Status på udkastet til persondataforordning: Persondataloven lever stadig!

I november måned var der lejlighed for de persondatainteresserede til at gøre status på udkastet til persondataforordning - både i København, hvor Danske Virksomhedsjurister, Datatilsynet, KU, Danske Advokater og DI Itek havde inviteret til Persondatakonferencen, og i Bruxelles, hvor IAPP (International Association of Privacy Professionals) afholdt den Europæiske Databeskyttelseskongres 2012.

Skal man konkludere noget ud fra talerne, så er det, at persondataloven fortsat lever, og at man som ansvarlig virksomhed ikke blot kan vente til at en eventuel ny regulering træder i kraft. Dertil er ventetiden for lang og slutresultatet p.t. for uklart, som det vil fremgå nedenfor.

I København var det politiske budskab fra justits­minister Morten Bødskov, at en ny regulering ikke må medføre urimelige administrative byrder for offentlige myndigheder og private virksomheder. Et synspunkt der bl.a. også er fremført med stor styrke af UK. Med forordningens dokumentationskrav og krav om udarbejdelse af politikker, konsekvensanalyser og ansættelse af DPO'er (Data Protection Officers) for visse virksomheder er det umiddelbart svært at forene det synspunkt med forordningens nuværende udformning.

I et oplæg fra det kontor i Justitsministeriet, der har ansvaret for de danske forhandlinger af udkastet til forordning, var vurderingen, at de udmeldinger, der har lydt fra EU-Kommissionen om ikrafttrædelse i 2015 af en ny forordning, er alt for optimistiske. I stedet er vurderingen, at der kan gå op til 10 år, før en ny forordning er på plads. Det, der navnlig giver anledning til diskussioner, er:

  • Formen for reguleringen; skal det være en forordning eller et direktiv
  • De administrative byrder; skal man hellere anlægge en risikobetonet tilgang, hvor man i stedet for at påligne alle aktører de samme byrder, fordeler byrder efter, om der er en konkret risiko på et konkret område, og endelig
  • Det store antal af delegerede retsakter er et problem for mange medlemsstater, da EU-Kommissionen derved får lov til selv at fastsætte regler uden om Europa-Parlamentet og medlemsstaterne.

Plesner deltog også på den Europæiske Databeskyttelseskongres 2012 i Bruxelles afholdt af IAPP. På konferencen holdt bl.a. Artikel 29-Gruppens formand, Jacob Kohnstamm, oplæg, og her gjorde han det klart, at det efter hans opfattelse ikke længere diskuteres, om det bliver en forordning for private virksomheder - det gør det ifølge Kohnstamm. Der foregår dog stadig drøftelser, om en forordning er det rigtige løsning for det offentlige.

Ligeledes oplyste den juridiske direktør for EU Kommissionen, Francoise Le Bail, at det forventes, at tidshorisonten for medlemsstaternes implementering af den foreslåede forordning er 2016.

"I krogene" blev der også talt om, hvordan UK er meget skeptisk over for udkastet til en forordning - i tillæg til de generelt meget EU-skeptiske vinde, der p.t. blæser i UK.

Der er således meget forskellige holdninger og udmeldinger om udviklingen om den - mulige - kommende forordning. Det er svært at vurdere, hvilke holdninger der er tættest på de politiske realiteter og de fremtidige resultater, men sikkert er det vist, at udfaldet er usikkert…

Plesner følger løbende udviklingen i forhandlingerne om den nye regulering af databeskyttelsen i EU og vil udsende nyheder, når der er nyt herom.

En ting er dog sikker: Hvis udsigten til en snarlig forordning tidligere var en undskyldning for ikke at gøre noget ved de manglende politikker eller det forældede it-system, så må man oven på ugens møder konkludere, at denne undskyldning ikke længere er gyldig.