Den 25. januar 2012 offentliggjorde EU-kommissær Vivianne Reding sit endelige forslag til et forordningsforslag, der skal afløse det nuværende direktiv fra 1995 om beskyttelse af persondata.

Forordningsforslaget indeholder elementer, der radikalt ændrer den nuværende lovgivning.

Blandt de elementer, der letter byrden kan nævnes:

• Forslaget totalharmoniserer i høj grad persondatalovgivningen i EU, dvs. at de samme regler gælder i alle lande. Der er dog en række undtagelser, fx i forhold til oplysninger om medarbejdere
• Kravene om anmeldelse til og tilladelser fra de nationale datatilsyn mindskes i væsentlig grad
• "One-stop-shop"-princip inden for EU for internationale virksomheder, dvs. at en koncern med dansk hovedsæde kan kontakte det danske Datatilsyn vedrørende alle spørgsmål om personoplysninger i hele EU
• Enklere procedure for internationale overførsler på baggrund af Binding Corporate Rules eller Kommissionens standardkontrakter for overførsler

Forslaget indeholder dog også en lang række skærpelser, herunder:

• Virksomheder skal implementere skriftlige procedurer og dokumentation for behandling af personoplysninger
• Samtykke kan ikke anvendes som behandlingshjemmel i ansættelsesforhold
• Samtykke kan ikke gives af børn under 13 år men skal gives af deres forældre eller værge
• Mindst mulig behandling af personoplysninger ud fra et princip om "privacy by design and by default", fx ved behandling af persondata i it-systemer
• Ved behandlinger, der indebærer særlige risici, skal der udarbejdes en risikoanalyse
• Pligt til at informere datatilsynet om væsentlige brud på datasikkerheden hurtigst muligt (inden for 24 timer om muligt)
• Offentlige myndigheder, virksomheder med mere end 250 medarbejdere og virksomheder med behov for regelmæssig og systematisk overvågning af personer, skal ansætte eller tilknytte en "Data Protection Officer", som skal have ekspertniveau inden for persondatalovgivningen. DPO'en bliver særligt beskyttet mod opsigelse
• Et nyt princip om "data portability": Personer får ret til at få flyttet deres oplysninger fra en udbyder til en anden udbyder
• Et nyt princip om "right to be forgotten", dvs. ret til at slette personoplysninger
• Ved behandling af personoplysninger i koncernselskaber i lande uden for EU skal forordningens regler følges, når koncernen er aktiv i EU og tilbyder services til EU-borgere

Desuden lægges der op til, at de nationale datatilsyn vil få øgede ressourcer, både økonomisk og juridisk for at kunne håndhæve EU-forordningen. Datatilsynene vil bl.a. få ret til at udstede bøder for overtrædelse af lovgivningen. Bøderne starter på EUR 250.000 eller op til 0,5% af den årlige globale omsætning for mindre alvorlige overtrædelser (fx at virksomheden opkræver betaling fra en registreret person for adgang til vedkommendes oplysninger) og går op til EUR 1 mio. eller op til 2% af den årlige globale omsætning for de helt alvorlige overtrædelser, fx undladelse af indhentning af samtykke eller af udarbejdelse af interne retningslinjer.

Der er lagt op til, at Kommissionen på en række punkter skal udarbejde bekendtgørelser, som detailregulerer kravene i forordningen.

Forslaget skal nu behandles i Europa-parlamentet og i Europa-Rådet. Da der er lagt op til en mindre revolution inden for persondatalovgivningen, og da der bliver lobbyet stærkt fra mange sider, vil det endelige resultat nok ændre sig en del fra det nuværende forslag. Det skal blandt andet afklares, om der i EU-lovgivningen er hjemmel til bødestørrelser på dette niveau.

Vi følger løbende op på vedtagelsesprocessen. De nye regler træder formentlig tidligst i kraft om tre år, men virksomhederne bør dog begynde at forberede sig, så snart forslaget er vedtaget.