Beskyttelse af personoplysninger

Direktiv 95/46/EF udgør referencerammen for beskyttelse af personoplysninger i EU. Med direktivet er der indført en lovgivningsramme med henblik på at skabe balance mellem et højt beskyttelsesniveau for den enkeltes privatliv og den frie udveksling af personoplysninger inden for Den Europæiske Union (EU). Direktivet fastsætter strenge regler for indsamling og anvendelse af personoplysninger og kræver, at hver medlemsstat opretter et uafhængigt nationalt organ, som har til ansvar at overvåge al aktivitet, der har forbindelse til behandling af personoplysninger.

DOKUMENT

Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger [De Europæiske Fællesskabers Tidende L 281 af 23.11.1995] [Se ændringsretsakter].

RESUMÉ

Direktivet gælder for behandling af personoplysninger, der foretages ved hjælp af edb (f.eks. et computerstøttet kundekartotek), samt for ikke-elektronisk behandling af personoplysninger, der er eller vil blive indeholdt i et register (de traditionelle papirbaserede registre).

Direktivet gælder ikke for behandling af personoplysninger:

• som foretages af en fysisk person med henblik på udøvelse af rent personlige eller familiemæssige aktiviteter
• som iværksættes med henblik på udøvelse af aktiviteter, der ikke er omfattet af fællesskabsretten, f.eks. den offentlige sikkerhed, forsvaret eller statens sikkerhed.

Direktivet har til formål at beskytte fysiske personers rettigheder og frihedsrettigheder i forbindelse med behandling af personoplysninger gennem opstilling af hovedkriterierne for, hvornår behandling er lovlig, og principperne for dataenes kvalitet.

Databehandling er kun lovlig, hvis

• den registrerede har givet sit udtrykkelige samtykke, eller
• behandlingen er nødvendig af hensyn til opfyldelsen af en aftale, som den registrerede er part i, eller
• behandlingen er nødvendig for at overholde en retlig forpligtelse, som påhviler den registeransvarlige, eller
• behandlingen er nødvendig for at beskytte den registreredes vitale interesser, eller
• behandlingen er nødvendig for udførelsen af en opgave i samfundets interesse, eller som henhører under offentlig myndighedsudøvelse, som den registeransvarlige eller en tredjemand har fået pålagt, eller
• behandlingen er nødvendig for at den registeransvarlige eller tredjepart kan forfølge en berettiget interesse, bortset fra hvor sådanne interesser må vige for de interesser med hensyn til grundlæggende rettigheder og frihedsrettigheder, der tilkommen den, som skal beskyttes.

Principperne for datakvalitet, som skal finde anvendelse på alle lovlige databehandlingsaktiviteter, er følgende:

• personoplysninger skal bl.a. behandles fair og på lovlig måde og skal indsamles til udtrykkeligt angivne og legitime formål. De skal desuden være tjenlige, relevante, ikke for vidtgående, korrekte og om nødvendigt ajourførte, og de må ikke opbevares længere end nødvendigt og udelukkende til de formål, hvortil de blev indhentet.
• Bestemte typer behandling: behandling af personoplysninger om racemæssig eller etnisk baggrund, offentlig mening, religiøs eller filosofisk overbevisning, fagforeningsmæssigt tilhørsforhold såvel som oplysninger om helbredsforhold og seksuelle forhold er forbudt. I denne bestemmelse er der fastsat en række forbehold, der f.eks. vedrører tilfælde, hvor behandlingen er nødvendig for at beskytte den registreredes vitale interesser, eller sager, der vedrører forebyggende medicin og medicinsk diagnose.

Den person, hvis oplysninger behandles, den registrerede, kan benytte sig af følgende rettigheder:

• retten til at modtage oplysninger: visse oplysninger (den registeransvarliges identitet, formålet med behandlingen af personoplysninger, modtagere af personoplysninger osv.), skal af den registeransvarlige gives til den person, som oplysningerne omhandler;
• ret til indsigt for den registrerede: alle registrerede skal have ret til af den registeransvarlige at få;
• indsigelsesret mod behandlingen: den registrerede skal have ret til af legitime grunde at gøre indsigelse mod, at personoplysninger om ham selv gøres til genstand for behandling. Den registrerede bør ligeledes, efter anmodning og uden udgifter, kunne modsætte sig behandlingen af personoplysninger, som foretages med henblik på markedsføring. Endelig skal den registrerede informeres, inden oplysningerne videregives til tredjemand med henblik på markedsføring, og skal have mulighed for at modsætte sig denne videregivelse.

Andre relevante aspekter af databehandling:

• Undtagelser fra ogbegrænsninger i den registreredes rettigheder : principperne for oplysningernes pålidelighed, underretning af den registrerede, ret til indsigt og offentliggørelse af behandlingen kan begrænses, hvis dette er nødvendigt af hensyn til bl.a. statens sikkerhed, forsvaret, den offentlige sikkerhed, retsforfølgelse i straffesager, vigtige økonomiske og finansielle interesser i en medlemsstat eller i EU eller beskyttelse af den registrerede.
• Fortrolighed og behandlingssikkerhed: personer, der udfører arbejde under den registeransvarlige eller registerføreren, herunder registerføreren selv, og som har adgang til personoplysninger, må kun behandle oplysninger, hvis dette sker efter instruks fra den registeransvarlige. Endvidere skal den registeransvarlige iværksætte de fornødne forholdsregler for at beskytte personoplysningerne mod hændelig eller ulovlig tilintetgørelse, hændeligt tab, ændring og uautoriseret udbredelse og adgang.
• Pligt til at anmelde behandlinger til tilsynsmyndigheden: den registeransvarlige skal underrette den nationale tilsynsmyndighed, før behandlingen af personoplysninger igangsættes. En forudgående kontrol af eventuelle risici med hensyn til den registreredes rettigheder og frihedsrettigheder foretages af tilsynsmyndigheden efter modtagelse af anmeldelsen. Behandlingen skal være offentlig, og tilsynsmyndigheden skal føre et register over anmeldte behandlinger.

Enhver skal have ret til en domstolsprøvelse i tilfælde, hvor der sker en krænkelse af de rettigheder, som garanteres i den national lovgivning, der gælder for den pågældende behandling. Registrerede personer, der har lidt skade som følge af en ulovlig behandling af deres personoplysninger, har endvidere ret til at modtage erstatning for den lidte skade.

Det er tilladt at videregive personoplysninger fra en medlemsstat til et tredjeland, hvis dette tredjeland sikrer et passende beskyttelsesniveau. Selvom der ikke må ske videregivelse, når der ikke er sikret et passende beskyttelsesniveau, gælder der en række undtagelser til denne regel, der er opregnet i direktivet, f.eks. når den registrerede samtykker i videregivelsen, i tilfælde af indgåelsen af en aftale, det er nødvendigt af hensyn til offentlige interesser, men også hvor bindende virksomhedsregler eller standardkontraktsbestemmelser er tilladt i medlemsstaten.

Direktivet tilskynder til udarbejdelse af adfærdskodekser på nationalt plan og på EU-plan, der skal medvirke til at sikre, at de nationale bestemmelser og EU-bestemmelserne finder korrekt anvendelse.

Hver medlemsstat skal sørge for, at der udpeges en eller flere offentlige myndigheder, der skal have til opgave på dens område at påse, at de bestemmelser, medlemsstaten vedtager til gennemførelse af direktivet, overholdes.

Der nedsættes ved direktivet en gruppe vedrørende beskyttelse af personer i forbindelse med behandling af personoplysninger, der består af repræsentanter for de nationale tilsynsmyndigheder, repræsentanter for EF-institutionernes og -organernes tilsynsmyndigheder og en repræsentant for Kommissionen.

TILHØRENDE DOKUMENTER

GENNEMFØRELSESBERETNING

Meddelelse fra Kommissionen til Europa-Parlamentet og Rådet om opfølgning på arbejdsprogrammet for en bedre gennemførelse af databeskyttelsesdirektivet. [ KOM(2007) 87 endelig - ikke offentliggjort i De Europæiske Fællesskabers Tidende]

I denne meddelelse undersøges den indsats, der er gjort inden for arbejdsprogrammet for en bedre gennemførelse af databeskyttelsesdirektivet ifølge den første rapport om gennemførelse af direktiv 95/46/EF. Kommissionen fremhævede fremskridtet, da samtlige medlemsstater nu har gennemført direktivet. Der blev gjort opmærksom på, at der ikke er grund til at ændre direktivet.

Derudover heddet i meddelelsen, at Kommissionen vil:

• fortsætte med sit arbejde sammen med medlemsstaterne og om nødvendigt vil indlede officielle overtrædelsesprocedurer
• udarbejde en fortolkningsmeddelelse om visse bestemmelser i direktivet
• fortsætte med gennemførelsen af arbejdsprogrammet
• fremlægge sektorlovgivning på EU-plan, hvis der sker en væsentlig teknisk udvikling inden for et bestemt område
• fortsætte med sit samarbejde med de eksterne partnere, især USA.

Beretning fra Kommissionen [ KOM(2003) 265 endelig - ikke offentliggjort i Den Europæiske Unions Tidende.]Første beretning om gennemførelsen af databeskyttelsesdirektivet (95/46/EF)

Der blev i beretningen bl.a. gjort status over de høringer af regeringer, institutioner, branchesammenslutninger samt forbruger- og borgersammenslutninger, som Kommissionen har gennemført om evalueringen af direktiv 95/46/EF. Resultatet af høringerne viser, at kun få af bidragyderne ønsker en ændring af direktivet. Efter høring af medlemsstaterne har Kommissionen endvidere noteret sig, at størstedelen af medlemsstaterne og ligeledes de nationale tilsynsmyndigheder ikke anser det for nødvendigt at ændre direktivet i øjeblikket.

Trods forsinkelser og forskellige mangler ved gennemførelsen, har direktivet tjent sit hovedformål, hvilket er at fjerne hindringer for fri udveksling af personoplysninger mellem medlemsstaterne. Kommissionen fandt for øvrigt, at målsætningen om at garantere et højt beskyttelsesniveau i EU er nået, idet direktivet har fastsat normer for beskyttelse af personoplysninger, som hører til blandt verdens strengeste.

Andre mål, der er indeholdt i politikken for det indre marked, er dog ikke nået med samme succes. Der er fortsat store forskelle mellem databeskyttelseslovgivningen fra medlemsstat til medlemsstat. Disse forskelle forhindrer de internationale organisationer i at udvikle tværeuropæiske databeskyttelsespolitikker. Kommissionen bekendtgjorde, at den ville tage de nødvendige forholdsregler for at afhjælpe denne situation, men vil så vidt muligt undgå at ty til formelle skridt.

Med hensyn til det generelle niveau for overholdelsen af databeskyttelseslovgivningen inden for EU skal følgende tre problemer nævnes:

• håndhævelsesbestræbelserne hæmmes af manglende ressourcer
• der er meget stor forskel på, i hvilket omfang de registeransvarlige overholder de gældende bestemmelser;
• de registrerede har tilsyneladende et meget begrænset kendskab til deres rettigheder, hvilket kan være årsagen til ovenstående fænomen.

For at sikre en bedre håndhævelse af databeskyttelsesdirektivet har Kommissionen vedtaget et arbejdsprogram med en række foranstaltninger, som skal gennemføres mellem godkendelsen af denne beretning og udgangen af 2004. Disse foranstaltninger omfatter følgende initiativer:

• drøftelser med medlemsstaterne og de myndigheder, der er ansvarlige for databeskyttelse, om de ændringer, som er nødvendige for at bringe de nationale lovgivninger i fuld overensstemmelse med kravene i direktivet
• samarbejde med ansøgerlandene med henblik på at opnå en bedre og mere ensartet gennemførelse af direktivet
• højere grad af anmeldelse af alle retsakter til gennemførelse af direktivet
• forenkling af kravene vedrørende internationale overførsler af personoplysninger
• fremme af privatlivsfremmende teknologier
• fremme af selvregulering og europæiske adfærdskodekser.

DIREKTIV OM DATABESKYTTELSE INDEN FOR ELEKTRONISK KOMMUNIKATION

Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (Direktiv om databeskyttelse inden for elektronisk kommunikation) [De Europæiske Fællesskabers Tidende L 201 af 31. juli 2002].

Dette direktiv blev vedtaget i 2002 samtidig med en række andre nye bestemmelser, der omfatter hele den elektroniske kommunikationssektor. Det indeholder bestemmelser om en række mere eller mindre følsomme emner, såsom medlemsstaternes mulighed for at opbevare trafikdata med henblik på politiovervågning (tilbageholdelse af oplysninger), udsendelse af uønskede elektroniske meddelelser, anvendelse af cookies og optagelse af personoplysninger i offentlige abonnentfortegnelser.

Forordning (EU) nr. 611/2013 indeholder regler om underretning fra udbydere af offentligt tilgængelige elektroniske kommunikationstjenester om brud på persondatasikkerheden i tilfælde af, at deres kunders personoplysninger går tabt, bliver stjålet eller på anden måde beskadiges.

Hvor et brud på persondatasikkerheden opstår og personoplysninger lækkes, skal udbydere ifølge direktiv 2002/58/EF underrette den kompetente nationale databeskyttelsesmyndighed og også i visse tilfælde de berørte abonnenter og enkeltpersoner om bruddet. Forordning (EU) 611/2013, indfører »tekniske gennemførelsesforanstaltninger« for at klargøre, hvordan disse forpligtelser skal opfyldes.

Bl.a skal udbydere:

• informere den relevante databeskyttelsesmyndighed om hændelsen inden 24 timer efter afsløring af bruddet for at begrænse bruddet så meget som muligt,
• tage hensyn til typen af data, der har været genstand for bruddet, i forbindelse med vurderingen af, om abonnenterne og enkeltpersoner skal underrettes, f. eks. hvor dataene vedrører finansielle oplysninger, e-mail data, internet logfiler, web browsing historier osv,
• give databeskyttelsesmyndigheden og/eller relevante abonnenter eller enkeltpersoner de nærmere oplysninger om hændelsen, den type data, der er involveret, og de foranstaltninger, der træffes for at afhjælpe problemet.

STANDARDKONTRAKTBESTEMMELSER OM OVERFØRSEL AF PERSONOPLYSNINGER TIL TREDJELANDE

Kommissionens beslutning 2004/915/EF af 27. december 2004 om ændring af beslutning 2001/497/EF for at indføre en alternativ standardkontrakt om overførsel af personoplysninger til tredjelande [Den Europæiske Unions Tidende L 385 af 29. december 2004].

Europa-Kommissionen har godkendt nye standardkontraktbestemmelser, som virksomheder kan anvende for at give passende garantier, når der overføres personoplysninger fra EU til et tredjeland. Disse nye standardkontraktbestemmelser supplerer de bestemmelser, der allerede er blevet fastsat inden for rammerne af Kommissionens beslutning fra juni 2001 (se nedenfor).

Kommissionens beslutning 2001/497/EF af 15. juni 2001 om standardkontraktbestemmelser for overførsel af personoplysninger til tredjelande i henhold til direktiv 95/46/EF [De Europæiske Fællesskabers Tidende L 181 af 4. juli 2001].

I denne beslutning er der fastsat en række standardkontraktbestemmelser, som sikrer et tilstrækkeligt databeskyttelsesniveau, når der overføres personoplysninger fra EU til tredjelande. I henhold til denne beslutning er medlemsstaterne forpligtet til at anerkende, at selskaber eller organisationer, som anvender sådanne standardkontraktbestemmelser ved overførsel af personoplysninger til tredjelande, garanterer et tilstrækkeligt databeskyttelsesniveau.

Kommissionens afgørelse 2010/87/EU om standardkontraktbestemmelser for overførsel af personoplysninger til registerførere etableret i tredjelande i henhold til af Europa-Parlamentets og Rådets direktiv 95/46/EF [(EUT L 39 af 12.02.2010]

Kommissionens beslutninger, der attesterer et passende niveau for beskyttelse af personoplysninger i en række tredjelande på grundlag af art. 25, stk. 6: Kommissionen har hidtil anerkend, at tilstrækkelig beskyttelse er sikret i Andorra, Argentina, Australien, Canada (erhvervsorganisationer), Schweiz, Færøerne, Guernsey, Israel, Isle of Man, Jersey, New Zealand, Uruguay og US Department of Commerce.

DATABESKYTTELSEN I EU'S INSTITUTIONER OG ORGANER

Europa-Parlamentets og Rådets forordning (EF) nr. 45/2001 af 18. december 2000 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i fællesskabsinstitutionerne og -organerne og om fri udveksling af sådanne oplysninger [De Europæiske Fællesskabers Tidende L 8 af 12. januar 2001].

Denne forordning vedrører beskyttelse af personoplysninger i EU's institutioner og organer. Forordningen indeholder bestemmelser:

• som skal sikre et højt beskyttelsesniveau for personoplysninger, som behandles af EU's institutioner og organer
• om oprettelse af en uafhængig kontrolinstans, der skal kontrollere anvendelsen af disse bestemmelser.

seneste ajourføring 08.03.2014