OVERFØRSEL TIL ET TREDJELAND
Adfærdskodekser i henhold til GDPR
Videregivelse af personoplysninger til et tredjeland, dvs. et land uden for EU/EØS, kan tillades, hvis modtageren af personoplysningerne har tilsluttet sig en godkendt adfærdskodeks. Det samme gælder for godkendte certificeringer. Bemærk, at det skal indebære forpligtelser, der kan håndhæves. Desuden skal forpligtelserne være juridisk bindende for at føre til en godkendt overførsel. Dette gælder også, hvis modtageren af personoplysningerne har overholdt godkendte adfærdskodekser eller certificeringsmekanismer.
Retningslinjer fra Det Europæiske Databeskyttelsesråd
Det Europæiske Databeskyttelsesråd har udarbejdet retningslinjer for, hvornår virksomheder overfører personoplysninger til et tredjeland, og modtageren har tilsluttet sig et godkendt tredjeland:
- Adfærdskodeks: Retningslinjer 04/2021 om adfærdskodekser som redskab til overførsler
- Certificeringsmekanisme: Retningslinjer 07/2022 om certificering som et redskab til overførsler
Retningslinjerne indeholder bl.a. oplysninger om processen for godkendelse af adfærdskodekser og detaljer om, hvad det betyder, vejledning osv.
Nedenfor forklarer vi, hvad en adfærdskodeks betyder i henhold til GDPR.
GDPR-adfærdskodekser som en yderligere sikkerhedsforanstaltning
Forskellige brancher kan have en specifik vejledning i, hvordan man anvender og overholder GDPR, også kendt som GDPR. En adfærdskodeks kan således sidestilles med en type regelsæt, der frivilligt skal anvendes i en given sektor eller industri. Dette vil gøre det muligt for virksomheder, der tilslutter sig den, at modtage praktiske instrukser om, hvordan de overholder GDPR i praksis. Både dataansvarlige og databehandlere kan tilslutte sig en adfærdskodeks.
Det er ikke en databeskyttelsesmyndighed eller Det Europæiske Databeskyttelsesråd, der udarbejder adfærdskodekser. I stedet er det almindeligt, at sammenslutninger, der repræsenterer en bestemt sektor, gør det, og de udarbejder adfærdskodeksen. Anvendelsen af adfærdskodeksen gavner både mindre og større virksomheder. I nogle tilfælde er adfærdskodeksen international og i andre tilfælde national.
Forudsætninger for en adfærdskodeks
Den organisation, der udarbejder adfærdskodeksen, skal have en passende retlig status. Desuden skal udkastet til adfærdskodeks bestå af bindende og konkrete regler for anvendelsen af GDPR i praksis. Dette er de grundlæggende forudsætninger for en adfærdskodeks i henhold til GDPR.
Adfærdskodeksen skal godkendes af en databeskyttelsesmyndighed
Før en kodeks kan gennemføres, skal den først godkendes af en databeskyttelsesmyndighed. For at blive godkendt skal databeskyttelsesmyndigheden beslutte, at kodeksen bidrager til en effektiv og rimelig behandling af personoplysninger og anvendelsen af de øvrige regler i GDPR. Nedenfor kan du læse mere om processen med at ansøge om godkendelse af en adfærdskodeks.
Ansøgning om en adfærdskodeks
Det første trin vedrører vurderingen af, om den organisation, der ansøger om adfærdskodeksen, er støtteberettiget. Det skal være en aktør, en sammenslutning eller et andet organ, der repræsenterer kategorier af dataansvarlige og/eller databehandlere. En væsentlig forudsætning er, at den, der ansøger om en adfærdskodeks, har en passende retlig status i forhold til de aktører, som adfærdskodeksen skal finde anvendelse på.
I andet trin vurderer databeskyttelsesmyndigheden udkastet til kodeks. De ser navnlig på, om udkastet opfylder betingelserne i Databeskyttelsesrådets vejledning. Hvis betingelserne er opfyldt, underrettes ansøgeren, og det næste trin i processen kan indledes. Hvis betingelserne ikke er opfyldt, underrettes ansøgeren også om dette og om begrundelsen for afgørelsen.
I tredje fase vil koden blive evalueret af databeskyttelsesmyndigheden. De undersøger, om den opfylder betingelserne for godkendelse som pålagt af Databeskyttelsesrådet. Ansøgeren om kodeksen vil derefter blive underrettet om resultatet af databeskyttelsesmyndighedens afgørelse på nuværende tidspunkt.
Revision af udkastet til adfærdskodeks
Hvis databeskyttelsesmyndigheden ikke giver sin godkendelse, vil ansøgerne få mulighed for at revidere deres udkast på grundlag af databeskyttelsesmyndighedens bemærkninger. De kan derefter indsende et ajourført udkast til fornyet gennemgang med henblik på godkendelse.
Registrering og offentliggørelse af en godkendt adfærdskodeks
Hvis databeskyttelsesmyndigheden godkender en adfærdskodeks efter den afsluttede og fuldstændige ansøgningsproces, registreres den i databeskyttelsesmyndighedens register og offentliggøres på dens websted. Desuden vil den godkendte adfærdskodeks også blive forelagt Databeskyttelsesrådet til offentliggørelse.
Ændringer af en godkendt adfærdskodeks
Hvis der skal foretages større ændringer af en allerede godkendt adfærdskodeks, skal der indgives en ansøgning om godkendelse af ændringerne til databeskyttelsesmyndigheden. Eksempler på en væsentlig ændring omfatter tilføjelsen af nye bestemmelser til adfærdskodeksen. Enhver sådan væsentlig ændring skal først godkendes af databeskyttelsesmyndigheden for at kunne træde i kraft.
På den anden side er det muligt at foretage mindre ændringer uden at kræve en sådan forudgående godkendelse. Det er derfor en forudsætning, at de mindre ændringer ikke har nogen indvirkning på anvendelsen af adfærdskodeksen.
FLERE OPLYSNINGER OM OVERFØRSEL TIL ET TREDJELAND
Certificerings- og certificeringsmekanismer
Certificering er et redskab, der kan anvendes til at bidrage til et højt databeskyttelsesniveau. Certificerings- og certificeringsmekanismer er en form for yderligere beskyttelse i henhold til GDPR. Der er visse specifikke kriterier for, at en operatør kan certificeres. Når en operatør er blevet certificeret, modtager vedkommende et europæisk databeskyttelsesmærke. Et certifikat betyder, at behandlingen af personoplysningerne opfylder kriterierne i en certificeringsordning. For at blive certificeret og opnå et certifikat skal en ansøgning om certificering indgives til et akkrediteret og uafhængigt certificeringsorgan.