Vi bruger cookies for at give dig så god en oplevelse som muligt, når du bruger vores websted. Læs mere om, hvordan vi bruger cookies, og hvordan du kan ændre dine indstillinger.

EU's databeskyttelsesreform: Rådet bekræfter enigheden med Europa-Parlamentet

  • 18.12.2015
  • Pressemeddelelse
  • 951/15
  • Retlige anliggender
  • Indre anliggender
18.12.2015
Pressekontakter

Joaquín Nogueroles Garcia
Pressemedarbejder
+32 22812074
+32 473854991

18. december 2015 bekræftede De Faste Repræsentanters Komité (Coreper) de kompromistekster, der var opnået enighed om med Europa-Parlamentet, om databeskyttelsesreformen. Der blev opnået enighed mellem Rådet, Parlamentet og Kommissionen 15. december. Denne aftale er i overensstemmelse med Det Europæiske Råds anmodning om at afslutte forhandlingerne om databeskyttelsesreformen inden udgangen af 2015.

Félix Braz, Luxembourgs justitsminister og formand for Rådet, udtalte: "Der er tale om en afgørende aftale med vigtige virkninger. Denne reform styrker ikke alene borgernes rettigheder, men tilpasser også reglerne til den digitale tidsalder for virksomheder og mindsker samtidig den administrative byrde. Disse tekster er ambitiøse og fremadrettede. Vi kan have fuld tillid til resultatet."  

Databeskyttelsesreformen er en lovgivningspakke, som Kommissionen foreslog i 2012 for at ajourføre og modernisere databeskyttelsesreglerne.  Den omfatter to retsakter: en generel forordning om databeskyttelse (der skal erstatte direktiv 95/46/EF) og et direktiv om databeskyttelse på retshåndhævelsesområdet (der skal erstatte rammeafgørelsen fra 2008 om databeskyttelse). 

Beskyttelse af personer i forbindelse med behandling af deres personoplysninger er en grundlæggende ret, der er fastlagt i Den Europæiske Unions charter om grundlæggende rettigheder (artikel 8) og i traktaten om Den Europæiske Unions funktionsmåde (artikel 16).

Den generelle forordning om databeskyttelse

Den generelle forordning om databeskyttelse har til formål at styrke databeskyttelsesniveauet for fysiske personer, hvis personoplysninger behandles, og øge forretningsmulighederne på det digitale indre marked, bl.a. gennem mindre administrative byrder. 

Styrket databeskyttelsesniveau

Principperne og reglerne for behandling af personoplysninger skal være i overensstemmelse med de grundlæggende rettigheder og frihedsrettigheder, navnlig retten til beskyttelse af personoplysninger. De styrkede databeskyttelsesrettigheder giver registrerede (fysiske personer, hvis personoplysninger behandles) mere kontrol over deres personoplysninger: 

  • mere specifikke regler, der gør det muligt for dataansvarlige (dem, der har ansvaret for databehandling) at behandle personoplysninger, bl.a. gennem krav om samtykke fra de berørte fysiske personer
  • lettere adgang til deres personoplysninger
  • bedre information om, hvad der sker med personoplysninger, når de deles. Dette indebærer, at fysiske personer informeres om politikker vedrørende privatlivets fred i et klart og enkelt sprog, hvilket også kan ske ved hjælp af standardiserede ikoner
  • ret til at få slettet personoplysninger og "til at blive glemt". Dette giver f.eks. registrerede mulighed for at kræve straks at få fjernet personoplysninger, der var indsamlet eller offentliggjort på et socialt netværk, da vedkommende stadig var barn
  • hvis unge på under 16 år ønsker at benytte onlinetjenester, skal tjenesteyderen forsøge at kontrollere, at forældresamtykke er givet. EU-landene kan nedsætte denne aldersgrænse, men ikke til under 13 år
  • ret til portabilitet, hvilket letter overførsel af personoplysninger fra en tjenesteyder, f.eks. et socialt netværk, til en anden. Dette vil ikke alene øge databeskyttelsesrettighederne, men også styrke konkurrencen mellem tjenesteudbydere
  • ret til at gøre indsigelse mod behandling af personoplysninger, der vedrører den offentlige interesse eller en dataansvarligs legitime interesser. Denne ret omfatter anvendelse af personoplysninger til "profilering"
  • fælles beskyttelsesforanstaltninger for behandling af personoplysninger med henblik på arkivering, hvis det er i offentlighedens interesse og til videnskabelig og historisk forskning eller til statistiske formål

For at sikre lokal domstolsprøvelse har registrerede ret til at få enhver afgørelse, der er truffet af deres databeskyttelsesmyndighed, kontrolleret af en national domstol, uanset hvilket EU-land den dataansvarlige er etableret i. 

Øgede forretningsmuligheder på det digitale indre marked

Forordningen indeholder bestemmelser om et enkelt sæt regler, der er gyldige i hele EU, og som gælder for både europæiske og ikkeeuropæiske virksomheder, der tilbyder onlinetjenester i EU. Herved undgås en situation, hvor modstridende nationale databeskyttelsesregler kan afbryde grænseoverskridende udveksling af oplysninger. Den fastsætter også øget samarbejde mellem EU-landene for at sikre ensartet anvendelse af databeskyttelsesreglerne i hele EU. Dette vil skabe fair konkurrence og tilskynde virksomheder, især små og mellemstore virksomheder, til at få mest muligt ud af det digitale indre marked. 

For at mindske omkostningerne og skabe retssikkerhed vil der i vigtige grænseoverskridende tilfælde, hvor flere nationale tilsynsmyndigheder er involveret, blive truffet en enkelt tilsynsafgørelse. Denne mekanisme med et centralt kontaktpunkt giver en virksomhed, der er aktiv i flere medlemsstater, mulighed for kun at have at gøre med databeskyttelsesmyndigheden i den medlemsstat, hvor den har sin hovedvirksomhed. Mekanismen indebærer også, at der i tilfælde af tvister træffes en enkelt afgørelse, der finder anvendelse på hele EU's område. 

Med henblik på at nedbringe de administrative omkostninger indfører forordningen en risikobaseret tilgang: Dataansvarlige kan gennemføre foranstaltninger i forhold til den risiko, der er forbundet med den databehandling, de udfører. Forskellige virksomheder har forskellige aktiviteter, og de risici, der er forbundet med sådanne aktiviteter med hensyn til privatlivets fred, kan variere. Forordningen indeholder ikke en enhedsløsning: Jo større risici, aktiviteter har for personoplysninger, jo strengere er forpligtelserne. 

Flere og bedre værktøjer til at håndhæve overholdelse af databeskyttelsesreglerne

Forordningen indeholder en række foranstaltninger, der skal øge dataansvarliges forpligtelser og ansvar, for at sikre fuld overholdelse af de nye databeskyttelsesregler. Dataansvarlige skal gennemføre en række sikkerhedsforanstaltninger, bl.a. et krav om i visse tilfælde at skulle anmelde brud på persondatasikkerheden. For at fremtidssikre forordningen er principperne om indbygget databeskyttelse og databeskyttelse gennem indstillinger indført. Offentlige myndigheder og virksomheder, der udfører visse former for risikobetonet databehandling, skal udpege en databeskyttelsesansvarlig for at sikre, at reglerne overholdes. 

Registrerede og under visse omstændigheder databeskyttelsesorganisationer kan indgive en klage til en tilsynsmyndighed eller indbringe sagen for en domstol i tilfælde, hvor databeskyttelsesreglerne ikke overholdes. Dataansvarlige kan udsættes for maksimale bøder på op til 20 mio. € eller 4 % af deres samlede årlige omsætning. 

Garantier vedrørende videregivelse af personoplysninger til lande uden for EU

Forordningen fastsætter regler for videregivelse af personoplysninger til ikke-EU-lande og internationale organisationer. Videregivelse kan finde sted, forudsat at en række betingelser og garantier er opfyldt, navnlig hvis Kommissionen har truffet afgørelse om, at der foreligger et tilstrækkeligt beskyttelsesniveau. Nye afgørelser om, hvorvidt et beskyttelsesniveau er tilstrækkeligt, skal tages op til revision mindst hvert 4. år. Eksisterende tilladelser og afgørelser om, at et beskyttelsesniveau er tilstrækkeligt, forbliver i kraft, indtil de ændres, erstattes eller ophæves.   

Direktivet om databeskyttelse på retshåndhævelsesområdet

Dette direktiv skal beskytte personoplysninger, der behandles med henblik på at forebygge, efterforske, opdage eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner, herunder beskyttelse mod og forebyggelse af trusler mod den offentlige sikkerhed. 

Det er afgørende at sikre et konsekvent og højt niveau for beskyttelse af personoplysninger for fysiske personer og samtidig gøre det lettere at udveksle personoplysninger mellem retshåndhævende myndigheder i de forskellige EU-lande. 

Bredere anvendelsesområde

Ud over at omfatte aktiviteter, der har til formål at forebygge, efterforske, opdage og retsforfølge straffelovsovertrædelser, er det nye direktiv blevet udvidet til også at omfatte beskyttelse mod og forebyggelse af trusler mod den offentlige sikkerhed. 

Det nye direktiv finder anvendelse på både grænseoverskridende behandling af personoplysninger og politiets og retslige myndigheders behandling af personoplysninger på nationalt plan. Rammeafgørelsen, der vil blive erstattet, omfattede kun grænseoverskridende udveksling af oplysninger. 

Registreredes rettigheder

Reglerne sikrer balance mellem retten til privatlivets fred og behovet for, at politiet ikke afslører behandling af oplysninger i en tidlig fase af en efterforskning. Teksten indeholder dog en liste over oplysninger, som registrerede til enhver tid har ret til at modtage, så deres ret beskyttes, hvis de frygter, at deres personoplysninger er blevet misbrugt. 

De nye regler vil også omfatte videregivelse af personoplysninger til ikke-EU-lande og internationale organisationer. 

Overholdelse

Det nye direktiv fastsætter, at der udnævnes en databeskyttelsesansvarlig til at hjælpe de kompetente myndigheder med at sikre, at databeskyttelsesreglerne overholdes. 

Et andet redskab, der skal sikre overholdelse, er konsekvensanalyse. Hvis en bestemt type behandling sandsynligvis vil føre til høj risiko for fysiske personers rettigheder og frihedsrettigheder, skal de kompetente myndigheder foretage en analyse af de potentielle konsekvenser heraf, især når der anvendes ny teknologi.   

Overvågning og erstatning

Teksten til direktivet er tilpasset teksten til forordningen for at sikre, at der i bred forstand anvendes de samme generelle principper. Desuden er reglerne om tilsynsmyndigheden i store træk ens, fordi den tilsynsmyndighed, der oprettes ved den generelle forordning om databeskyttelse, også kan beskæftige sig med anliggender, der henhører under direktivet. Det nye direktiv giver også registrerede ret til at modtage erstatning, hvis de har lidt skade som følge af en behandling, der er sket i strid med reglerne.                        

DE NÆSTE SKRIDT

På et ekstraordinært møde 17. december godkendte Europa-Parlamentets Udvalg om Borgernes Rettigheder og Retlige og Indre Anliggender (LIBE) de tekster, der var opnået enighed om på trepartsmøderne. Denne støtte har i dag gjort det muligt for Coreper at bekræfte de endelige kompromistekster om forordningen og direktivet. Efter jurist-lingvisternes gennemgang af teksterne vil de blive forelagt til vedtagelse af Rådet og derefter af Parlamentet. Forordningen og direktivet forventes at træde i kraft i foråret 2018.