Ny EU persondataforordning – Overførsel af oplysninger på tværs af landegrænser

Maj måneds Update handler om forordningens regler om overførsel af personoplysninger til “tredjelande” og de forskellige retsgrundlag for sådanne overførsler, herunder:

  • Generelt princip for legitime dataoverførsler
  • Fri dataudveksling til tredjelande, der sikrer et tilstrækkeligt databeskyttelsesniveau.
  • Dataudveksling til tredjelande, der ikke sikrer et tilstrækkeligt databeskyttelsesniveau.
  • Undtagelser i særlige situationer.
  • Nyt: Krav om udlevering fra tredjelande.
  • To-do-liste for dataansvarlige og databehandlere.

Generelt princip for legitime dataoverførsler
Forordningen viderefører de grundlæggende regler for overførsel af personoplysninger på tværs af landegrænser, som kendes i dag, men tilføjer en række nye muligheder.
Ændringerne og deres betydning for overførsel af oplysninger på tværs af landegrænser vil blive gennemgået nedenfor. Også kravene til overførsel af personoplysninger, når der ikke er nogen afgørelse om tilstrækkelighedsniveauet, vil blive gennemgået, samt de specifikke karakteristika for disse alternative retsregler og undtagelser.
Fri dataoverførsel til tredjelande, der sikrer et tilstrækkeligt databeskyttelsesniveau.
Generelt gælder det, at der er fri overførsel af persondata inden for EU/EØS. Overførsel af persondata til lande uden for EU/EØS kan ske, hvis disse lande anses for at sikre et tilstrækkeligt databeskyttelsesniveau.
Tredjelandes databeskyttelsesniveau vurderes af Kommissionen gennem “tilstrækkelighedsresultater”, der er bindende i deres helhed for alle medlemslande. Når tredjelandets “tilstrækkelighed” er blevet fastslået, kan personoplysninger overføres til dette land uden yderligere beskyttelsesforanstaltninger.
De eksisterende tilstrækkelighedsresultater vil være underlagt Forordningen. Listen af sikre tredjelande omfatter p.t. følgende lande: Andorra, Argentina, Færøerne, Guernsey, Isle of Man, Israel, Jersey, New Zealand, Schweiz og Uruguay.
Som noget nyt i Forordningen skal afgørelser om tilstrækkelighed altid være underlagt regelmæssig revision, som minimum hvert fjerde år, hvor der tages hensyn til enhver relevant udvikling i tredjelandet. Derudover pålægger Forordningen Kommissionen regelmæssigt at overvåge udviklinger, der kunne få betydning for, om en afgørelse om tilstrækkeligheden af beskyttelsesniveauet fungerer korrekt. Forordningen har også introduceret muligheden for, at afgørelser om tilstrækkelighed kan ophæves, ændres eller suspenderes.
Et af de mest omdiskuterede tilstrækkelighedsresultater er EU-US Privacy Shield-aftalen, som blev vedtaget den 12. juli 2016. Privacy Shield, der erstatter Safe Harbor-ordningen, som i oktober 2015 blev erklæret ugyldig af EU-Domstolen i Schrems-sagen (C-362/14), er en selvcertificeringsordning. Certificering under Privacy Shield-aftalen opnås ved frivillig overholdelse af bestemte databehandlingsprincipper. Det amerikanske Handelsdepartement skal overvåge medlemmer. Der har dog allerede været indsigelser mod aftalen, og især set i lyset af den politiske udvikling i USA, er der stor risiko for, at den ikke overlever disse indsigelser (eller den næste formelle vurdering af aftalen, som er planlagt til at finde sted i september 2017).
Dataudveksling til tredjelande, der ikke sikrer et tilstrækkeligt databeskyttelsesniveau.
Hvis der ikke foreligger en tilstrækkelighedsafgørelse, kan personoplysninger i princippet kun overføres til tredjelande, (i) hvis den dataansvarlige eller databehandler, der overfører oplysninger, selv har sikret “fornødne garantier”, og (ii) på betingelse af at rettigheder for registrerede, som kan håndhæves, er tilgængelige i det givne land.
De mest relevante “fornødne garantier” er følgende:

Bindende virksomhedsregler (Binding Corporate Rules – BCR) 
  • Intern adfærdskodeks vedtaget af multinationale selskaber med henblik på overførsler mellem forskellige filialer i en organisation (nyttig ved koncerninterne overførsler af oplysninger).
  • Ny: Forordningen anerkender udtrykkeligt bindende virksomhedsregler for både dataansvarlige og databehandlere og oplister en række obligatoriske elementer, der skal inkluderes i de bindende virksomhedsregler.
  • Kræver godkendelse fra en tilsynsmyndighed, men når de først er godkendt, kræver individuel overførsel i henhold til de bindende virksomhedsregler ikke yderligere godkendelse.

 
Kontraktbestemmelser (Standard Contractual Clauses – SCC) 
(a)  Standardkontraktbestemmelser 

  • Vedtaget af Europakommissionen.
  • Vedtaget af nationale myndigheder og godkendt af Europakommissionen. (Nyt under Forordningen: Der kræves ikke yderligere meddelelse eller godkendelse.)

(b) ‘Øvrige” kontraktbestemmelser 

  • Ad hoc kontraktbestemmelser mellem dataeksportøren og dataimportøren kan anses for at være “tilstrækkelige”, hvis bestemmelserne er blevet forelagt for og godkendt af den kompetente tilsynsmyndighed.
Vedtaget adfærdskodeks/certificeringsmekanismer 
Se vores seneste nyhedsbrev vedrørende adfærdskodeks og certificering. 

 
Eksisterende bindende virksomhedsregler eller standardkontraktbestemmelserne, der er gennemført i henhold til Direktiv 95/46/EF, er gyldige, indtil de ændres, erstattes eller ophæves i overensstemmelse med Forordningen.
Undtagelser i særlige situationer
I mangel af en afgørelse om tilstrækkeligheden af beskyttelsesniveauet eller gennemførelsen af “fornødne” garantier oplistet ovenfor må en overførsel på tværs af landegrænser kun finde sted på en af følgende betingelser:

  • den registrerede udtrykkeligt har givet samtykke til den foreslåede overførsel efter at være blevet informeret om tilstrækkeligheden af beskyttelsesniveauet eller fornødne garantier (kan dog være problematisk, da samtykke kan tilbagekaldes);
  • overførslen er nødvendig af hensyn til opfyldelse af en kontrakt mellem den registrerede og den dataansvarlige eller af hensyn til gennemførelse af foranstaltninger forud for indgåelsen af en kontrakt;
  • overførslen er nødvendig af hensyn til indgåelse eller opfyldelse af en kontrakt, der i den registreredes interesse indgås mellem den dataansvarlige og en anden fysisk eller juridisk person;
  • overførslen er nødvendig af hensyn til vigtige samfundsinteresser;
  • overførelsen er nødvendig for, at retskrav kan fastlægges, gøres gældende eller forsvares;
  • overførslen er nødvendig for at beskytte den registreredes eller andre personers vitale interesser (hvis den registrerede ikke fysisk eller juridisk er stand til at give samtykke);
  • under visse omstændigheder, hvis overførslen foretages fra et register, der er beregnet til at informere offentligheden.

Såfremt ingen af undtagelserne ovenfor finder anvendelse (og forudsat at tilsynsmyndigheden er underrettet om overførslen), kan der i visse tilfælde alligevel ske overførsel på følgende betingelser:
Hvis overførslen (i) ikke gentages, (ii) kun vedrører et begrænset antal registrerede, (iii) er nødvendig af hensyn til vægtige legitime interesser, som forfølges af den dataansvarlige, den registreredes interesser eller rettigheder og frihedsrettigheder ikke går forud for disse interesser, og (iv) den dataansvarlige har vurderet alle omstændigheder i forbindelse med overførelsen og på grundlag af denne vurdering giver passende garantier for beskyttelse af personoplysningerne.
Nyt: Krav om udlevering fra tredjelande
Der har i de seneste år været en række sager, hvor myndigheder i tredjelande har krævet, at personoplysninger, som blev behandlet i EU, blev udleveret. Forordningen fastsætter nu udtrykkeligt, at domme, kendelser og afgørelser truffet af administrative myndigheder i et tredjeland, som kræver, at en dataansvarlig eller en databehandler overfører eller videregiver personoplysninger, alene kan anerkendes eller håndhæves, såfremt de bygger på en international aftale, såsom en traktat om gensidig retshjælp mellem det anmodende tredjeland og EU eller et medlemsland. Det præcise omfang af denne bestemmelse ligger endnu ikke helt klart, men tegner til at føre til en interessant debat.
To-do-liste for dataansvarlige og databehandlere

  • Identificere og kortlægge alle overførsler af oplysninger over landegrænser.
  • Undersøge og vurdere for hver enkelt overførsel af oplysninger om (i) det modtagende land er et EU-/EØS-land eller anses for at have et tilstrækkeligt databeskyttelsesniveau, (ii) hvis dette ikke er tilfældet, om “fornødne garantier” er på plads, og/eller (iii) hvis dette ikke er tilfældet, om der gælder særlige undtagelser.
  • Fastlægge, om man vil følge en vedtaget adfærdskodeks/certificeringsmekanisme og gøre dette i rette tid.

 
Kontakt

Advokat Karin Absalonsen
Karin Absalonsen
Advokat (L), Partner
Direkte: (+45) 33 38 70 14 – Mobil: (+45) 21 67 80 77
E-mail: kab@nrlaw.dk

Hos Nyborg & Rørdam har vi arbejdet med privacy og persondata i flere år. Vi rådgiver vores klienter om de juridiske aspekter omkring databeskyttelse navnlig med det formål at omsætte den komplekse regulering på databeskyttelsesområdet til konkret forståelig operationel rådgivning.
 

Dette nyhedsbrev kan ikke erstatte juridisk rådgivning. Nyborg & Rørdam Advokatfirma påtager sig intet ansvar for skader eller tab, der direkte eller indirekte kan henføres til brugen af nyhedsbrevet. Dette gælder, uanset om skaden eller tabet er forårsaget af fejlagtig information i nyhedsbrevet eller af øvrige forhold, der relaterer sig til nyhedsbrevet.