktivets artikel 17 er op til medlemsstaterne at fastsætte niveauet for de tekniske og organisatoriske sikkerhedsforanstaltninger, der skal sikre, at oplysninger ikke kommer til uvedkommendes kendskab eller misbruges mv. Dette har skabt problemer i forhold til nye teknologier som cloud computing, da det økonomisk fordelagtige i cloud løsninger er vanskeligt foreneligt med, at leverandørerne skal tilpasse sig forskellige sikkerhedskrav i de lande, hvor datacentre er placeret. Som et andet eksempel kan henvises til direktivets artikel 5, hvorefter medlemsstaterne har mulighed for at præcisere, på hvilke betingelser behandling af personoplysninger er lovlig.
Der er således flere eksempler på, at kravene til lovlig behandling af personoplysninger er forskellige EU-landene imellem. Det er sådanne forskelle, Kommissionen ønsker at minimere ved forordningsforslaget, da den manglende ensartede udformning og anvendelse af databeskyttelsesregler på tværs af medlemsstaterne skaber visse vanskeligheder for navnlig private virksomheder, der driver virksomhed i flere medlemsstater.
Forordning i stedet for et direktiv
Det mest bemærkelsesværdige ved Kommissionens forslag er unægtelig, at der er tale om et forslag til forordning og ikke til et nyt direktiv.
Det følger af TEUF artikel 288, at en forordning er almengyldig, samt at den binder i alle enkeltheder og gælder umiddelbart i hver medlemsstat. En forordning kan og må i udgangspunktet ikke implementeres i national ret.
Det betyder, at persondataloven med tilhørende sikkerhedsbekendtgørelse om behandling af personoplysninger i forvaltningen i al væsentlighed vil skulle erstattes af forordningens regulering. De behandlingsregler, rettigheder for den registrerede, datasikkerhedsregler mv., der i dag følger af persondataloven, vil alene være at finde i forordningen efter dens vedtagelse og ikrafttræden. Andre sektorlove som sundhedsloven og lov om finansiel virksomhed, der vedrører behandling af personoplysninger, vil også skulle ændres/ophæves i lyset af forordningens endelige tekst.
At Kommissionen vælger at fremsætte forslag til en forordning og ikke et direktiv, ligger fint i forlængelse af Kommissionens målsætning om en mere ensartet anvendelse og håndhævelse af databeskyttelsesreglerne i EU. Valget af en forordning vil bidrage hertil sammen med de ’delegated acts’, der omtales nedenfor.
Samtidigt lægger forordningsforslaget dog op til at fortsætte linjen fra direktivet om, at centrale spørgsmål reguleres i vage retlige standarder, jf. f.eks. forslagets artikel 5 om generelle principper (direktivets artikel 6 og persondatalovens § 5) og artikel 6 (direktivets artikel 7 og lovens § 6) om betingelserne for behandling af almindelige ikke-følsomme oplysninger. At reglerne fremover skal være at finde i en forordning, hvis indhold fastlægges i sidste ende af EU-Domstolen, ændrer nok ikke på, at disse standarder i et vist omfang i praksis vil blive udfyldt på forskellige måder i EU-landene.
Derudover henviser forslaget især for så vidt angår behandlingen af personoplysninger i den offentlige forvaltning til national ret, jf. forslagets artikel 6, stk. 1, litra c og e. Bemærkelsesværdigt er det i den forbindelse, at en interesseafvejningsregel, der svarer til persondatalovens § 6, stk. 1, nr. 7 – som giver mulighed for behandling af personoplysninger, når der forfølges en berettiget interesse, der overstiger hensynet til den registrerede – ikke længere skal kunne fungere som behandlingshjemmel for offentlige myndigheder, jf. forslagets artikel 6, stk. 1, litra f.
Mere central rolle til Kommissionen (delegated acts)
Forslaget indeholder flere steder generelle regler, og Kommissionen er i forslaget i vidt omfang tillagt beføjelse til at udfylde disse. Således lægger forordningen op til, at Kommissionen i 26 tilfælde skal supplere forordningen med ’delegerede retsakter’ og i over 15 tilfælde med ’gennemførelsesretsakter’.
Det er på de fleste væsentlige områder af forslaget, at Kommissionen skal kunne supplere forordningen med de nævnte retsakter. På flere måder vil forordningens indhold først rigtig se dagens lys i takt med udstedelse af disse supplerende retsakter. Det vil tage tid at udstede alle disse supplerende retsakter. Kommissionen anslår i bemærkningerne til forordningsforslaget, at den kan håndtere op til tre supplerende retsakter om året.
F.eks. kan Kommissionen konkretisere de sikkerhedskrav, der skal gælde for behandling af personoplysninger, jf. forslagets artikel 30, stk. 3. Det er som nævnt på nuværende tidspunkt op til medlemslandene at fastlægge sikkerhedsniveauet. Et andet godt eksempel er forslagets artikel 6, stk. 5, hvorefter Kommissionen skal udfylde interesseafvejningsreglen i artikel 6, stk. 1, litra f (svarende til persondatalovens § 6, stk. 1, nr. 7), i forhold til konkrete sektorer og databehandlingssituationer.
De mange muligheder for Kommissionen til at udstede supplerende retsakter er et godt eksempel på, at EU-landenes beføjelser på persondatarettens område i større omfang med forordningsforslaget vil overgå til Kommissionen, der således får en stærkere position på området.
Andre nyskabelser
På flere andre områder lægger Kommissionen også op til bemærkelsesværdige nyskabelser. Brugen af samtykke som behandlingsgrundlag skal begrænses. Fremover skal det derudover kun være datatilsynet i det EU-land, hvor et selskab har sit hovedkontor, der skal afgøre, om selskabet handler i overensstemmelse med persondatareglerne. Forslaget lægger i øvrigt op til en øget grad af selvregulering ved bl.a. at stille krav om, at alle offentlige myndigheder og selskaber med over 250 ansatte skal udpege en såkaldt ’databeskyttelsesansvarlig’, som skal sikre, at myndigheden/selskabet overholder reglerne i forordningen.
Derudover introducerer forslaget ’retten til at blive glemt’, som fremstår som et forsøg på videreudvikling af direktivets eksisterende regler om sletning. Herudover skal dataansvarlige efter forslaget underrette både de berørte registrerede (’uden unødig forsinkelse’) og det nationale datatilsyn (’om muligt senest 24 timer efter’ hændelsen) om brud på persondatasikkerheden.
Endelig indeholder forordningsforslaget detaljerede krav om, at nationale datatilsyn skal udstede høje administrative bøder (op til to procent af en virksomheds årlige globale omsætning) for såvel forsætlige som uagtsomme overtrædelser af forordningen.