Persondataforordningen: Første danske fortolkningsbidrag

Transkript

1 Persondataforordningen: Første danske fortolkningsbidrag 22. august Agenda Status på persondataforordningen og tidsplan Persondatakategorier De registreredes rettigheder Pause Ansvarlighed, dokumentationskrav og fortegnelse Behandlingssikkerhed, sikkerhedsbrud og konsekvensanalyser Cloud-løsninger, krigsreglen og tredjelandsoverførsler Pause Databeskyttelsesrådgiver (Data Protection Officer/DPO) Sanktioner/bøder Spørgsmål 1

2 3 Status på persondataforordningen og tidsplan 4 Status på forordningen og tidsplan Forordning 679/2016 Justitsministeriets betænkning nr Offentliggørelse af lovforslag fremsættes i Folketinget til efteråret Vejledninger 2

3 5 Vejledninger praktisk anvendelige Emne Offentliggørelse Generel informationspjece om forordningen September 2017 Databeskyttelsesrådgiver (DPO) September 2017 Overførsel af personoplysninger til tredjelande September 2017 Dataansvarlige og databehandlere Oktober 2017 Samtykke Oktober 2017 Fortegnelse November 2017 Adfærdskodekser og certificeringsordninger December 2017 Behandlingssikkerhed December 2017 Databeskyttelse gennem design og standardindstillinger December 2017 Konsekvensanalyse (DPIA) December 2017 Cloud computing December 2017 Håndtering af brud på persondatasikkerheden Januar 2018 Registreredes rettigheder Januar 2018 Betænkningen står ikke alene Samarbejde mellem Justitsministeriet, Digitaliseringsstyrelsen og Datatilsynet Fokus på eksempler 6 Betænkning 1565/2017 Formål med udførlig analyse i betænkningen Bidrag til fortolkning af forordningen (svarer til gældende ret hhv. nyskabelser) Beskrivelse af gældende ret = (nødvendigt) grundlag for overvejelser om, i hvilket omfang der er behov for at tilpasse danske regler til forordningen (nationalt råderum) Forordningens konsekvenser for gældende dansk særlovgivning: De fleste identificerede bestemmelser kan opretholdes På den baggrund vil der for myndigheder og private organisationer, der i forvejen lever op til persondataloven, ikke med forordningen være tale om omfattende ændringer. (s. 16) Persondataloven 2.0 Persondataforordningen (databeskyttelsesforordningen) Hvor retstilstanden ikke kan anses for entydig, indeholder betænkningen i vidt omfang forslag til mulige løsninger. De regler i den nugældende persondatalov, som svarer til forordningens anvendelsesområde, skal ophæves (forordningen er almengyldig) 3

4 7 Nyskabelser i persondataforordningen iht. Justitsministeriet Analysearbejdet har vist, at forordningen i vidt/stort omfang svarer til den gældende danske retstilstand efter persondataloven og persondatadirektivet med tilhørende praksis fra bl.a. EU-Domstolen og Datatilsynet. Centrale bestemmelser om anvendelsesområde Definitioner Principper for behandling af personoplysninger Registreredes rettigheder Behandlingssikkerhed Nyskabelser i forhold til den gældende retstilstand, fx Data Protection Officer (DPO) Data Protection Impact Assessment Fortegnelser over behandlingsaktiviteter Data protection by design 8 Persondatakategorier 4

5 Generelle principper for behandling af personoplysninger Alm. ikke-følsomme oplysninger Art. 6 Generelle principper Art. 5 Særlov Særlige kategorier af oplysninger Art. 9 Særlov 10 Generelle principper for behandling af personoplysninger De gældende grundlæggende principper for behandling af personoplysninger videreføres med persondataforordningen: 1. Lovlighed, rimelighed og gennemsigtighed 2. Formålsbegrænsning 3. Dataminimering 4. Rigtighed Urigtige oplysninger skal som udgangspunkt slettes straks hurtigere end efter gældende ret 5. Opbevaringsbegrænsning 6. Integritet og fortrolighed Behandlingssikkerhed skal tillægges stor betydning i forbindelse med behandling af personoplysninger efter forordningen Accountability: Præcisering af, at det er den dataansvarlige, som skal kunne påvise i modsætning til databeskyttelsesdirektivets krav om, at den dataansvarlige skal sikre at behandlingsprincipperne skal overholdes. Dette ligger fint i tråd med, at der i øvrigt i forordningen generelt lægges stor vægt på ansvarlighed (accountability) 5

6 11 Generelle principper for behandling af personoplysninger Nye regler for videre behandling af oplysninger Databeskyttelseslovens 5, stk. 2, er en gengivelse af databeskyttelsesdirektivets art. 6(4): a) enhver forbindelse mellem det formål, som personoplysningerne er indsamlet til, og formålet med den påtænkte viderebehandling b) den sammenhæng, hvori personoplysningerne er blevet indsamlet, navnlig med hensyn til forholdet mellem den registrerede og den dataansvarlige c) personoplysningernes art, navnlig om særlige kategorier af personoplysninger behandles, jf. artikel 9, eller om personoplysninger vedrørende straffedomme og lovovertrædelser behandles, jf. artikel 10 d) den påtænkte videre behandlings mulige konsekvenser for de registrerede e) tilstedeværelse af fornødne garantier, som kan omfatte kryptering eller pseudonymisering. Justitsministeriet vil : Tydeliggøre muligheden for videre behandling Justitsministeren vi kunne fastsætte grænser for, hvor videre behandling også er ok 12 Oplysningskategorier Almindelige oplysninger Semi-følsomme oplysninger Følsomme oplysninger CPR-nr. Fx Navn Adresse Persondataloven (Oplysninger om strafbare forhold) Sociale problemer Andre rent private forhold end følsomme oplysninger Racemæssig eller etnisk baggrund Politisk, religiøs eller filosofisk overbevisning Fagforeningsmæssige tilhørsforhold Oplysninger om helbredsmæssige eller seksuelle forhold Offentlige myndigheder: Mhp. entydig identifikation/journalnummer Private virksomheder: Lovbestemmelse/samtykke Aldrig offentliggørelse uden samtykke Persondataforordningen Også (Oplysninger om strafbare forhold) Sociale problemer Andre rent private forhold end følsomme oplysninger Racemæssig eller etnisk baggrund Politisk, religiøs eller filosofisk overbevisning Fagforeningsmæssige tilhørsforhold Behandling af genetiske data eller biometriske data med henblik på unik identifikation Oplysninger om helbredsmæssige eller seksuelle forhold Medlemsstater kan fastsætte specielle betingelser, dog krav om tilstrækkelige sikkerhedsforanstaltninger 6

7 13 Behandling af almindelige ikke-følsomme oplysninger I store træk en videreførelse af gældende ret Der er ikke længere tale om personoplysninger, når personen har været død i 10 år Nye krav til samtykke aktivt oplyse om mulighed for at trække samtykke tilbage Mere specifikke regler om videregivelse af oplysninger i markedsføringsøjemed Særlig opmærksomhed på behandling af oplysninger om børn aldersgrænse nu fastsat til 13 år! Interesseafvejningsreglen for offentlige myndigheder forvaltning og drift Der er mulighed for at fortolke en opgave i samfundets interesse bredt således, at det er mest nærliggende at antage, at faktisk forvaltningsmyndighed kan rummes inden for begrebet. Gælder også, når offentlige myndigheder behandler oplysninger som arbejdsgiver = samfundets interesse Videoovervågning, overvågning af s og personaleevalueringer Opretholdelse af særregler myndigheder skal overveje: Ønskes særreglen opretholdt? Kan hjemlen findes i persondataforordningen? Fastsætter reglen specifikke krav til behandling og andre foranstaltninger? Formålet med behandlingen skal være fastlagt/fastlægges i lovgivningen (lov med forarbejder) Proportionalitet og overholdelse af persondataforordningens grundlæggende principper 14 Behandling af følsomme oplysninger Stort set en videreførelse af eksisterende praksis Bred mulighed for behandling af både almindelige og følsomme oplysninger i ansættelsesforhold Nationale særregler kan danne grundlag for behandling af følsomme personoplysninger Væsentlige samfundsinteresser Oplysninger om strafbare forhold 7

8 15 De registreredes rettigheder 16 Oplysningspligt (art ) Nye krav Kontaktoplysninger på dataansvarlig, kontaktoplysninger på DPO Retsgrundlag (ikke kun formål) Der skal henvises til fx specifikt kapitel i forordning, lov eller bekendtgørelse Hvor interesseafvejningsreglen anvendes (art. 6, stk.1, litra f), skal der redegøres for de legitime interesser, der forfølges Kategorier af modtagere fx samarbejdspartnere, offentlige myndigheder Overførsel af personoplysninger til tredjeland og hvordan et tilstrækkeligt sikkerhedsniveau opnås Tidsrum for opbevaring eller kriterier der anvendes for at fastlægge perioden, fx forældelsesfrister (slettefrist i overensstemmelse med art. 30) 8

9 17 Oplysninger som kun skal gives hvor det er nødvendigt (rimelig og gennemsigtig behandling) Ingen pligt til at oplyse, hvis ikke relevant i forhold til den aktuelle behandling Pligt til at oplyse om mulighed for at trække samtykke tilbage Pligt til at oplyse om den registreredes rettigheder (indsigelse, indsigt, berigtigelse, sletning, dataportabilitet og begrænsning ) og klagemuligheder Om afgivelse af oplysninger er en betingelse iht. kontrakt eller for indgåelse af kontrakt, fx indhentelse af referencer Udtagelser til oplysningspligten (hvis den registreredes interesse i at få kendskab til oplysningerne findes at burde vige for afgørende hensyn til private eller offentlige interesser) samme findes ikke i forordningen Lovforslag: opretholde PDL 30 afgørende hensyn til private eller offentlige interesser 18 Indsigtsret (art. 15) Nye krav 6 måneders reglen bortfalder fremover kan indsigt kræves med rimeligt mellemrum Skal gives elektronisk hvis anmodning gives elektronisk Gratis - dog rimeligt gebyr baseret på administrative omkostninger for yderligere anmodninger (grundløse eller overdrevne) Loft på 200 kr. bortfalder Offentlige myndigheder: Der kræves i almindelighed lovhjemmel, før der må opkræves gebyrer Vejledningspligten i forvaltningslovens 7 pligt til at indgå dialog med den registrerede for at få begrænset anmodningen, så den ikke længere er overdreven. Frist for besvarelse: 1 måned kan forlænges med 2 måneder fx pga. kompleksitet Indsigten må ikke krænke andres rettigheder eller frihedsrettigheder (præambel 63 forretningshemmeligheder, immaterielle rettigheder) Lovforslag: ingen indsigt i oplysninger, som er omfattet af og 35 i offentlighedsloven 9

10 19 Ret til sletning (art. 17) Ret til sletning retten til at blive glemt JM siger: overordnet set en videreførelse af gældende ret men eksisterer compliance med de nuværende regler? Samspil med andre bestemmelser fx reglerne vedr. samtykke og legitime behandlingsgrunde Evt. lovkrav om fortsat opbevaring eller for at et retskrav kan gøres gældende eller fastlægges fx bogføringsloven eller forældelsesfrister Art. 17 indeholder ikke en selvstændig ret til at blive glemt i den offentlige sektor pga. dokumentation for afgørelser i stedet berigtigelse (notat på sagen) 20 Ret til dataportabilitet (art. 20) Ny bestemmelse Ret til under visse betingelser at modtage, bruge og videreanvende sine oplysninger hos en ny dataansvarlig eller få transmitteret oplysninger direkte til en ny dataansvarlig Behandling baseret på samtykke eller kontrakt (ikke lov fx hvidvaskloven) Behandling foretaget automatisk Skal være i almindeligt anvendt, struktureret og maskinlæsbart format Betyder nu at den registrerede ikke længere er fastlåst som bruger af et bestemt medie, fx Facebook Nu mulighed for at få fx liste over kontaktoplysninger fra webmail udbyder, løberuter fra fitnessapps, spillelister fra musiktjenester mv. Ikke muligt at få oplysninger om kreditvurderinger, helbredsvurderinger eller andre resultater genereret ud fra en algoritme mv. 10

11 21 Automatiske individuelle afgørelser, herunder profilering (art. 22) Delvis videreførelse af PDL 39 Databeskyttelsesretlig ingen skøn under regel - bestemmelse Ret til ikke at være genstand for en afgørelse, som alene er baseret på automatisk behandling herunder profilering (for at analysere og forudsige fx arbejdsindsats, økonomi, helbred, præferencer, interesser, mv.) Eksempler: Kreditvurdering Kundeprofiler Personlighedsanalyser Undtagelser: Nødvendig for indgåelse/opfyldelse af kontrakt Hjemmel i EU-ret/national ret, fx SU-loven Baseret på den registreredes udtrykkelige samtykke Udgangspunkt: ingen profilering af børn 22 Ansvarlighed, dokumentationskrav og fortegnelse 11

12 23 Ansvarlighed og dokumentationskrav Princippet om ansvarlighed (art. 5 (2)) Påvise at stk. 1 overholdes JM: Bevisbyrden ligger hos dataansvarlige, men ingen nærmere input Den dataansvarliges ansvar (art. 24) Påvise at behandlingen er i overensstemmelse med forordningen JM siger: intet nyt udover at det nu er eksplicit krav Vi læser en fokus fra JM i betænkningen på: Risikovurderingen er helt central, da det er afgørende for de valg omkring compliance og dokumentation, som den dataansvarlige skal træffe, fx politikker (art. 24, stk. 2, hvis det står i rimeligt forhold til ), øvrige tekniske og organisatoriske sikkerhedsforanstaltninger (art. 32) Metodefrihed, fx adfærdskodekser (art. 24, stk. 3) Løbende ajourføring og revurdering efter risikovurdering Standpunktsrisiko Vejledning vedr. behandlingssikkerhed forventes december Fortegnelsen Fortegnelsen over behandlingsaktiviteter (art. 30): Erstatter den generelle anmeldelsespligt Må ikke føres (alene) fysisk eller efter hukommelsen Ikke omfattet af indsigtsretten Offentlighedsloven kan give indsigt i offentlige myndigheders fortegnelse JM: formålet med ikke at skulle anmelde er at fokusere på effektive procedurer og mekanismer for de typer af behandlinger, der indebærer størst risiko for de registreredes rettigheder og frihedsrettigheder (B: 450) JM har et forslag til en generel personaleadministrationsfortegnelse (B:459) Kilde: Betænkning

13 25 Fortegnelsen (fortsat) Hvor generel kan fortegnelsen være? Antager, at organisationer kan formulere et logisk, sammenhængende formål for en række behandlinger Private organisationer fx HR, kundekartotek, whistleblowerordning Offentlige myndigheder fx vielse, pension, beskæftigelse Hvornår er noget hvis muligt art. 30 (1) (g) Gælder for slettefrister samt tekniske og organisatoriske sikkerhedsforanstaltninger JM lægger op til at art. 32 og art. 5 pålægger at sikre dette. Mao. det skulle gerne altid være muligt Eksisterende anmeldelser hos tilsynet? JM: I vidt omfang genbruges til at leve op til art. 30 (med forbehold) 26 Fortegnelsen (fortsat) Fritaget for at kravet om fortegnelser er: Foretagende og organisationer < 250 beskæftigede personer Dvs. fritagelsen gælder således ikke for offentlige myndigheder Medmindre behandlingen Medfører risiko for registreredes rettigheder og frihedsrettigheder, Ikke er lejlighedsvis, eller Der indgår art. 9 eller art. 10 oplysninger JM: meget snæver undtagelse i praksis!! FX: HR behandlinger? Nej ikke fritaget, da det ikke er lejlighedsvis Medlemskartotek eller kundekartotek? November 2017 vejledning om fortegnelse 13

14 27 Behandlingssikkerhed, sikkerhedsbrud og konsekvensanalyser 28 Behandlingssikkerhed (art. 32) Beskrivelser af gældende ret (og informationssikkerhedstilgang) NYT: der skal være en dokumenteret risikoanalyse for at leve op til art. 32 (og art. 30, som nævnt) Dokumentering af til- og fravalg Metodefriheden for tilgangen til sikkerhedsvurdering (PIA, tiltag, implementering og kontroller) Konsekvensanalyse er mere vidtgående end grundkravet til PIA 14

15 29 Anmeldelse af sikkerhedsbrud (art. 33) Anmeldelse af sikkerhedsbrud (art. 33) bekendt med JM: fortolkes i lyset af e-privacy direktivernes tilsvarende krav til udbydere af offentlige kommunikationsnet, og forordning 611/2013 ift. krav til underretning på teleområdet usandsynligt at : rimelig høj grad af sikkerhed for at det er usandsynligt Fx tab af medie med persondata men med en så stærk kryptering, at det ikke inden for en årrække kan brydes (128b, 256b, 4096b eller mere) Dekrypteringsnøgle ikke kompromitteret eller generet på teknisk sikker vis, fx ved hashing 30 Underretning af registrerede ved sikkerhedsbrud (art. 34) Hvornår skal der foretages underretning? Sandsynligvis høj grad af risiko for rettigheder og frihedsrettigheder alle mulige konsekvenser og negative virkninger Fx diskrimination, identitetstyveri eller svindel, økonomisk tab, skade på omdømme, tab af fortrolighed Indirekte negative konsekvenser kan også inddrages Fx tab af brugernavn og kode: hvis brugerne anvender samme kode på andre tjenester(!) Uden unødig forsinkelse. Formålet er at give mulighed for at træffe forholdsregler. Dvs. jo mere akut skadesrisikoen er, jo hurtigere skal underretning ske til de registrerede Undlade underretning? Passende tekniske eller organisatoriske foranstaltninger (fx med tab af krypteret medie) Passende efterfølgende foranstaltninger er så gode, at risikoen ikke længere er reel Fx IT-system har i periode haft utilsigtet sårbarhed med adgang til oplysninger, men logs kan entydigt udelukke, at uautoriserede har haft adgang JM mener, at her er tale om en tydeliggørelse af god databehandlingsskik Men flere og strammere krav, herunder skal alle foranstaltninger og valg dokumenteres. Husk alle foranstaltninger der træffes, skal være gratis for den registrerede (art. 12(5)) Mere hjælp: Januar 2018 vejledning fra JM, EDPB (art. 29 grp) opgave at give guidance til best practice (art. 70) 15

16 31 Konsekvensanalyser (art. 35) Bemærk: Betænkningen indeholder ikke henvisning til Art. 29 Grp. Nr. 248 om Guidelines on DPIA (vejledning og forslag til tjekskema til udarbejdelse) Understreger, at konsekvensanalyser er reserveret til visse særlige tilfælde Ikke for eksisterende systemer, medmindre risikobilledet konkret ændrer sig efter 25. maj 18 Hvis risikoen er høj, skal der ske forudgående høring efter art. 36 JM: hvis tilsynet ikke tilkendegiver, at behandlingen overtræder forordningen, så er det ikke en godkendelse eller blåstempling af behandlingen BB: svært at undlade at inddrage i en Art. 83-vurdering som en (stærkt) formildende omstændighed 32 Cloud-løsninger, krigsreglen og tredjelandsoverførsler 16

17 33 Cloud-løsninger og krigsreglen Betænkningen indeholder et temaafsnit om cloud computing og persondataregulering - ingen overraskelser deri! Forordningen omfatter sådanne tjenester, men er teknologineutral i forhold til de enkelte tjenester Krigsreglen (PDL 41, stk. 4) Bortskaffelses-/tilintetgørelsesovervejelsen af oplysninger, der er af særlig interesse for fremmede magter ved krig eller lign. Forordningen gælder ikke forhold omkring statens sikkerhed (pb#16) JM: Krigsregel kan opretholdes MEN overraskende siger JM: Selvom den kan, er det nærliggende at overveje indretningen Siden PDL ikrafttræden i 2000 er der sket betydelig teknologisk udvikling Dvs. behandling inden for Danmarks grænser er ikke længere en garanti for bortskaffelse eller tilintetgørelse Kravet vil måske kunne opfyldes ved sikkerhedsmodel 34 Tredjelandsoverførsler I store træk videreføres gældende ret Krav om tilladelse til overførsel af oplysninger bortfalder Ad hoc kontrakter Kan også indgås af databehandlere BCR kodificeres Ikke krav om godkendelse fra alle tilsynsmyndigheder alene den kompetente myndighed i samarbejde med Databeskyttelsesrådet Godkendelsesret hvis krav er opfyldt Databehandleraftaler undlades 17

18 35 Databeskyttelsesrådgiver (Data Protection Officer/DPO) 36 DPO-rollen (art ) Hvem har pligt til at udpege en DPO? Offentlige myndigheder (undtagen domstole) opgave i samfundets interesse eller i forbindelse med offentlig myndighedsudøvelse Forvaltningslovens 1, stk. 1-2 Private virksomheder, hvis kerneaktivitet består af databehandling, der i medfør af deres karakter, omfang og/eller formål kræver regelmæssig og systematisk overvågning af registrerede i stort omfang Private virksomheder, hvis kerneaktivitet består af databehandling i stort omfang af særlige kategorier af personoplysninger eller oplysninger om straffedomme og straffelovsovertrædelser DPO en udpeges på baggrund af sine faglige kvalifikationer, herunder persondataretlig ekspertise påser, at GDPR overholdes og rådgiver ledelsen i den forbindelse inddrages tilstrækkeligt og rettidigt i alle spørgsmål vedrørende beskyttelse af personoplysninger skal være uafhængig og må ikke modtage instrukser vedrørende udførelsen af sine opgaver kan udføre andre opgaver og have andre pligter, så længe det ikke medfører en interessekonflikt 18

19 37 Obligatorisk DPO Dataansvarliges pligt til at udpege en DPO ctr. databehandleres pligt til at udpege en DPO Medfører DPO-pligt hos den dataansvarlige automatisk DPO-pligt hos dennes databehandlere og vice versa? Offentlige myndigheder Offentlige opgaver der varetages af private (fx forsyningsselskaber, public service broadcasting mv.) Brug af private databehandlere 38 Kerneaktiviteter, regelmæssig og systematisk overvågning i stort omfang kerneaktiviteter Behandling der er en nødvendig følge af den dataansvarliges eller databehandlerens hovedaktivitet ikke behandling af personoplysninger som biaktivitet Fx hosting og/eller lagring af personoplysninger, herunder cloud-løsninger, marketingundersøgelser Privathospitaler, forsikringsselskaber og banker Ikke fx persondaleadministration eller almindelig kundekontakt/-support som biaktivitet Ikke forsyningsselskaber eller private skoler og daginstitutioner regelmæssig og systematisk overvågning Løbende, vedvarende, organiseret overvågning Fx sporing, tracking og profilering via internettet, kreditvurderinger og lokalitetstracking via apps i stort omfang Antallet af datasubjekter (specifikt antal eller andel af en relevant del af befolkningen) Mængden af data Hvor varig eller permanent behandlingen er Den geografiske udstrækning af behandlingen Ikke fx tandlægeklinik, lægepraksis, advokatkontor (behandling af patienters eller klienters personoplysninger) 19

20 39 Sanktioner over for DPO en DPO en må ikke afskediges eller straffes for at udføre sine opgaver Gælder både direkte og indirekte straffe Fx fravær af eller forsinkelse af forfremmelse eller nægtelse af at modtage personalegoder, som andre ansatte modtager En trussel om en straf er også omfattet af forbuddet DPO en kan afskediges på baggrund af almindelige ansættelsesretlige regler funktionærloven eller overenskomst Lovforslag: tavshedspligt for DPO er i private virksomheder bødebelagt Mere hjælp: September 2017 vejledning fra JM 40 Sanktioner 20

21 41 Sanktioner Overtrædelsestyper Indhentning af samtykke ift. børn Behandlinger, som ikke kræver identifikation Data protection by design/default Delt dataansvar Repræsentanter for dataansvarlige etableret udenfor EU Databehandlere Databehandlerinstruks Dokumentation for datastrømme Samarbejde med tilsynsmyndigheden Sikkerhedsforanstaltninger Notifikation Data Protection Impact Assessment Forudgående underretning af tilsynsmyndighed Udpegning af DPO (herunder krav, stilling og opgaver) Certificering Bødeniveau*: Offentlige myndigheder** Bødeniveau*: Private virksomheder Op til EUR Op til EUR eller 2 % af virksomhedens årlige globale omsætning (den højeste af de to) * Danmark har særregler, så bøder bliver strafferetlige i stedet for administrative ** Medlemsstaterne kan selv beslutte, om og i hvilken udstrækning administrative bøder kan pålægges offentlige myndigheder Lovforslag: sanktionsspørgsmål i forhold til offentlige myndigheder er stadig uafklaret Sanktioner 42 Overtrædelsestyper Grundlæggende principper for behandling Grundlag for behandling (både almindelige og følsomme oplysninger) Betingelser for samtykke Datasubjektets rettigheder Sikkerhedsforanstaltninger Bødeniveau*: Offentlige myndigheder** Bødeniveau*: Private virksomheder Op til EUR Op til EUR eller 4 % af virksomhedens årlige globale omsætning (den højeste af de to) * Danmark har særregler, så bøder bliver strafferetlige i stedet for administrative ** Medlemsstaterne kan selv beslutte, om og i hvilken udstrækning administrative bøder kan pålægges offentlige myndigheder Lovforslag: sanktionsspørgsmål i forhold til offentlige myndigheder er stadig uafklaret 21

22 43 Sanktioner Udvidelse af området for strafpålagte bestemmelser Det må antages, at bestemmelsen vil betyde en væsentlig forøgelse af bødestørrelsen for overtrædelser af forordningens bestemmelser i forhold til, hvad overtrædelser af persondataloven i dag takseres til Bemærkningerne til lovforslaget: Forslaget indebærer, at bødeniveauet bør forhøjes væsentligt i forhold til det nuværende niveau Medlemsstaterne kan selv beslutte om og i hvilken udstrækning administrative bøder kan pålægges offentlige myndigheder Der vil i forbindelse med vedtagelsen af en ny persondatalov skulle tages stilling til, hvorvidt der skal gives adgang til at pålægge offentlige myndigheder bøder Lovforslag: sanktionsspørgsmål i forhold til offentlige myndigheder er stadig uafklaret Lovforslag: Datatilsynet kan udstede administrative bøder bevismæssige tvivlsspørgsmål hvis sagen er ukompliceret og uden 44 Kontakt Thomas Munk Rasmussen Partner København CCI T M E tmr@bechbruun.com Susanne Stougaard Senioradvokat København CCI T M E sus@bechbruun.com Christian Vinter Hagstrøm Advokat København CCI T M E chv@bechbruun.com 22