Persondataforordningen blev vedtaget tidligere på året. Forordningen – der afløser databeskyttelsesdirektivet – indeholder både kendte og nye elementer. Forordningens bestemmelser er relevante for alle advokater, der behandler personoplysninger – uanset om det er om klienter, medarbejdere eller nogle helt tredje. Advokatens fejltrin på persondataområdet kan fremover blive en meget bekostelig affære, og det er bestemt ikke for tidligt at indrette sig på de nye databeskyttelsestider.
Af advokat Jens Harkov Hansen (CIPP/E), Norrbom Vinding
Den 24. maj 2016 trådte den nye persondataforordning i kraft. De nye persondataregler vil dog først finde anvendelse fra 25. maj 2018. Fra sidstnævnte dato vil forordningen sætte rammerne for, hvordan blandt andet private virksomheder – herunder advokatvirksomheder – skal omgås personoplysninger. Og persondataloven, som vi kender den i dag, vil forsvinde.
I det følgende behandles en række af de problemstillinger, som forordningen aktualiserer, og som vi advokater bør være opmærksomme på i vores virke.
Det kommende retsgrundlag
Forordningen får direkte virkning i Danmark. Den skal derfor ikke implementeres nationalt. Dette indebærer også, at der som udgangspunkt ikke må være anden dansk lovgivning, der regulerer behandlingen af personoplysninger, i det omfang behandlingen er reguleret af forordningen. Dermed vil persondataloven – som vi kender den i dag – forsvinde. Forordningen lægger dog på en række områder op til supplerende national regulering. Der pågår derfor p.t. et omfattende arbejde under ledelse af Justitsministeriet, hvor forordningens rammer for nationale særregler analyseres, ligesom konsekvenserne for den gældende danske lovgivning undersøges. Det forventes, at Justitsministeriets arbejde vil være så langt, at der i oktober 2017 kan fremsættes de nødvendige lovforslag i Folketinget.
Mange af forordningens begreber og principper er kendt fra den nuværende persondatalov. Helt overordnet svarer forordningens behandlingsregler i vidt omgang til reglerne i persondataloven. I forordningen genfinder man således en række af de grundlæggende principper fra persondataloven, såsom formålsbegrænsning, saglighed og proportionalitet, ligesom man også fremover vil skulle sondre mellem almindelige og følsomme oplysninger – sidstnævnte nu i forordningen benævnt ‘særlige kategorier af oplysninger’. Persondatalovens regler om behandling af såkaldt ‘semi-følsomme’ oplysninger genfindes dog ikke i forordningen. Dette indebærer, at eksempelvis den nærmere regulering af mulighederne for at behandle oplysninger om straffedomme og lovovertrædelser er henlagt til national lovgivning.
Med forordningen videreføres en række af de rettigheder og pligter, der i dag følger af persondataloven. Dette gælder eksempelvis de oplysningspligter, som påhviler dataansvarlige, samt de registreredes ret til at få indsigt i egne oplysninger. Men også nye begreber – såsom ‘retten til at blive glemt’ – har fundet vej til forordningen.
Med forordningen indføres også en række nye dokumentations- og sikkerhedskrav. Og begrebet ’databeskyttelsesrådgiver’ – Data Protection Officer (DPO) – introduceres. Så der er nok at sætte sig ind i.
Advokatens rolle
Omdrejningspunktet for persondataretten vil fortsat være omgangen med personoplysninger, og begreberne ‘den dataansvarlige’ og ‘databehandleren’ videreføres. Også efter forordningen er det den dataansvarlige, der må stå på mål for, at bestemmelserne overholdes, og at der er hjemmel til at behandle personoplysningerne. Reglerne om oplysningspligt og dokumentationskrav retter sig også mod den dataansvarlige. Desuden er det over for den dataansvarlige, de registrerede kan udøve deres rettigheder, og det er den dataansvarlige, der kan ifalde straf- og erstatningsansvar. Men med forordningen indføres et udvidet ansvar for databehandlerne.
Advokatvirksomheden vil også efter forordningen være enten dataansvarlig eller databehandler. Vurderingen af, om det er den ene eller den anden kasket, handler om, hvilken fysisk eller juridisk person der afgør, til hvilket formål der behandles oplysninger. Databehandleren defineres derimod som den fysiske eller juridiske person, der alene behandler oplysninger på den dataansvarliges vegne.
Advokaten er dataansvarlig for de personoplysninger, som behandles til egne formål, og må i den egenskab sikre sig hjemmel til behandlingen. Med forordningen forventes dette ikke umiddelbart at give anledning til udfordringer, særligt ikke hvis oplysningerne drejer sig om og er afgivet af klienten selv.
Opererer advokaten som databehandler for klienten, vil advokatvirksomheden også fremover kunne behandle personoplysninger i samme omfang som klienten. Dette giver derfor ikke anledning til selvstændige hjemmelsmæssige overvejelser. Men hvor databehandlerens forpligtelser hidtil stort set alene har været reguleret i databehandleraftalen indgået med den dataansvarlige, indeholder forordningen nu selvstændige forpligtelser samt et mere detaljeret krav til indholdet af databehandleraftalen. Og databehandleren kan idømmes bøde, hvis kravene ikke efterleves.
I det omfang advokaten skal have selvstændig hjemmel til at behandle personoplysninger som led i sit advokatvirke, kan hjemlen for behandling af almindelige oplysninger eksempelvis være opfyldelsen af den kontraktretlige relation, der ligger til grund for selve opdraget fra klienten, ligesom der kan påhvile advokaten en retlig forpligtelse til at indsamle og opbevare personoplysninger. Er der tale om følsomme oplysninger, kan hjemlen for eksempel være, at et retskrav skal fastlægges, gøres gældende eller forsvares.
Omgang med klientoplysninger mv.
Når advokaten omgås klientoplysninger, må man også efter forordningen sikre sig, at oplysningerne behandles med den fornødne sikkerhed, og at alene relevant personale har adgang til oplysningerne.
Forordningen stiller krav om, at eksempelvis medarbejdere hos advokaten behandler personoplysninger efter instruks, ligesom advokaten generelt må være opmærksom på de sikkerhedsrisici, der er forbundet med databehandlingen.
Helt overordnet introducerer forordningen en mere risikobaseret tilgang, hvor den dataansvarlige og databehandleren i højere grad skal fokusere på de aktiviteter, der kan medføre en risiko for krænkelse af personers rettigheder. Som eksempel herpå nævnes i forordningens præambel tab af fortrolighed i forhold til personoplysninger, der er omfattet af tavshedspligt. Dette viser, at personoplysninger om klienter også efter forordningen underlægges særlig beskyttelse.
På sikkerhedsområdet indeholder forordningen en række nye elementer. Fremover stilles der særlige krav til de it-systemer, som anvendes, ligesom der ved sikkerhedsbrud i visse tilfælde vil skulle ske orientering af Datatilsynet samt de berørte personer. I forbindelse med omtalen af denne orienteringspligt fremhæves det i forordningens præambel, at et brud på persondatasikkerheden kan påføre fysiske personer fysisk, materiel eller immateriel skade, såsom tab af fortrolighed i forhold til oplysninger, der er omfattet af tavshedspligt. Igen et element, som kan være af særlig betydning for advokater.
Den generelle anmeldelsesordning, som kendes fra persondataloven, og hvor Datatilsynet i visse situationer skal give forudgående tilladelse til en behandling, afskaffes med forordningen. I stedet indeholder forordningen krav om, at visse behandlingstyper indebærer, at der forudgående skal foretages en nærmere analyse af de påtænkte behandlingsaktiviteters konsekvenser – igen et udtryk for den risikobaserede tilgang. På dette punkt forholder forordningen sig direkte til advokatvirksomhed, idet det fremgår af præambelbemærkningerne, at en advokats behandling af klientoplysninger typisk ikke vil have et sådant omfang, at dette i sig selv udløser en pligt til at udarbejde en konsekvensanalyse.
Udover ovennævnte omtaler forordningen ikke særlige forhold, der relaterer sig specifikt til advokaters virke. Advokatvirksomheder vil således i mange tilfælde være stillet som øvrige private virksomheder. Dette indebærer blandt andet, at forordningens krav om, at der skal føres fortegnelser over de behandlingsaktiviteter, der udføres, kan være relevant for advokatvirksomheden, ligesom man må forholde sig til, hvorvidt der eksempelvis skal udpeges en DPO.
Forordningen stiller krav om udpegning af en DPO i de tilfælde, hvor virksomhedens kerneaktivitet består af ’regelmæssig og systematisk overvågning af registrerede’ eller behandling af ’særlige kategorier af oplysninger’ i stort omfang. Det vil afhænge af en nærmere analyse af forordningens tekst og supplerende autoritative kilder, hvorvidt en advokatvirksomhed omfattes af DPO-kravet, men formentlig vil det kun blive aktuelt for et fåtal af de danske advokatvirksomheder.
Uanset forordningen alene på enkelte områder forholder sig specifikt til advokaters virke, kan advokatens særlige rolle og den øvrige regulering af advokathvervet konkret få betydning i forbindelse med anvendelsen af forordningens regler. Dette gælder eksempelvis i forbindelse med mulighederne for at begrænse rækkevidden af de rettigheder og forpligtelser, som forordningen indeholder. Således vil advokatens tavshedspligt kunne sætte grænser for eksempelvis den registreredes ret til at blive oplyst om, at der behandles oplysninger om denne. Hertil kommer, at det må forventes, at der i forbindelse med udredningsarbejdet i Justitsministeriets regi findes anledning til at regulere forhold, som kan have særlig betydning for advokater, herunder muligheden for at behandle oplysninger om straffedomme og lovovertrædelser.
Advokatens øvrige kasketter
Udover den klassiske rådgiverrolle vil de fleste advokatvirksomheder også varetage en række andre opgaver. Har advokatvirksomheden medarbejdere ansat, agerer virksomheden også som arbejdsgiver. Dermed må behandling af personoplysninger som led i personaleadministration også indrettes i overensstemmelse med forordningen.
Udover rollen som arbejdsgiver varetager advokater en række forskellige hverv, der ligeledes adskiller sig fra den klassiske rådgiverrolle. Det være sig som bestyrelsesmedlem, personlig værge, i forbindelse med drift af inkassovirksomhed, ved formidling af viden om domme og afgørelser via advokatvirksomhedens hjemmeside eller ved håndtering af whistleblowerordninger for virksomheder. Også i disse tilfælde må advokatvirksomheden være sig sit ansvar bevidst og håndtere personoplysninger i tråd med forordningens bestemmelser og den kommende supplerende regulering.
Advokatvirksomheden bør også overveje forholdet til sine databehandlere. Det kan være, at it-opgaver er outsourcet, hjemmesiden drives af eksterne, eller lønadministration og rekruttering er udliciteret. Her skal det overvejes, om der er indgået de fornødne databehandleraftaler, og om de eksterne leverandører eventuelt behandler personoplysningerne i et tredjeland, hvilket rejser særlige overvejelser.
Det falder uden for rammerne af denne artikel at komme ind på alle disse øvrige områder, men det er værd at være opmærksom på, at der kan opstå mange persondataretlige problemstillinger i relation til advokatvirksomhedens øvrige virke.
Sanktioner
Forordningen indfører nye sanktionsbestemmelser. Helt generelt opereres der i forordningen med to bødeniveauer – et højt og et lavt. Den høje bødeklasse indeholder et bødemaksimum på 20 millioner euro eller op til fire procent af den årlige globale omsætning – alt afhængig af, hvad der er højest. Den lave bødeklasse indeholder et bødemaksimum på ti millioner euro eller op til to procent af den årlige globale omsætning – igen alt afhængig af, hvad der er højest.
I forordningen er anført en række eksempler på, hvad der udløser bøder i en bestemt klasse. I den lave bødeklasse handler det eksempelvis om manglende databehandleraftaler, utilstrækkelig dokumentation for behandling eller mangelfuld eller utilstrækkelig sikkerhed. Den høje klasse er blandt andet tiltænkt anvendt ved hjemmelsmangler, manglende iagttagelse af oplysningspligter eller manglende efterkommelse af afgørelser fra datatilsyn.
Tanken bag de nye sanktionsbestemmelser er, at der skal være tale om administrative bøder udstedt af de nationale datatilsyn. Justitsministeriet har imidlertid vurderet, at grundloven ikke giver mulighed for en sådan ordning i Danmark. Det følger derfor af præamblen, at administrative bøder kan pålægges af domstolene som en strafferetlig sanktion, forudsat at virkningen svarer til virkningen af administrative bøder.
Uanset hvordan eventuelle bøder måtte blive udstedt, bør håndteringen af persondata på de interne linjer fremover tages særdeles alvorligt. Og rådgiver man om persondataforhold, skal man måske undersøge ansvarsforsikringspolicen en ekstra gang.
Hvordan kan man forberede sig?
En del af forordningens begreber og principper er som nævnt kendt fra den nuværende persondatalov. Har man allerede foranstaltninger og rutiner på plads, vil man have et godt udgangspunkt for at leve op til forordningens bestemmelser. Men kniber det fortsat lidt med at have styr på databehandlingen, er der god grund til at få fokus på det nu – også selvom forordningen indeholder nye krav, der skal efterleves.
Datatilsynet har for nylig offentliggjort dokumentet ‘Forberedelser forud for EU’s databeskyttelsesforordning – 12 spørgsmål som dataansvarlige allerede nu med fordel kan forholde sig til’. Dokumentet kan anvendes som en tjekliste, når der skal styr på forskellene mellem den nuværende lovgivning og den nye forordning i hovedtræk.
I advokatvirksomheden bør det undersøges, hvordan virksomheden påvirkes af forordningen – og det bør identificeres, hvilke områder der skal arbejdes særskilt med. Det kræver overblik over, hvilke personoplysninger der behandles, samt hvilken information, dokumentation og hvilke retningslinjer der allerede i dag er udarbejdet.
For øvelsen med at indrette databehandlingen i overensstemmelse med forordningen og den supplerende lovgivning giver ikke megen mening, før der er overblik over advokatvirksomhedens dataflow. Og det viser sig som regel at være en mere kompleks affære end de fleste umiddelbart regner med. Og det er bestemt ikke noget, der klares på en dag eller to. Så selvom forordningen først finder anvendelse fra maj 2018, er det ikke for tidligt at forberede sig.
Jens Harkov Hansen
Senioradvokat hos Norrbom Vinding, hvor han rådgiver om alle forhold inden for persondataretten. Tidligere ansat i både Datatilsynet og Justitsministeriets departement, hvor han har erhvervet sig en persondataretlig viden på højt niveau.
Desuden har han opnået international certificering inden for europæisk databeskyttelsesret (CIPP/E), ligesom han er co-chair i det danske KnowledgeNet under International Association of Privacy Professionals. Dertil kommer betydelig undervisningserfaring inden for området.
Jens Harkov Hansen varetager desuden et eksternt lektorat ved Københavns Universitet.