No-deal Brexit og GDPR

Det Europæiske Databeskyttelsesråd udtaler sig om overholdelse af GDPR ved no-deal Brexit.

Den 15. januar 2019 afviste det britiske parlament den udtrædelsesaftale, som den britiske regering havde forhandlet mellem EU og Storbritannien. I det tilfælde, at der ikke kommer en aftale mellem EØS-landene og Storbritannien i forbindelse med Brexit, vil Storbritannien i GDPR-øjne blive et tredjeland fra den 30. marts 2019 kl. 00:00. I den forbindelse har Det Europæiske Databeskyttelsesråd den 12. februar 2019 kommet med sine anbefalinger til, hvordan virksomheder der overfører personoplysninger til Storbritannien skal forholde sig.

En virksomhed eller en myndighed må kun overføre personoplysninger til et land uden for EU og EØS (et såkaldt tredjeland), hvis dette land kan sikre, at der bliver passet ligeså godt på personoplysningerne, som der ville gøre, hvis denne overførsel skete inden for EU og EØS. I forhold til overførsel af personoplysninger fra Storbritannien til EØS, har Storbritanniens regering udtalt, at den nuværende praksis, som tillader overførsel af personoplysninger vil fortsætte, hvis der ikke bliver en aftale.

Det anbefales, at virksomheder allerede nu skal forberede følgende ved overførsel af personoplysninger til Storbritannien:

  1. Identificer hvilke behandlingsaktiviteter, der vil indebære en overførsel af personoplysninger til Storbritannien
  2. Find ud af, hvilke passende dataoverførselsgrundlag, der er bedst til jeres situation (se nedenfor)
  3. Implementer det valgte dataoverførselsgrundlag, så det er klar den 30. marts 2019
  4. Anfør i jeres interne dokumentation, at overførsel vil ske til Storbritannien
  5. Opdater jeres privatlivstekster for at informere de registrerede personer

En af de måder, hvorpå et tredjeland kan opnå status som et sikkert tredjeland, så der kan overføres personoplysninger er, hvis Europa-kommissionen træffer afgørelse om, at beskyttelsesniveauet i landet er tilstrækkeligt. Hvis der ikke træffes en sådan afgørelse, så skal overførsel af personoplysninger til Storbritannien ske ved hjælp af en af de følgende dataoverførsler:

  • Standard eller ad hoc databeskyttelseskontrakter
  • Bindende virksomhedsregler
  • Adfærdskodeks eller certificeringsmekanismer
  • Særlige undtagelsesbestemmelser

Standard eller ad hoc databeskyttelseskontrakter

Virksomheder kan vælge at benytte standardkontrakter, der er vedtaget af Europa-kommissionen. Disse kontrakter giver de tilstrækkelige fornødne garantier, som er nødvendige for at der kan ske overførsel af personoplysninger til et tredjeland.

Kontrakterne kan findes her.

Virksomheder skal her være opmærksomme på, at der er flere kontrakter, alt afhængig af, om der skal overføres personoplysninger til en anden dataansvarlig eller en databehandler i tredjelandet, hvorfor det er vigtigt først at finde ud, hvilken rolle ens samarbejdspartner i Storbritannien har.

Der må ikke ske ændringer i kontrakterne og skal de skal underskrives. Kontrakterne kan inkluderes i andre kontrakter.

Hvis der sker ændringer i kontrakterne, så omtales de som ad hoc kontrakter. Fordelen ved at bruge en ad hoc kontrakt er, at virksomheder og myndigheder får mulighed for selv at påvirke indholdet i kontrakten. Ulempen er, at der kræves en specifik godkendelse fra en kompetent tilsynsmyndighed, hvilket tager tid, da der skal foretages en konkret vurdering af, om der med kontrakten gives de fornødne garantier.

Bindende virksomhedsregler

Bindende virksomhedsregler er regler om beskyttelse af personoplysninger, som en virksomhed, der er etableret i EU, overholder i forbindelse med overførsel af personoplysninger til en dataansvarlig eller en databehandler i et eller flere tredjelande, når virksomhederne er del af en koncern eller en gruppe af foretagender, der udøver en fælles økonomisk aktivitet.

Benytter man bindende virksomhedsregler, kræves der ikke specifik godkendelse til de enkelte tredjelandsoverførsler. Inden bindende virksomhedsregler kan anvendes, skal reglerne dog være godkendt af den kompetente tilsynsmyndighed, som normalt vil være tilsynsmyndigheden i den EU-medlemsstat, hvori en koncerns EU hovedvirksomhed er beliggende.

Du kan læse mere her.

Adfærdskodeks eller certificeringsmekanismer

Et adfærdskodeks eller certificeringsmekanismer kan give tilstrækkelige fornødne garantier, som er nødvendige for at der kan ske overførsel af personoplysninger til et tredjeland. Disse vil kunne blive udarbejdet af eksempelvis brancheorganisationer. Disse ordninger skal godkendes af en kompetent tilsynsmyndighed eller af et certificeringsorgan.

Dette overførselsgrundlag er nyt i forhold til GDPR og Det Europæiske Databeskyttelsesråd er i øjeblikket i gang med at udarbejde vejledninger for brug af disse.

Særlige undtagelsesbestemmelser

Hvis ingen af de ovenstående overførselsgrundlag er mulige, så kan det være, at en overførsel kan ske ved hjælp af en af disse særlige undtagelsesbestemmelser, der findes i GDPR artikel 49. Undtagelserne kan kun bruges i begrænset omfang og skal fortolkes restriktivt og kan hovedsageligt bruges til behandlingsaktiviteter, der er lejlighedsvis og som ikke er gentagende.

Der kan ske overførsel til et tredjeland:

  • Hvis den registrerede har givet sit udtrykkelige samtykke (altså en frivillig, specifik, informeret og utvetydig viljestilkendegivelse fra den registrerede) til overførslen efter, at have fået al nødvendig information vedrørende risikoen, der er forbundet med overførslen. Denne undtagelse kan ikke bruges af offentlige myndigheder.
  • Hvis overførslen er nødvendig af hensyn til indgåelse eller opfyldelse af en kontrakt mellem den dataansvarlige (i et tredjeland) og den registrerede eller at kontraktens indgåelse eller opfyldelse er i den registreredes interesse. Denne undtagelse kan ikke bruges af offentlige myndigheder.
  • Hvis overførslen er nødvendig af hensyn til vigtige samfundsinteresser (i EU-retten eller i national ret, herunder international udveksling oplysninger mellem konkurrencemyndigheder eller udveksling af hensyn til folkesundheden).
  • Hvis overførslen er nødvendig for, at et retskrav (domme og afgørelser truffet af administrative myndigheder og som er anerkendt i EU) kan fastlægges, gøres gældende eller forsvares.
  • Hvis overførslen er nødvendig for at beskytte vitale interesser, hvis den registrerede, ikke fysisk eller juridisk er i stand til at give samtykke
  • Hvis overførslen er nødvendig af hensyn til vægtige legitime interesser, som forfølges af den dataansvarlige, og hvis den registreredes interesser eller rettigheder ikke går forud for disse interesser. Bestemmelsen kan kun anvendes, hvis der er tale om et begrænset antal registrerede og hvis ingen af de andre undtagelser i disse særlige undtagelsesbestemmelser kan bruges. Undtagelsen må ikke bruges af offentlige myndigheder.

Læs Databeskyttelsesrådets pressemeddelelse her.

Har du brug for rådgivning?

For mere information kontakt venligst

Niels Dahl-Nielsen,niels.dahl-nielsen@synchlaw.dk, +45 4030 9749

Christine Janschristine.jans@synchlaw.dk, +45 6058 8862

Daniel Kiil, Daniel.kiil@synchlaw.dk, +45 5190 8339

Nyheder og indsigt
Pressemeddelelse

Synch København og Integra fusionerer

23/01/2020

Synch og Integra Advokater i København fusionerer med virkning fra 1. januar. Med fusionen udbygger det fusionerede selskab sin position som specialiseret tech-advokatfirma med lokal forankring i Norden.

Nyheder

Slut med Privacy Shield og nye krav til EU-Kommissionens standardkontrakter

17/07/2020

EU-Domstolen har i en dom afgjort, at Privacy Shield ikke kan bruges som overførselsgrundlag af data til USA, men EU’s standardkontrakter har klaret frisag

Nyheder

Nye matchinglån fra Vækstfonden

07/05/2020

Vækstfonden tilbyder ny en række nye favorable matchinglån, som giver virksomheder mulighed for at låne op til 3 gange et investeret beløb. Læs i denne nyhed om vilkårene for lånene

Pressemeddelelse

Synch spins-off legal tech business through the creation of Maigon

05/05/2020

Synch has decided to spin-off parts of its legal tech development, which to date has been conducted within SynchLab. A separate new entity has been formed and has taken over and will offer the following solutions; Maigon DPA, Maigon PPC and Maigon Automation. Synch has several times been noted for and also been nominated by […]

Nyheder

Synch er en del af Öresundseksperterna

24/04/2020

Synch, som et af de få advokatfirmaer, har en tilstedeværelse på begge sider af Øresund; i Skåne og i København. Vi sætter en ære i at yde smidig rådgivning på tværs af Øresund og er derfor stolte af at være udvalgt til at ingå i Øresundseksperterne der er en del af Øresunddirekt. Synchs eksperter er […]

Blogindlæg Insights

Gode juridiske råd i forbindelse med COVID-19

12/03/2020

I dette blog-indlæg fortæller Synchs danske advokater om de juridiske udfordringer, som COVID-19 har afstedkommet for danske virksomheder.