No-deal Brexit og GDPR

Det Europæiske Databeskyttelsesråd udtaler sig om overholdelse af GDPR ved no-deal Brexit.

Den 15. januar 2019 afviste det britiske parlament den udtrædelsesaftale, som den britiske regering havde forhandlet mellem EU og Storbritannien. I det tilfælde, at der ikke kommer en aftale mellem EØS-landene og Storbritannien i forbindelse med Brexit, vil Storbritannien i GDPR-øjne blive et tredjeland fra den 30. marts 2019 kl. 00:00. I den forbindelse har Det Europæiske Databeskyttelsesråd den 12. februar 2019 kommet med sine anbefalinger til, hvordan virksomheder der overfører personoplysninger til Storbritannien skal forholde sig.

En virksomhed eller en myndighed må kun overføre personoplysninger til et land uden for EU og EØS (et såkaldt tredjeland), hvis dette land kan sikre, at der bliver passet ligeså godt på personoplysningerne, som der ville gøre, hvis denne overførsel skete inden for EU og EØS. I forhold til overførsel af personoplysninger fra Storbritannien til EØS, har Storbritanniens regering udtalt, at den nuværende praksis, som tillader overførsel af personoplysninger vil fortsætte, hvis der ikke bliver en aftale.

Det anbefales, at virksomheder allerede nu skal forberede følgende ved overførsel af personoplysninger til Storbritannien:

  1. Identificer hvilke behandlingsaktiviteter, der vil indebære en overførsel af personoplysninger til Storbritannien
  2. Find ud af, hvilke passende dataoverførselsgrundlag, der er bedst til jeres situation (se nedenfor)
  3. Implementer det valgte dataoverførselsgrundlag, så det er klar den 30. marts 2019
  4. Anfør i jeres interne dokumentation, at overførsel vil ske til Storbritannien
  5. Opdater jeres privatlivstekster for at informere de registrerede personer

En af de måder, hvorpå et tredjeland kan opnå status som et sikkert tredjeland, så der kan overføres personoplysninger er, hvis Europa-kommissionen træffer afgørelse om, at beskyttelsesniveauet i landet er tilstrækkeligt. Hvis der ikke træffes en sådan afgørelse, så skal overførsel af personoplysninger til Storbritannien ske ved hjælp af en af de følgende dataoverførsler:

  • Standard eller ad hoc databeskyttelseskontrakter
  • Bindende virksomhedsregler
  • Adfærdskodeks eller certificeringsmekanismer
  • Særlige undtagelsesbestemmelser

Standard eller ad hoc databeskyttelseskontrakter

Virksomheder kan vælge at benytte standardkontrakter, der er vedtaget af Europa-kommissionen. Disse kontrakter giver de tilstrækkelige fornødne garantier, som er nødvendige for at der kan ske overførsel af personoplysninger til et tredjeland.

Kontrakterne kan findes her.

Virksomheder skal her være opmærksomme på, at der er flere kontrakter, alt afhængig af, om der skal overføres personoplysninger til en anden dataansvarlig eller en databehandler i tredjelandet, hvorfor det er vigtigt først at finde ud, hvilken rolle ens samarbejdspartner i Storbritannien har.

Der må ikke ske ændringer i kontrakterne og skal de skal underskrives. Kontrakterne kan inkluderes i andre kontrakter.

Hvis der sker ændringer i kontrakterne, så omtales de som ad hoc kontrakter. Fordelen ved at bruge en ad hoc kontrakt er, at virksomheder og myndigheder får mulighed for selv at påvirke indholdet i kontrakten. Ulempen er, at der kræves en specifik godkendelse fra en kompetent tilsynsmyndighed, hvilket tager tid, da der skal foretages en konkret vurdering af, om der med kontrakten gives de fornødne garantier.

Bindende virksomhedsregler

Bindende virksomhedsregler er regler om beskyttelse af personoplysninger, som en virksomhed, der er etableret i EU, overholder i forbindelse med overførsel af personoplysninger til en dataansvarlig eller en databehandler i et eller flere tredjelande, når virksomhederne er del af en koncern eller en gruppe af foretagender, der udøver en fælles økonomisk aktivitet.

Benytter man bindende virksomhedsregler, kræves der ikke specifik godkendelse til de enkelte tredjelandsoverførsler. Inden bindende virksomhedsregler kan anvendes, skal reglerne dog være godkendt af den kompetente tilsynsmyndighed, som normalt vil være tilsynsmyndigheden i den EU-medlemsstat, hvori en koncerns EU hovedvirksomhed er beliggende.

Du kan læse mere her.

Adfærdskodeks eller certificeringsmekanismer

Et adfærdskodeks eller certificeringsmekanismer kan give tilstrækkelige fornødne garantier, som er nødvendige for at der kan ske overførsel af personoplysninger til et tredjeland. Disse vil kunne blive udarbejdet af eksempelvis brancheorganisationer. Disse ordninger skal godkendes af en kompetent tilsynsmyndighed eller af et certificeringsorgan.

Dette overførselsgrundlag er nyt i forhold til GDPR og Det Europæiske Databeskyttelsesråd er i øjeblikket i gang med at udarbejde vejledninger for brug af disse.

Særlige undtagelsesbestemmelser

Hvis ingen af de ovenstående overførselsgrundlag er mulige, så kan det være, at en overførsel kan ske ved hjælp af en af disse særlige undtagelsesbestemmelser, der findes i GDPR artikel 49. Undtagelserne kan kun bruges i begrænset omfang og skal fortolkes restriktivt og kan hovedsageligt bruges til behandlingsaktiviteter, der er lejlighedsvis og som ikke er gentagende.

Der kan ske overførsel til et tredjeland:

  • Hvis den registrerede har givet sit udtrykkelige samtykke (altså en frivillig, specifik, informeret og utvetydig viljestilkendegivelse fra den registrerede) til overførslen efter, at have fået al nødvendig information vedrørende risikoen, der er forbundet med overførslen. Denne undtagelse kan ikke bruges af offentlige myndigheder.
  • Hvis overførslen er nødvendig af hensyn til indgåelse eller opfyldelse af en kontrakt mellem den dataansvarlige (i et tredjeland) og den registrerede eller at kontraktens indgåelse eller opfyldelse er i den registreredes interesse. Denne undtagelse kan ikke bruges af offentlige myndigheder.
  • Hvis overførslen er nødvendig af hensyn til vigtige samfundsinteresser (i EU-retten eller i national ret, herunder international udveksling oplysninger mellem konkurrencemyndigheder eller udveksling af hensyn til folkesundheden).
  • Hvis overførslen er nødvendig for, at et retskrav (domme og afgørelser truffet af administrative myndigheder og som er anerkendt i EU) kan fastlægges, gøres gældende eller forsvares.
  • Hvis overførslen er nødvendig for at beskytte vitale interesser, hvis den registrerede, ikke fysisk eller juridisk er i stand til at give samtykke
  • Hvis overførslen er nødvendig af hensyn til vægtige legitime interesser, som forfølges af den dataansvarlige, og hvis den registreredes interesser eller rettigheder ikke går forud for disse interesser. Bestemmelsen kan kun anvendes, hvis der er tale om et begrænset antal registrerede og hvis ingen af de andre undtagelser i disse særlige undtagelsesbestemmelser kan bruges. Undtagelsen må ikke bruges af offentlige myndigheder.

Læs Databeskyttelsesrådets pressemeddelelse her.

Har du brug for rådgivning?

For mere information kontakt venligst

Niels Dahl-Nielsen,niels.dahl-nielsen@synchlaw.dk, +45 4030 9749

Christine Janschristine.jans@synchlaw.dk, +45 6058 8862

Daniel Kiil, Daniel.kiil@synchlaw.dk, +45 5190 8339

Nyheder og indsigt
Nyheder

Høje bøder for ulovligt telefonsalg

marts 7, 2019

Det er ulovligt at kontakte forbrugere uden samtykke og Forbrugerombudsmanden har nu politianmeldt 13 virksomheder.

Insights

STIGNING I ANTALLET AF KLAGER TIL DATATILSYNET

februar 21, 2019

Siden den 25. maj 2018 til udgangen af 2018 har Datatilsynet modtaget cirka 3.800 klager og forespørgsler, som særligt handler om de registreredes rettigheder. Forbrugerne er således blevet mere bevidste om deres rettigheder og det understreger, hvor vigtigt det er for virksomheder at være klar over sine forpligtelser i henhold til GDPR.

Nyheder

Daniel Kiil er oplægsholder til GOTO Nights CPH om “LEGAL TECH: DATA PROTECTION, AI AND COMPLIANCE BY TECHNICAL MEANS”

februar 15, 2019

Daniel Kiil er oplægsholder sammen med Ramon Soto Mathiesen fra SPISE MISU ApS til GOTO Nights Copenhagen den 19. marts . Emnerne er “Legal Tech: Data protection, AI and compliance by technical means”.

Insights

No-deal Brexit og GDPR

februar 14, 2019

Det Europæiske Databeskyttelsesråd udtaler sig overholdelse af GDPR ved no-deal Brexit.

Insights

DATATILSYNET OFFENTLIGGØR FOKUSOMRÅDER FOR PLANLAGTE TILSYN – ER DIN VIRKSOMHED KLAR?

februar 8, 2019

Datatilsynet har den 31. januar 2019 offentliggjort, hvilke områder som de vil fokusere på ved de planlagte tilsyn i det første halvår af 2019. Synchs GDPR-team fortæller om, hvad Datatilsynet konkret vil have fokus på.

SynchWakeup/events

SYNCHWAKEUP: FÅ STYR PÅ DIGITAL MARKEDSFØRINGSRET

januar 31, 2019

SynchWakeup er en række seminarer, som har fokus på at give dig praktisk viden om juridiske emner. Deltag til SynchWakeup den 19. februar og bliv opdateret på aktuelle emner inden for digital markedsføringsret.