No-deal Brexit og GDPR

Det Europæiske Databeskyttelsesråd udtaler sig om overholdelse af GDPR ved no-deal Brexit.

Den 15. januar 2019 afviste det britiske parlament den udtrædelsesaftale, som den britiske regering havde forhandlet mellem EU og Storbritannien. I det tilfælde, at der ikke kommer en aftale mellem EØS-landene og Storbritannien i forbindelse med Brexit, vil Storbritannien i GDPR-øjne blive et tredjeland fra den 30. marts 2019 kl. 00:00. I den forbindelse har Det Europæiske Databeskyttelsesråd den 12. februar 2019 kommet med sine anbefalinger til, hvordan virksomheder der overfører personoplysninger til Storbritannien skal forholde sig.

En virksomhed eller en myndighed må kun overføre personoplysninger til et land uden for EU og EØS (et såkaldt tredjeland), hvis dette land kan sikre, at der bliver passet ligeså godt på personoplysningerne, som der ville gøre, hvis denne overførsel skete inden for EU og EØS. I forhold til overførsel af personoplysninger fra Storbritannien til EØS, har Storbritanniens regering udtalt, at den nuværende praksis, som tillader overførsel af personoplysninger vil fortsætte, hvis der ikke bliver en aftale.

Det anbefales, at virksomheder allerede nu skal forberede følgende ved overførsel af personoplysninger til Storbritannien:

  1. Identificer hvilke behandlingsaktiviteter, der vil indebære en overførsel af personoplysninger til Storbritannien
  2. Find ud af, hvilke passende dataoverførselsgrundlag, der er bedst til jeres situation (se nedenfor)
  3. Implementer det valgte dataoverførselsgrundlag, så det er klar den 30. marts 2019
  4. Anfør i jeres interne dokumentation, at overførsel vil ske til Storbritannien
  5. Opdater jeres privatlivstekster for at informere de registrerede personer

En af de måder, hvorpå et tredjeland kan opnå status som et sikkert tredjeland, så der kan overføres personoplysninger er, hvis Europa-kommissionen træffer afgørelse om, at beskyttelsesniveauet i landet er tilstrækkeligt. Hvis der ikke træffes en sådan afgørelse, så skal overførsel af personoplysninger til Storbritannien ske ved hjælp af en af de følgende dataoverførsler:

  • Standard eller ad hoc databeskyttelseskontrakter
  • Bindende virksomhedsregler
  • Adfærdskodeks eller certificeringsmekanismer
  • Særlige undtagelsesbestemmelser

Standard eller ad hoc databeskyttelseskontrakter

Virksomheder kan vælge at benytte standardkontrakter, der er vedtaget af Europa-kommissionen. Disse kontrakter giver de tilstrækkelige fornødne garantier, som er nødvendige for at der kan ske overførsel af personoplysninger til et tredjeland.

Kontrakterne kan findes her.

Virksomheder skal her være opmærksomme på, at der er flere kontrakter, alt afhængig af, om der skal overføres personoplysninger til en anden dataansvarlig eller en databehandler i tredjelandet, hvorfor det er vigtigt først at finde ud, hvilken rolle ens samarbejdspartner i Storbritannien har.

Der må ikke ske ændringer i kontrakterne og skal de skal underskrives. Kontrakterne kan inkluderes i andre kontrakter.

Hvis der sker ændringer i kontrakterne, så omtales de som ad hoc kontrakter. Fordelen ved at bruge en ad hoc kontrakt er, at virksomheder og myndigheder får mulighed for selv at påvirke indholdet i kontrakten. Ulempen er, at der kræves en specifik godkendelse fra en kompetent tilsynsmyndighed, hvilket tager tid, da der skal foretages en konkret vurdering af, om der med kontrakten gives de fornødne garantier.

Bindende virksomhedsregler

Bindende virksomhedsregler er regler om beskyttelse af personoplysninger, som en virksomhed, der er etableret i EU, overholder i forbindelse med overførsel af personoplysninger til en dataansvarlig eller en databehandler i et eller flere tredjelande, når virksomhederne er del af en koncern eller en gruppe af foretagender, der udøver en fælles økonomisk aktivitet.

Benytter man bindende virksomhedsregler, kræves der ikke specifik godkendelse til de enkelte tredjelandsoverførsler. Inden bindende virksomhedsregler kan anvendes, skal reglerne dog være godkendt af den kompetente tilsynsmyndighed, som normalt vil være tilsynsmyndigheden i den EU-medlemsstat, hvori en koncerns EU hovedvirksomhed er beliggende.

Du kan læse mere her.

Adfærdskodeks eller certificeringsmekanismer

Et adfærdskodeks eller certificeringsmekanismer kan give tilstrækkelige fornødne garantier, som er nødvendige for at der kan ske overførsel af personoplysninger til et tredjeland. Disse vil kunne blive udarbejdet af eksempelvis brancheorganisationer. Disse ordninger skal godkendes af en kompetent tilsynsmyndighed eller af et certificeringsorgan.

Dette overførselsgrundlag er nyt i forhold til GDPR og Det Europæiske Databeskyttelsesråd er i øjeblikket i gang med at udarbejde vejledninger for brug af disse.

Særlige undtagelsesbestemmelser

Hvis ingen af de ovenstående overførselsgrundlag er mulige, så kan det være, at en overførsel kan ske ved hjælp af en af disse særlige undtagelsesbestemmelser, der findes i GDPR artikel 49. Undtagelserne kan kun bruges i begrænset omfang og skal fortolkes restriktivt og kan hovedsageligt bruges til behandlingsaktiviteter, der er lejlighedsvis og som ikke er gentagende.

Der kan ske overførsel til et tredjeland:

  • Hvis den registrerede har givet sit udtrykkelige samtykke (altså en frivillig, specifik, informeret og utvetydig viljestilkendegivelse fra den registrerede) til overførslen efter, at have fået al nødvendig information vedrørende risikoen, der er forbundet med overførslen. Denne undtagelse kan ikke bruges af offentlige myndigheder.
  • Hvis overførslen er nødvendig af hensyn til indgåelse eller opfyldelse af en kontrakt mellem den dataansvarlige (i et tredjeland) og den registrerede eller at kontraktens indgåelse eller opfyldelse er i den registreredes interesse. Denne undtagelse kan ikke bruges af offentlige myndigheder.
  • Hvis overførslen er nødvendig af hensyn til vigtige samfundsinteresser (i EU-retten eller i national ret, herunder international udveksling oplysninger mellem konkurrencemyndigheder eller udveksling af hensyn til folkesundheden).
  • Hvis overførslen er nødvendig for, at et retskrav (domme og afgørelser truffet af administrative myndigheder og som er anerkendt i EU) kan fastlægges, gøres gældende eller forsvares.
  • Hvis overførslen er nødvendig for at beskytte vitale interesser, hvis den registrerede, ikke fysisk eller juridisk er i stand til at give samtykke
  • Hvis overførslen er nødvendig af hensyn til vægtige legitime interesser, som forfølges af den dataansvarlige, og hvis den registreredes interesser eller rettigheder ikke går forud for disse interesser. Bestemmelsen kan kun anvendes, hvis der er tale om et begrænset antal registrerede og hvis ingen af de andre undtagelser i disse særlige undtagelsesbestemmelser kan bruges. Undtagelsen må ikke bruges af offentlige myndigheder.

Læs Databeskyttelsesrådets pressemeddelelse her.

Har du brug for rådgivning?

For mere information kontakt venligst

Niels Dahl-Nielsen,niels.dahl-nielsen@synchlaw.dk, +45 4030 9749

Christine Janschristine.jans@synchlaw.dk, +45 6058 8862

Daniel Kiil, Daniel.kiil@synchlaw.dk, +45 5190 8339

Nyheder og indsigt
Nyheder/GDPR

Fem gode råd til hvordan I undgår en bøde på 1,5 millioner kroner fra Datatilsynet

11/06/2019

IDdesign A/S, som er detailhandler indenfor møbler og boligindretning, er blevet politianmeldt af Datatilsynet, som på baggrund af manglende sletning af ca. 385.000 kunders oplysninger, har indstillet selskabet til en bøde på 1,5 mio. kr. Christine Jans giver fem gode råd til, hvordan du overholder lovgivningen.

Pressemeddelelse

Synch, inQvation og TechBBQ præsenterer nyt initiativ: TalkBBQ – The Nordic Investment Culture

04/06/2019

Hvad vil det egentligt sige at have en ‘founder friendly’ startup-kultur? Synch, inQvation og TechBBQ har indgået et partnerskab, som skal være med til at svare på dette spørgsmål. Det har resulteret i tilblivelsen af et event under navnet: TalkBBQ – The Nordic Investment Culture.

Nyheder

Synch lancerer kunde efterspurgte GDPR-ydelser

24/05/2019

Den 25. maj 2019 fylder GDPR 1 år og vi har hos Synch hjulpet en lang række virksomheder med at overholde reglerne. På baggrund af ydet rådgivning, er der udviklet fire GDPR-ydelser, som kan hjælpe alt fra startup-virksomheden til tech-giganten.

Nyheder/GDPR

Facebooks datasamkørsel er misbrug af dominerende stilling

23/04/2019

Efter længere tids undersøgelse af Facebook fremlagde den tyske konkurrencemyndighed, Bundeskartellamt sin konklusion: Facebook har misbrugt sin dominerende stilling ved at sammenkæde brugerdata fra forskellige kilder.

Indsigt

GRØNT LYS TIL NYE COPYRIGHT-REGLER DER ÆNDRER ONLINE ADFÆRD

15/04/2019

Synchs Katrine Hedensted Madsen giver en kort update om EUs stærkt omdiskuterede copyright-direktiv, der har været under forhandling i flere år, men i sidste måned blev godkendt af EU Parlamentet og netop i dag også har fået grønt lys fra EU Rådet.

SynchWakeup/events

SynchWakeup: Få styr på ansættelses- og persondataret

11/04/2019

Deltag til SynchWakeup den 9. maj og få boostet din viden om ansættelsesvilkår og persondata. Fokus vil være på praktiske problemstillinger i forbindelse med medarbejderens tiltrædelse og fratrædelse, hvor vi vil gennemgå forpligtelser og faldgruber i en ansættelses- og persondataretlig belysning.