Journalnummer: 2018-441-0030
Resume
Datatilsynet har i forbindelse med en sag, hvor en medicinstuderende fik stjålet et videokamera ejet af Københavns Universitet, taget stilling til dataansvaret når en medicinstuderende er i praktikforløb.
Den 1. juni 2018 modtog Datatilsynet en anmeldelse fra Lægerne Gammel Strandvej om et brud på persondatasikkerheden. Det fremgik af anmeldelsen, at en medicinstuderende fra Københavns Universitet – i forbindelse med et 4 ugers praktikforløb hos Lægerne Gammel Strandvej – den 25. maj 2018 fik stjålet et videokamera med optagelser af patienter til brug for eksamen på Københavns Universitet. Kameraet var ejet af Københavns Universitet.
Efterfølgende gjorde Bruun Hjejle, på vegne af Lægerne Gammel Strandvej, gældende, at Lægerne Gammel Strandvej alligevel ikke var dataansvarlig for den pågældende behandling af personoplysninger, og oplyste i stedet Københavns Universitet som en mulig dataansvarlig. Datatilsynet anmodede på den baggrund Københavns Universitet om en udtalelse til sagen.
Datatilsynet lagde ved sin afgørelse vægt på, at det er Københavns Universitet, der har fastsat ordningen og reglerne for praktikforløb for kurset i almen medicin. Kurset indgår som en del af den medicinstuderendes fag på Københavns Universitet, og det er dermed Københavns Universitet, der afgør til hvilke formål og med hvilke hjælpemidler, der må foretages behandling af personoplysninger.
Da Datatilsynet fandt frem til, at Københavns Universitet er dataansvarlig for den pågældende behandling af personoplysninger, er det Datatilsynets opfattelse, at Københavns Universitet – ved 1) at have mistet et videokamera indeholdende oplysninger om et ukendt antal registrerede, herunder oplysninger om helbred, 2) ikke at have indberettet bruddet på persondatasikkerheden til Datatilsynet og 3) ikke at underrette de registrerede personer omfattet af bruddet på persondatasikkerheden ikke har levet op til kravene i databeskyttelsesforordningens artikel 32, stk. 1, artikel 33, stk. 1 og artikel 34, stk. 1.
Datatilsynet har på den baggrund udtalt alvorlig kritik af, at Københavns Universitet behandling af personoplysninger ikke er sket i overensstemmelse med databeskyttelsesforordningen. Datatilsynet har noteret sig, at Københavns Universitet var af den opfattelse, at den studerende var dataansvarlig for den pågældende behandling af personoplysninger, hvilket er årsagen til, at Københavns Universitet ikke har handlet i overensstemmelse med databeskyttelsesforordningens artikel 32, stk. 1, artikel 33, stk. 1 og artikel 34, stk. 1.
Afgørelse
1.
Datatilsynet vender hermed tilbage til sagen, hvor Datatilsynet den 1. juni 2018 har modtaget en anmeldelse fra Lægerne Gammel Strandvej om et brud på persondatasikkerheden.
Efter en gennemgang af sagen er det Datatilsynets opfattelse, herunder særligt Københavns Universitets udtalelser af 3. april og 6. maj 2019, at Københavns Universitet er dataansvarlig for den behandling af personoplysninger, der er udført af den medicinstuderende i praktikforløbet hos Lægerne Gammel Strandvej.
Efter en gennemgang af sagen finder Datatilsynet grundlag for at udtale alvorlig kritik af, at Københavns Universitets behandling af personoplysninger ikke er sket i overensstemmelse med databeskyttelsesforordningen.
Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.
2. Sagsfremstilling
Datatilsynet har den 1. juni 2018 modtaget en anmeldelse fra Lægerne Gammel Strandvej om et brud på persondatasikkerheden.
Det fremgår af anmeldelsen, at en medicinstuderende fra Københavns Universitet – i forbindelse med et 4 ugers praktikforløb hos Lægerne Gammel Strandvej – den 25. maj 2018 fik stjålet et videokamera med optagelser af patienter til brug for eksamen på Københavns Universitet. Kameraet er ejet af Københavns Universitet.
Ved brev af 9. august 2018 anmodede Datatilsynet Lægerne Gammel Strandvej om en udtalelse til sagen. Ved brev af 12. september 2018 fremkom Bruun & Hjejle, på vegne af Lægerne Gammel Strandvej, med en udtalelse til sagen.
I udtalelsen gjorde Bruun & Hjejle gældende, at Lægerne Gammel Strandvej alligevel ikke er dataansvarlig for den pågældende behandling af personoplysninger. Bruun & Hjejle kom samtidig med et bud på, hvem der kunne være dataansvarlig for den pågældende behandling, og oplyste i den forbindelse Københavns Universitet som en mulig dataansvarlig.
Ved brev af 13. marts 2019 anmodede Datatilsynet Københavns Universitet om en udtalelse til sagen. Ved brev af 3. april 2019 fremkom Københavns Universitet med en udtalelse til sagen.
Ved brev af 16. april 2019 anmodede Datatilsynet på ny Københavns Universitet om en udtalelse til sagen. Datatilsynet anmodede i den forbindelse Københavns Universitet om at udfylde det ved brev af 13. marts 2019 vedlagte skema med spørgsmål. Herudover anmodede Datatilsynet Københavns Universitet om en redegørelse for, hvilke hensyn og kriterier Københavns Universitet har ladet indgå i den risikobaserede tilgang til behandlingssikkerhed, som databeskyttelsesforordningens artikel 32, stk. 1, er udtryk for.
Ved brev af 6 maj 2019 fremkom Københavns Universitet med en fornyet udtalelse til sagen.
2.1. Københavns Universitets bemærkninger
Københavns Universitet har i sin udtalelse til Datatilsynet af 2. april 2019 overordnet anført, at den studerende er dataansvarlig for den behandling af personoplysninger, som foretages som led i deltagelsen af kurser på Københavns Universitet, da de studerende selv ”afgør, til hvilke formål og med hvilke hjælpemidler, der må foretages behandling af personoplysninger”, jf. definitionen af begrebet dataansvarlig i databeskyttelsesforordningens artikel 4, stk. 1, nr. 7.
Københavns Universitet har anført, at Uddannelsesbekendtgørelsen, bekendtgørelse nr. 1328 af 15. januar 2016 om bachelor- og kandidatuddannelser ved universiteterne, fastsætter nærmere regler om uddannelsernes formål og tilrettelæggelse. § 33 i bekendtgørelsen bemyndiger universiteterne til at fastsætte regler for de enkelte uddannelser. Københavns Universitet har i overensstemmelse med bekendtgørelsens § 33 fastsat studieordninger for de uddannelser, som universitetet udbyder. Studieordningen regulerer ikke formålet med den konkrete indsamling af oplysninger, som de studerende foretager som led i deltagelsen i kurset.
Københavns Universitet har endvidere anført, at universitetet efter § 33 fastsætter regler for praktik i studieordningerne for de enkelte uddannelser, hvorved der er fastsat regler for kurset i almen medicin, hvori der indgår et praktikforløb. Heri beskrives det overordnede formål med kurset og praktikforløbet. Der gives endvidere overordnede retningslinjer for gennemførelsen af praktikforløbet i form af eksempelvis ”Kursushæfte Forår 2018” vedrørende Klinisk Kursus i Almen Medicin.
Københavns Universitet vejleder den studerende i forbindelse med gennemførelsen af uddannelsen, jf. universitetslovens § 9. Vejledningen indebærer ikke, at Københavns Universitet ”afgør” formålet med de studerendes indsamling af persondata. Københavns Universitet har ikke samme instruktionsbeføjelser over for de studerende som over for universitetets ansatte.
I forbindelse med de sundhedsvidenskabelige og sundhedsfaglige uddannelser fremgår det af sundhedslovens § 41, stk. 2, nr. 7, at sundhedspersoner kan videregive oplysninger om patienter uden patientens samtykke til ”en studerende, der som led i en sundhedsvidenskabelig eller sundhedsfaglig uddannelse deltager i behandlingen af en patient uden at være medhjælp”. Københavns Universitet har hertil anført, at hvis universitetet var dataansvarlig, ville bestemmelsen ikke give adgang til en videregivelse af data til den studerende.
Københavns Universitet har anført, at universitetet – i forbindelse med de studerendes bachelorprojekter eller kandidatspecialer – alene godkender den studerendes emneafgrænsning eller opgaveformulering, Universitetets godkendelse og efterfølgende vejledning er alene en støtte til den studerende.
Københavns Universitet har endvidere anført, at den omstændighed, at universitetet har udlånt et kamera til den studerende ikke kan bevirke, at universitetet har ansvar for det videomateriale, som den studerende opbevarer på kameraet. Universitetet henviser til, at ”hjælpemidlerne” ved en behandling kan uddelegeres af den dataansvarlige for så vidt angår tekniske eller organisatoriske spørgsmål. Udlånsordningen er etableret med henblik på at understøtte, at patientdata indsamles og opbevares sikkert, jf. forordningens artikel 32. Udlånsordningen kan derfor betragtes som en uddelegering af valg af hjælpemidler som beskrevet i artikel 29-gruppens udtalelse af 16. februar 2010.
I forbindelse med Datatilsynets spørgsmål om, i hvilken grad og hvordan Københavns Universitet gør de studerende opmærksomme på deres ansvar ved behandling af personoplysninger, har universitetet oplyst, at der på uddannelsessiderne findes information om håndtering af persondata i forbindelse med studiet. Der findes også information om persondata i undervisningen på universitetets undervisningsportal målrettet underviserne. I forbindelse med universitetets strategi 2023 har universitetet iværksat et projekt om ”Fælles mål på KU for digitalisering af uddannelserne”. Et af initiativerne har særlig fokus på ”digital dannelse af studerende”, og sigter bl.a. på at udarbejde yderligere informationsmateriale til studerende om persondatareglerne og informationssikkerhed.
Københavns Universitet har endvidere anført, at da persondataloven var gældende, var studerendes behandling af personoplysninger omfattet af undtagelsesbekendtgørelsen, bekendtgørelse nr. 410 af 9. maj 2012 om ændring af bekendtgørelse om undtagelse fra pligten til anmeldelse af visse behandlinger, som foretages for en privat dataansvarlig. Undtagelsesbekendtgørelsen fastsatte undtagelser fra anmeldelsespligten for private dataansvarlige efter persondatalovens § 48. Når studerende var omfattet af undtagelsesbekendtgørelsen, må det betyde, at studerende betragtedes som private dataansvarlige i forhold til persondatalovens regler. Datatilsynets tidligere vejledning vedrørende persondataloven gav ikke udtryk for, at studerende ikke kunne være dataansvarlige. Da definitionen af en ”dataansvarlig” ikke er ændret, må det antages, at fortolkningen af begrebet i forhold til studerende, som kunne udledes af undtagelsesbekendtgørelsen, kan videreføres i forhold til det tilsvarende begreb i databeskyttelsesforordningen.
Københavns Universitet har i sin seneste udtalelse til Datatilsynet af 6. maj 2019 overordnet anført, at Københavns Universitet indtil den 16. april 2019 antog, at den studerende var dataansvarlig for den behandling af personoplysninger, der udføres af den medicinstuderende. Det har derfor ikke været muligt for Københavns Universitet at redegøre for de hensyn og kriterier, som Københavns Universitet har ladet indgå i den risikobaserede tilgang til behandlingssikkerhed, da universitetet ikke har betragtet sig som dataansvarlig på tidspunktet for hændelsen og derfor ikke gennemførte en risikovurdering i forbindelse med den studerendes aktiviteter.
Københavns Universitet har anført, at såfremt Københavns Universitet anses som dataansvarlig, forekommer det problematisk, at universitetet har ansvar for aktiviteter som udføres af personer, som ikke er omfattet af universitetets instruktionsbeføjelser. Københavns Universitet har hertil oplyst, at der ikke er indgået en databehandleraftale med de studerende, som fulgte kurset i almen medicin, da Københavns Universitet har anset den studerende for at være dataansvarlig.
Vedrørende den konkrete hændelse har Københavns Universitet oplyst, at den studerende indhenter patientens mundtlige og skriftlige samtykke til at medvirke på en video. Instruktionen til den studerende fremgår af Københavns Universitets kursushæfte, og det pointeres på introduktionsforelæsningen, at kursushæftet skal læses, og at fortrolighed og sikkerhed skal tages dybt alvorligt. Kursushæftet oplyser den studerende om, at
”I skal udvise den yderste forsigtighed og omhu med videooptagelserne. Pas på kameraet og SD-kortet. Vis kun videoen til dem som opfylder betingelserne i stk.1. (NB: Det følger heraf, at videodelen af eksamen ikke er offentlig, selvom eksaminer på KU er offentlige.). Vi fraråder at videoerne kopieres til jeres computer, hvis I gør det alligevel er I selv ansvarlige for at kopien slettes".
Optagelsen omfatter ikke navn eller personnummer og opbevares hos den studerende til eksamensafholdelse (maks. 5 uger). Efter eksamen opbevares optagelsen på universitetet i 14 dage efter eksamen af hensyn til klagefrist for eksamen.
Københavns Universitet har endvidere anført, at universitetet blev informeret om bruddet på persondatasikkerheden af den studerende ved e-mail af 25. maj 2018, samme dag som kameraet blev stjålet. Københavns Universitet blev informeret om, at der var en video med et antal patienter, men ikke om de pågældende patienters identitet eller detaljer om indholdet. Der blev ikke afholdt en samtale med den studerende.
Herudover har Københavns Universitet anført, at de berørte personer ikke er blevet underrettet, da universitetet har vurderet, at tyveriet ikke var rettet mod personoplysningerne, og at sandsynligheden for misbrug var uendeligt lille. Det er ikke sandsynligt, at personerne faktisk kan identificeres ud fra videooptagelsen, og der er ikke risiko for identitetstyveri, da hverken navn eller personnummer fremgår. Københavns Universitet har i den forbindelse oplyst, at der ikke er truffet foranstaltninger for at begrænse den skade, som de registrerede har lidt ved bruddet på persondatasikkerheden, da Københavns Universitet ikke er bekendt med eller i stand til at forudse, hvilke skader de registrerede har lidt.
Københavns Universitet har afslutningsvis oplyst, at universitetet ikke har oplevet lignende brud på persondatasikkerheden siden kurset fik sin nuværende udformning i 1993.
3. Relevante retsregler
Datatilsynet kan til orientering om databeskyttelsesforordningen[1] oplyse, at forordningen ifølge dennes artikel 2, stk. 1, finder anvendelse på behandling af personoplysninger, der helt eller delvis foretages ved hjælp af automatisk databehandling, og på anden ikke-automatisk behandling af personoplysninger, der er eller vil blive indeholdt i et register.
Datatilsynet kan videre oplyse, at en dataansvarlig, efter databeskyttelsesforordningens artikel 4, stk. 1, nr. 7, skal forstås som en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger; hvis formålene og hjælpemidlerne til en sådan behandling er fastlagt i EU-retten eller medlemsstaternes nationale ret, kan den dataansvarlige eller de specifikke kriterier for udpegelse af denne fastsættes i EU-retten eller medlemsstaternes nationale ret.
En databehandler skal efter artikel 4, stk. 1, nr. 8 forstås som en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der behandler personoplysninger på den dataansvarliges vegne […]
Databeskyttelsesforordningens artikel 32, stk. 1, fastslår, at den dataansvarlige, under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici.
Af forordningens artikel 32, stk. 2, fremgår det, at der ved vurderingen af, hvilket sikkerhedsniveau der er passende, navnlig tages hensyn til de risici, som behandling udgør, navnlig ved hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet.
Det følger af databeskyttelsesforordningens artikel 33, stk. 1, at brud på persondatasikkerheden skal anmeldes af den dataansvarlige uden unødig forsinkelse og om muligt senest 72 timer, efter at denne er blevet bekendt med bruddet på persondatasikkerheden, til den tilsynsmyndighed, som er kompetent i overensstemmelse med artikel 55, medmindre at det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder. Foretages anmeldelsen til tilsynsmyndigheden ikke inden for 72 timer, ledsages den af en begrundelse for forsinkelsen.
Herudover følger det af forordningens artikel 34, at når et brud på persondatasikkerheden sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder, underretter den dataansvarlige uden unødig forsinkelse den registrerede om bruddet på persondatasikkerheden.
4. Datatilsynets udtalelse
4.1. Dataansvar
Det er Datatilsynets opfattelse, at Københavns Universitet er dataansvarlig for den behandling af personoplysninger, der er udført af den medicinstuderende i praktikforløbet hos Lægerne Gammel Strandvej.
Datatilsynet har lagt vægt på, at formålet med at optage konsultationerne er, at den studerende kan anvende optagelserne til at opfylde sine forpligtelser for hhv. undervisning og eksamen på Københavns Universitet.
Datatilsynet har herudover lagt vægt på, at det, i overensstemmelse med uddannelsesbekendtgørelsens § 33, følger af kursushæftet ”Forår 2018 for Klinisk Kursus i Almen Medicin”, at det er Københavns Universitet, der har fastsat ordningen og reglerne for praktikforløb for kurset i almen medicin. Kurset indgår som en del af den medicinstuderendes fag på Københavns Universitet, og det er dermed Københavns Universitet, der afgør til hvilke formål og med hvilke hjælpemidler, der må foretages behandling af personoplysninger. Datatilsynet har videre lagt vægt på, at instruktionen til den studerende fremgår af kursushæftet, og det pointeres af Københavns Universitet på introduktionsforelæsningen, at kursushæftet skal læses.
Datatilsynet har afslutningsvis lagt vægt på, at der ikke forekommer en videregivelse af oplysninger, hvor sundhedslovens § 41, stk. 2, nr. 7, finder anvendelse, og at den for sikkerhedsbruddet aktuelle behandling kan isoleres til behandling i form af optagelse og lagring af personoplysninger på et videokamera ejet af Københavns Universitet til brug for den studerendes forpligtelser for hhv. undervisning og eksamen på Københavns Universitet. Datatilsynet har i den forbindelse lagt vægt på, at det af Københavns Universitets ”Samarbejds- og fortrolighedsaftale” fremgår, at persondata for projektet alene må opbevares og behandles på computere og andet forskningsudstyr, som tilhører Københavns Universitet.
Datatilsynet har noteret sig, at Københavns Universitet ikke har taget stilling til de risici, som den pågældende behandling af personoplysninger indebærer for de registrerede, da det hidtil har været Københavns Universitets vurdering, at den enkelte studerende var dataansvarlig for den behandling af personoplysninger, der udføres af den medicinstuderende i praktikforløb.
Som det fremgår ovenfor, er det imidlertid Datatilsynets vurdering, at Københavns Universitet er dataansvarlige for den behandling af personoplysninger, der udføres af medicinstuderende i praktikforløb.
Datatilsynet skal derfor henstille, at Københavns Universitet vurderer de risici, som behandlingen indebærer for den registrerede, da dette efter Datatilsynet opfattelse er en forudsætning for at gennemføre passende tekniske og organisatoriske foranstaltninger i medfør af databeskyttelsesforordningens artikel 32, stk. 1.
4.2. Behandlingssikkerhed
Datatilsynet finder, at opbevaringen af optagelser af patienter er en behandling af personoplysninger, der er omfattet af databeskyttelsesforordningens artikel 2, stk. 1.
Datatilsynet har herved lagt vægt på, at de omhandlede oplysninger, desuagtet at hverken navn eller personnummer fremgår, er tilstrækkelig specifik til at kunne identificere en person, og at det således også for uvedkommende fremstår som oplysninger om en bestemt fysisk person, jf. herved også EU-Domstolens dom C-434/16, præmis 35.
Det er Datatilsynets vurdering, at personoplysninger i forbindelse med lægekonsultationer udgør personoplysninger om helbred omfattet af de særlige kategorier af personoplysninger, jf. databeskyttelsesforordningens artikel 9, stk. 1.
Efter en gennemgang af sagen, herunder at Københavns Universitet er dataansvarlig for behandlingen af personoplysninger, er det Datatilsynets opfattelse, at Københavns Universitet – ved at have mistet et videokamera indeholdende oplysninger om et ukendt antal registrerede, herunder oplysninger om helbred – ikke har levet op til kravet om at gennemføre passende sikkerhedsforanstaltninger, jf. databeskyttelsesforordningens artikel 32, stk. 1.
Det er i den forbindelse Datatilsynets opfattelse, at Københavns Universitet skulle have etableret foranstaltninger med henblik på at sikre de pågældende oplysninger mod, at de kom til uvedkommendes kendskab, f.eks. gennem kryptering af lagringsmediet (SD-kortet), separat opbevaring af lagringsmediet adskilt fra kameraet eller lignende tiltag for at gøre oplysningerne utilgængelige for uvedkommende.
Datatilsynet har herudover lagt vægt på, at optagelserne er foretaget i forbindelse med lægekonsultationer, hvorfor bruddet på persondatasikkerheden omhandler helbredsoplysninger. Der foreligger derfor en høj risiko for personers rettigheder eller frihedsrettigheder, da eksponering af optagelserne kan indebære en integritetskrænkelse for de pågældende personer, ligesom det eventuelt tillige vil kunne have sociale konsekvenser for de registrerede.
Efter en gennemgang af sagen finder Datatilsynet endvidere, at Københavns Universitet – ved ikke at have indberettet bruddet på persondatasikkerheden til Datatilsynet – ikke har levet op til kravet om at anmelde brud på persondatasikkerheden uden unødig forsinkelse og om muligt, senest 72 timer efter at den dataansvarlige er blevet bekendt med bruddet, jf. databeskyttelsesforordningens artikel 33, stk. 1.
Efter en gennemgang af sagen finder Datatilsynet herudover, at Københavns Universitet – ved ikke at underrette de registrerede personer omfattet af bruddet på persondatasikkerheden – ikke har handlet i overensstemmelse med databeskyttelsesforordningens artikel 34, stk. 1.
Datatilsynet finder på den baggrund grundlag for at udtale alvorlig kritik af, at Københavns Universitet behandling af personoplysninger ikke er sket i overensstemmelse med databeskyttelsesforordningen.
Datatilsynet har endvidere lagt vægt på, at Københavns Universitet blev informeret om bruddet på persondatasikkerheden den 25. maj 2018, hvor bruddet skete, men efterfølgende ikke foretog sig yderligere i anledning heraf.
Datatilsynet finder ikke det af Københavns Universitet oplyste om, at tyveriet ikke var rettet mod personoplysningerne, og at Københavns Universitet ikke er bekendt med eller i stand til at forudse, hvilke skader de registrerede har lidt, for relevant for sagen.
Datatilsynet har noteret sig, at Københavns Universitet var af den opfattelse, at den studerende var dataansvarlig for den pågældende behandling af personoplysninger, hvilket er årsagen til, at Københavns Universitet ikke har handlet i overensstemmelse med databeskyttelsesforordningens artikel 32, stk. 1, artikel 33, stk. 1 og artikel 34, stk. 1.
5. Afsluttende bemærkninger
Henset til sagens karakter skal Datatilsynet skal oplyse, at Københavns Universitet ikke skal foretage særskilt anmeldelse af det skete brud på persondatasikkerheden, jf. databeskyttelsesforordningens artikel 33, stk. 1. Datatilsynet har i den forbindelse lagt vægt på, at bruddet er tilstrækkeligt belyst i forbindelse med sagens behandling i tilsynet, og at Københavns Universitet i øvrigt har erkendt sagsforløbet.
Datatilsynet beklager den lange sagsbehandlingstid, der skyldes stor travlhed i tilsynet, ligesom tilsynet beklager, at Københavns Universitet ikke løbende er blevet orienteret om forsinkelser i sagsbehandlingstiden mv.
Kopi af dette brev sendes dags dato til Bruun Hjejle til orientering.
[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).