DA
Teknologi

Storbritannien er nu et ”sikkert tredjeland” for persondataoverførsler

logo
Juranyt
calendar 19. august 2021
globus Danmark, Sverige, Norge

Europa-Kommissionen har nu godkendt Storbritannien som sikkert tredjeland at overføre persondata til. Det betyder, at virksomheder frit kan overføre persondata dertil. Vi ser i nyhedsbrevet nærmere på, hvad virksomheder skal være opmærksomme på i forbindelse med internationale dataoverførsler, uanset om overførsel sker til et sikkert tredjeland eller ej.

At Storbritannien nu kan betragtes som et sikkert tredjeland betyder, at persondataoverførsler nu kan flyde frit på tværs af grænserne. Når EU-Kommissionen skal beslutte, om et tredjeland kan betragtes som sikkert under databeskyttelsesreglerne, indebærer det ikke kun en analyse af tredjelandets databeskyttelsesregler, men også af landets grundlæggende retsstatsprincipper mv.

I Storbritanniens tilfælde, har EU-Kommissionen navnlig lagt vægt på, at det Storbritannien implementerede de samme principper, rettigheder og krav som fulgte af blandt andet databeskyttelsesforordningen. EU-Kommissionen vil herefter regelmæssigt gennemgå sin afgørelse, der under alle omstændigheder automatisk udløber efter en fireårig periode, hvis den ikke fornys.

Vi har tidligere beskrevet, hvordan Storbritanniens udtræden af EU i øvrigt kan påvirke virksomheder her.

Har I styr på jeres internationale persondataoverførsler?

Selvom Storbritannien nu er godkendt som et sikkert tredjeland, anses de fleste andre tredjelande enten kun som  ”delvist sikre” eller ”usikre”. Virksomheder bør derfor have helt klare procedurer på plads, for at sikre at internationale persondataoverførsler altid sker i overensstemmelse med reglerne, uanset hvilket tredjeland der er destinationen for overførslen.

Virksomheder bør derfor i alle tilfælde som minimum afklare en række spørgsmål, herunder især:

  • Hvilke tredjelande overfører vi persondata til?
  • Hvilke overførselsgrundlag kan vi bruge?
  • Har vi opfyldt vores oplysningsforpligtelser?
  • Har vi et tilstrækkeligt sikkerhedsniveau på plads?

Selvom databeskyttelsesreglerne indeholder flere forskellige overførselsgrundlag, vil valget af det rette grundlag afhænge af flere omstændigheder, såsom hvorvidt der er tale om en større koncern eller en gruppe virksomheder, der har en fælles økonomisk aktivitet. Derudover kan der også være tale om særlige situationer, hvor persondataoverførslen kan foretages helt uden et overførselsgrundlag.

IUNO mener

At Storbritannien nu betragtes som et sikkert tredjeland er godt nyt for de fleste virksomheder, men understreger samtidig, hvor høje krav EU-Kommissionen stiller til tredjelande. Flere tredjelande er dog på vej til listen, da EU-Kommissionen allerede har iværksat den officielle beslutningsprocedure for Sydkorea, samt er i dialog med de amerikanske myndigheder for at finde et alternativ for den tidligere Privacy Shield-ordning.

IUNO anbefaler, at virksomheder har faste procedurer på plads for at sikre, at internationale persondataoverførsler altid sker i overensstemmelse med reglerne, og herunder navnlig husker at der udover etablering af et overførselsgrundlag for usikre tredjelande også gælder oplysningsforpligtelser over for datasubjekterne. Samtidig bør virksomheder der anvender det mest brugte overførselsgrundlag, standardkontrakterne, være ekstra opmærksomme på, at der den 4. juni 2021 kom nye standardbestemmelser på plads og at det desuden er et krav at kunne sikre, at dataimportøren faktisk kan leve op til standardkontrakternes forpligtelser.

Læs mere, om hvordan IUNO kan hjælpe din virksomhed med at sikre compliance med databeskyttelsesforordningen, her.

[EU-Kommissionens tilstrækkelighedsafgørelse i forhold til databeskyttelsesforordningen af den 28. juni 2021]

At Storbritannien nu kan betragtes som et sikkert tredjeland betyder, at persondataoverførsler nu kan flyde frit på tværs af grænserne. Når EU-Kommissionen skal beslutte, om et tredjeland kan betragtes som sikkert under databeskyttelsesreglerne, indebærer det ikke kun en analyse af tredjelandets databeskyttelsesregler, men også af landets grundlæggende retsstatsprincipper mv.

I Storbritanniens tilfælde, har EU-Kommissionen navnlig lagt vægt på, at det Storbritannien implementerede de samme principper, rettigheder og krav som fulgte af blandt andet databeskyttelsesforordningen. EU-Kommissionen vil herefter regelmæssigt gennemgå sin afgørelse, der under alle omstændigheder automatisk udløber efter en fireårig periode, hvis den ikke fornys.

Vi har tidligere beskrevet, hvordan Storbritanniens udtræden af EU i øvrigt kan påvirke virksomheder her.

Har I styr på jeres internationale persondataoverførsler?

Selvom Storbritannien nu er godkendt som et sikkert tredjeland, anses de fleste andre tredjelande enten kun som  ”delvist sikre” eller ”usikre”. Virksomheder bør derfor have helt klare procedurer på plads, for at sikre at internationale persondataoverførsler altid sker i overensstemmelse med reglerne, uanset hvilket tredjeland der er destinationen for overførslen.

Virksomheder bør derfor i alle tilfælde som minimum afklare en række spørgsmål, herunder især:

  • Hvilke tredjelande overfører vi persondata til?
  • Hvilke overførselsgrundlag kan vi bruge?
  • Har vi opfyldt vores oplysningsforpligtelser?
  • Har vi et tilstrækkeligt sikkerhedsniveau på plads?

Selvom databeskyttelsesreglerne indeholder flere forskellige overførselsgrundlag, vil valget af det rette grundlag afhænge af flere omstændigheder, såsom hvorvidt der er tale om en større koncern eller en gruppe virksomheder, der har en fælles økonomisk aktivitet. Derudover kan der også være tale om særlige situationer, hvor persondataoverførslen kan foretages helt uden et overførselsgrundlag.

IUNO mener

At Storbritannien nu betragtes som et sikkert tredjeland er godt nyt for de fleste virksomheder, men understreger samtidig, hvor høje krav EU-Kommissionen stiller til tredjelande. Flere tredjelande er dog på vej til listen, da EU-Kommissionen allerede har iværksat den officielle beslutningsprocedure for Sydkorea, samt er i dialog med de amerikanske myndigheder for at finde et alternativ for den tidligere Privacy Shield-ordning.

IUNO anbefaler, at virksomheder har faste procedurer på plads for at sikre, at internationale persondataoverførsler altid sker i overensstemmelse med reglerne, og herunder navnlig husker at der udover etablering af et overførselsgrundlag for usikre tredjelande også gælder oplysningsforpligtelser over for datasubjekterne. Samtidig bør virksomheder der anvender det mest brugte overførselsgrundlag, standardkontrakterne, være ekstra opmærksomme på, at der den 4. juni 2021 kom nye standardbestemmelser på plads og at det desuden er et krav at kunne sikre, at dataimportøren faktisk kan leve op til standardkontrakternes forpligtelser.

Læs mere, om hvordan IUNO kan hjælpe din virksomhed med at sikre compliance med databeskyttelsesforordningen, her.

[EU-Kommissionens tilstrækkelighedsafgørelse i forhold til databeskyttelsesforordningen af den 28. juni 2021]

Modtag vores nyhedsbrev

Anders

Etgen Reitz

Partner

Kirsten

Astrup

Advokat

Lignende

logo
HR-jura Corporate Teknologi

2. november 2021

Fælles whistleblowerordninger i internationale koncerner

logo
HR-jura Corporate Teknologi

29. oktober 2021

Whistleblowerordninger i kommuner og offentlige virksomheder

logo
HR-jura Corporate Teknologi

22. oktober 2021

Ny vejledning om whistleblowerordninger

logo
Teknologi

7. oktober 2021

Ferie ingen undskyldning for forsinket underretning om sikkerhedsbrud

logo
Teknologi

23. september 2021

Datatilsynets whistleblowerordning er på vej

logo
Teknologi

9. september 2021

Manglende overholdelse af lagringsperioder resulterede i en bøde på 1,75 millioner

Holdet

Anders

Etgen Reitz

Partner

Kirsten

Astrup

Advokat