Storbritannien er nu et ”sikkert tredjeland” for persondataoverførsler
Europa-Kommissionen har nu godkendt Storbritannien som sikkert tredjeland at overføre persondata til. Det betyder, at virksomheder frit kan overføre persondata dertil. Vi ser i nyhedsbrevet nærmere på, hvad virksomheder skal være opmærksomme på i forbindelse med internationale dataoverførsler, uanset om overførsel sker til et sikkert tredjeland eller ej.
At Storbritannien nu kan betragtes som et sikkert tredjeland betyder, at persondataoverførsler nu kan flyde frit på tværs af grænserne. Når EU-Kommissionen skal beslutte, om et tredjeland kan betragtes som sikkert under databeskyttelsesreglerne, indebærer det ikke kun en analyse af tredjelandets databeskyttelsesregler, men også af landets grundlæggende retsstatsprincipper mv.
I Storbritanniens tilfælde, har EU-Kommissionen navnlig lagt vægt på, at det Storbritannien implementerede de samme principper, rettigheder og krav som fulgte af blandt andet databeskyttelsesforordningen. EU-Kommissionen vil herefter regelmæssigt gennemgå sin afgørelse, der under alle omstændigheder automatisk udløber efter en fireårig periode, hvis den ikke fornys.
Vi har tidligere beskrevet, hvordan Storbritanniens udtræden af EU i øvrigt kan påvirke virksomheder her.
Har I styr på jeres internationale persondataoverførsler?
Selvom Storbritannien nu er godkendt som et sikkert tredjeland, anses de fleste andre tredjelande enten kun som ”delvist sikre” eller ”usikre”. Virksomheder bør derfor have helt klare procedurer på plads, for at sikre at internationale persondataoverførsler altid sker i overensstemmelse med reglerne, uanset hvilket tredjeland der er destinationen for overførslen.
Virksomheder bør derfor i alle tilfælde som minimum afklare en række spørgsmål, herunder især:
- Hvilke tredjelande overfører vi persondata til?
- Hvilke overførselsgrundlag kan vi bruge?
- Har vi opfyldt vores oplysningsforpligtelser?
- Har vi et tilstrækkeligt sikkerhedsniveau på plads?
Selvom databeskyttelsesreglerne indeholder flere forskellige overførselsgrundlag, vil valget af det rette grundlag afhænge af flere omstændigheder, såsom hvorvidt der er tale om en større koncern eller en gruppe virksomheder, der har en fælles økonomisk aktivitet. Derudover kan der også være tale om særlige situationer, hvor persondataoverførslen kan foretages helt uden et overførselsgrundlag.
IUNO mener
At Storbritannien nu betragtes som et sikkert tredjeland er godt nyt for de fleste virksomheder, men understreger samtidig, hvor høje krav EU-Kommissionen stiller til tredjelande. Flere tredjelande er dog på vej til listen, da EU-Kommissionen allerede har iværksat den officielle beslutningsprocedure for Sydkorea, samt er i dialog med de amerikanske myndigheder for at finde et alternativ for den tidligere Privacy Shield-ordning.
IUNO anbefaler, at virksomheder har faste procedurer på plads for at sikre, at internationale persondataoverførsler altid sker i overensstemmelse med reglerne, og herunder navnlig husker at der udover etablering af et overførselsgrundlag for usikre tredjelande også gælder oplysningsforpligtelser over for datasubjekterne. Samtidig bør virksomheder der anvender det mest brugte overførselsgrundlag, standardkontrakterne, være ekstra opmærksomme på, at der den 4. juni 2021 kom nye standardbestemmelser på plads og at det desuden er et krav at kunne sikre, at dataimportøren faktisk kan leve op til standardkontrakternes forpligtelser.
Læs mere, om hvordan IUNO kan hjælpe din virksomhed med at sikre compliance med databeskyttelsesforordningen, her.
[EU-Kommissionens tilstrækkelighedsafgørelse i forhold til databeskyttelsesforordningen af den 28. juni 2021]
At Storbritannien nu kan betragtes som et sikkert tredjeland betyder, at persondataoverførsler nu kan flyde frit på tværs af grænserne. Når EU-Kommissionen skal beslutte, om et tredjeland kan betragtes som sikkert under databeskyttelsesreglerne, indebærer det ikke kun en analyse af tredjelandets databeskyttelsesregler, men også af landets grundlæggende retsstatsprincipper mv.
I Storbritanniens tilfælde, har EU-Kommissionen navnlig lagt vægt på, at det Storbritannien implementerede de samme principper, rettigheder og krav som fulgte af blandt andet databeskyttelsesforordningen. EU-Kommissionen vil herefter regelmæssigt gennemgå sin afgørelse, der under alle omstændigheder automatisk udløber efter en fireårig periode, hvis den ikke fornys.
Vi har tidligere beskrevet, hvordan Storbritanniens udtræden af EU i øvrigt kan påvirke virksomheder her.
Har I styr på jeres internationale persondataoverførsler?
Selvom Storbritannien nu er godkendt som et sikkert tredjeland, anses de fleste andre tredjelande enten kun som ”delvist sikre” eller ”usikre”. Virksomheder bør derfor have helt klare procedurer på plads, for at sikre at internationale persondataoverførsler altid sker i overensstemmelse med reglerne, uanset hvilket tredjeland der er destinationen for overførslen.
Virksomheder bør derfor i alle tilfælde som minimum afklare en række spørgsmål, herunder især:
- Hvilke tredjelande overfører vi persondata til?
- Hvilke overførselsgrundlag kan vi bruge?
- Har vi opfyldt vores oplysningsforpligtelser?
- Har vi et tilstrækkeligt sikkerhedsniveau på plads?
Selvom databeskyttelsesreglerne indeholder flere forskellige overførselsgrundlag, vil valget af det rette grundlag afhænge af flere omstændigheder, såsom hvorvidt der er tale om en større koncern eller en gruppe virksomheder, der har en fælles økonomisk aktivitet. Derudover kan der også være tale om særlige situationer, hvor persondataoverførslen kan foretages helt uden et overførselsgrundlag.
IUNO mener
At Storbritannien nu betragtes som et sikkert tredjeland er godt nyt for de fleste virksomheder, men understreger samtidig, hvor høje krav EU-Kommissionen stiller til tredjelande. Flere tredjelande er dog på vej til listen, da EU-Kommissionen allerede har iværksat den officielle beslutningsprocedure for Sydkorea, samt er i dialog med de amerikanske myndigheder for at finde et alternativ for den tidligere Privacy Shield-ordning.
IUNO anbefaler, at virksomheder har faste procedurer på plads for at sikre, at internationale persondataoverførsler altid sker i overensstemmelse med reglerne, og herunder navnlig husker at der udover etablering af et overførselsgrundlag for usikre tredjelande også gælder oplysningsforpligtelser over for datasubjekterne. Samtidig bør virksomheder der anvender det mest brugte overførselsgrundlag, standardkontrakterne, være ekstra opmærksomme på, at der den 4. juni 2021 kom nye standardbestemmelser på plads og at det desuden er et krav at kunne sikre, at dataimportøren faktisk kan leve op til standardkontrakternes forpligtelser.
Læs mere, om hvordan IUNO kan hjælpe din virksomhed med at sikre compliance med databeskyttelsesforordningen, her.
[EU-Kommissionens tilstrækkelighedsafgørelse i forhold til databeskyttelsesforordningen af den 28. juni 2021]
