11 jan 2017

Artikel 29-gruppen: Om dataportabilitet, DPO og tilsynsmyndigheder

Persondata: EU-kommissionens Artikel 29-gruppe, der er en uafhængig og rådgivende forsamling, der beskæftiger sig med persondata, har i december måned udgivet udkast af retningslinjer og FAQ om emner i forhold til EU-forordningen om persondata.

Det drejer sig specifikt om:

Disse dokumenter fungerer som nærmere vejledning og specifikation til tolkningen af de kommende ændringer til persondatalovgivning i EU.

Dokumenterne er i udkast indtil 31. januar 2017, og Artikel 29-gruppen opfordrer interessenter til at indsende evt. kommentarer. Herefter besluttes udformningen af retningslinjerne og FAQ’erne endeligt.

Desuden bliver retningslinjer vedr. DPIA’er (Data Protection Impact Assessments) og certificering klar i starten af dette år.

Kort om de tre områder af GDPR:

 

Retten til dataportabilitet

Artikel 20 i persondataforordningen skaber en ny ret til dataportabilitet. Det tillader datasubjekter at modtage de persondata, som de har givet til en databehandler, og nemt kunne overføre dem til en ny dataansvarlig. Formålet med denne nye ret er at give datasubjekter mere kontrol over de persondata, der er registreret om vedkommende. Formålet er også at gøre det nemmere at skifte mellem forskellige serviceleverandører.

Dette kræver fx, at databehandlere skal kunne tilbyde datasubjekter nem adgang til deres persondata, og mulighed for nemt at flytte dette andetsteds hen – fx via download eller overførsel, og at der ikke kan kræves betaling for dette.

Dette minder meget om den indsigtsret datasubjekterne egentlig allerede har i dag, hvor man har ret til at modtage alle data en virksomhed har registreret om én. Den store forskel ligger i, at det nu (normalt) skal sendes elektronisk, og at det skal være i et læsbart format.

Retningslinjerne specificerer eksempelvis hvor hurtigt en anmodning om dataoverførsel skal besvares; hvilke persondata det omhandler, og i hvilke tilfælde man kan afvise en anmodning om dataportabilitet.

 

DPO (Data Protection Officers)

Der stilles krav om DPO i tre specifikke tilfælde:

a) behandling foretages af en offentlig myndighed eller et offentligt organ, undtagen domstole, der handler i deres egenskab af domstol

b) den dataansvarliges eller databehandlerens kerneaktiviteter består af behandlingsaktiviteter, der i medfør af deres karakter, omfang og/eller formål kræver regelmæssig og systematisk overvågning af registrerede i stort omfang, eller

c) den dataansvarliges eller databehandlerens kerneaktiviteter består af behandling i stort omfang af særlige kategorier af oplysninger, jf. artikel 9, og personoplysninger vedrørende straffedomme og lovovertrædelser, jf. artikel 10.

Hvert medlemsland kan dog stille krav til at der skal være en DPO i andre tilfælde også. Dette er stadig oppe til national tolkning, men vil blive fastlagt op til ændringernes ikrafttræden 25. maj 2018. Artikel 29-gruppen påpeger, at virksomheder også frivilligt kan have en DPO, og opfordrer også til det.

Retningslinjerne og FAQ’en specificerer eksempelvis også DPO’ens kompetencer og ansvarsområder, udpegelse af ekstern DPO, og definerer begreberne anvendt i forordningen.

 

Identifikation af ledende tilsynsmyndighed

Persondataforordningen foreskriver et One-Stop-Shop princip ift. den ledende tilsynsmyndighed, når databehandling foregår på tværs af landegrænser. Det vil sige, at en virksomhed, der har afdelinger i flere forskellige EU-lande, kun skal kommunikere med én tilsynsmyndighed.

Et eksempel kan være, at en koncern har moderselskab i Holland, men en lokal afdeling i Danmark. Den danske afdeling skal så rapportere til den hollandske tilsynsmyndighed.

Retningslinjerne specificerer i hvilke tilfælde databehandling betragtes som at foregå over landegrænser, og i hvor stort omfang databehandling skal foregå, før det er relevant at overveje den relevante tilsynsmyndighed.

 

Artikel 29-gruppen

Er en uafhængig og rådgivende forsamling, der beskæftiger sig med persondata. Den blev nedsat i 1995, netop jævnfør artikel 29 i persondataloven. Gruppen består af repræsentanter fra hver medlemsstat i EU, samt repræsentanter fra myndighederne og Kommissionen.