Overførsel af personoplysninger til Grønland
Flere virksomheder med aktiviteter i Grønland er ikke opmærksomme på, at overførsel af personoplysninger til Grønland er en tredjelandsoverførsel. Grønland er ikke omfattet af en tilstrækkelighedsafgørelse, så der skal et alternativt overførselsgrundlag på plads. Det betyder, at I skal opfylde flere krav, før jeres virksomhed er klar til at udføre en overførsel.
Selvom Datatilsynet fører tilsyn med overholdelsen af databeskyttelsesreglerne i Grønland, er reglerne ikke de samme som i Danmark. I Grønland er den gældende persondatalov baseret på den tidligere danske persondatalov, der fandt anvendelse før GDPR.
Regelsættene har ligheder, men har også mange forskelle. For eksempel skal virksomheder som udgangspunkt anmelde databehandlinger på forhånd, og der findes ikke samme regler for tv-overvågning som i Danmark. Uanset forskellighederne har Datatilsynet bekræftet, at mange af de samme overvejelser, som er relevante for jeres databehandling i Danmark, også er relevante under de grønlandske regler.
Udover at overholde persondataloven skal I sikre, at de personoplysninger, som I overfører fra EU, beholder et sikkerhedsniveau, der i det væsentligste svarer til det inden for EU. Her skal I have standardkontrakter eller andre overførselsmekanismer på banen. Den rigtige mekanisme vil afhænge af jeres konkrete behov. Derudover skal I huske, at den mekanisme, som I vælger, ikke kan bruges alene. I skal også udføre en såkaldt ”transfer impact assessment” for at bevise, at overførslen ikke svækker beskyttelsesniveauet. Vi har tidligere skrevet om det her.
IUNO mener
Det kan være forvirrende, at personoplysninger ikke kan flyde frit, og at databeskyttelsesreglerne ikke er helt ens på tværs af Rigsfællesskabet. Modsat Grønland er der imidlertid en tilstrækkelighedsafgørelse for Færøerne. Det gør processen væsentligt lettere for virksomheder, der foretager overførsel af personoplysninger dertil.
IUNO anbefaler, at virksomheder sætter sig godt ind i de gældende databeskyttelsesregler, før I påbegynder behandlingsaktiviteter i et nyt land. Selvom reglerne umiddelbart kan se ens ud, kan der være praksis og andre krav, som ændrer på de risici, I skal tage højde for.
Selvom Datatilsynet fører tilsyn med overholdelsen af databeskyttelsesreglerne i Grønland, er reglerne ikke de samme som i Danmark. I Grønland er den gældende persondatalov baseret på den tidligere danske persondatalov, der fandt anvendelse før GDPR.
Regelsættene har ligheder, men har også mange forskelle. For eksempel skal virksomheder som udgangspunkt anmelde databehandlinger på forhånd, og der findes ikke samme regler for tv-overvågning som i Danmark. Uanset forskellighederne har Datatilsynet bekræftet, at mange af de samme overvejelser, som er relevante for jeres databehandling i Danmark, også er relevante under de grønlandske regler.
Udover at overholde persondataloven skal I sikre, at de personoplysninger, som I overfører fra EU, beholder et sikkerhedsniveau, der i det væsentligste svarer til det inden for EU. Her skal I have standardkontrakter eller andre overførselsmekanismer på banen. Den rigtige mekanisme vil afhænge af jeres konkrete behov. Derudover skal I huske, at den mekanisme, som I vælger, ikke kan bruges alene. I skal også udføre en såkaldt ”transfer impact assessment” for at bevise, at overførslen ikke svækker beskyttelsesniveauet. Vi har tidligere skrevet om det her.
IUNO mener
Det kan være forvirrende, at personoplysninger ikke kan flyde frit, og at databeskyttelsesreglerne ikke er helt ens på tværs af Rigsfællesskabet. Modsat Grønland er der imidlertid en tilstrækkelighedsafgørelse for Færøerne. Det gør processen væsentligt lettere for virksomheder, der foretager overførsel af personoplysninger dertil.
IUNO anbefaler, at virksomheder sætter sig godt ind i de gældende databeskyttelsesregler, før I påbegynder behandlingsaktiviteter i et nyt land. Selvom reglerne umiddelbart kan se ens ud, kan der være praksis og andre krav, som ændrer på de risici, I skal tage højde for.
