INFORMATIONSSIKKERHED
Tilstrækkeligt beskyttelsesniveau
For at overføre personoplysninger fra EU til et tredjeland uden særlig godkendelse eller for at være omfattet af yderligere garantier har det pågældende tredjeland ifølge Europa-Kommissionen behov for et tilstrækkeligt beskyttelsesniveau.
Europa-Kommissionens konstatering af et tilstrækkeligt beskyttelsesniveau
I henhold til GDPR er et tredjeland et land uden for EU/EØS. Kun Europa-Kommissionen kan træffe en sådan afgørelse. Med andre ord kan en individuel virksomhed ikke anse det pågældende tredjeland for at yde et tilstrækkeligt beskyttelsesniveau, men kun Europa-Kommissionen. Bemærk, at beskyttelsesniveauets tilstrækkelighed ikke nødvendigvis skal sikres af et helt tredjeland, men f.eks. kan gælde for et bestemt område inden for tredjelandets grænser.
Begrundelse for Europa-Kommissionens afgørelse om tilstrækkeligheden af beskyttelsesniveauet
Der er flere elementer, som Europa-Kommissionen analyserer, når den træffer afgørelse om tilstrækkeligheden af beskyttelsesniveauet i et tredjeland. F.eks.
- Tredjelandets lovgivning.
- Tredjelandets internationale forpligtelser.
- De registreredes muligheder for at få adgang til retsmidler.
- Tredjelandets holdning til menneskerettigheder.
- Om tredjelandet har en uafhængig tilsynsmyndighed for databeskyttelsesregler.
Europa-Kommissionen ajourfører løbende sin liste over lande, for hvilke den har fundet et tilstrækkeligt beskyttelsesniveau.
Syv principper i den generelle forordning om databeskyttelse
- Lovlighed, rimelighed og gennemsigtighed
- Begrænset formål
- Dataminimering
- Korrekthed
- Opbevaringsbegrænsning
- Integritet og fortrolighed
- Ansvarlighed
Regelmæssige revisioner
Blot fordi Europa-Kommissionen har besluttet, at et land har et tilstrækkeligt beskyttelsesniveau, betyder det ikke, at dette altid vil være tilfældet. Europa-Kommissionen skal regelmæssigt tage afgørelsen op til fornyet overvejelse. Auditten foretages mindst en gang hvert fjerde år og kan revideres.
Overførsel af personoplysninger fra EU til USA
I Schrems II-dommen fra 2020 annullerede EU-Domstolen værnet om privatlivets fred og den tilsvarende afgørelse om tilstrækkeligheden af beskyttelsesniveauet. Som følge heraf havde USA ikke et tilstrækkeligt højt beskyttelsesniveau til at kunne betragtes som tilstrækkeligt. En af årsagerne var de amerikanske myndigheders adgang til personoplysninger. Efterfølgende indledte EU og USA forhandlinger om EU-USA-databeskyttelsesrammen.
Overførsler af personoplysninger fra EU til USA er nu tilladt, hvis modtageren er omfattet af EU’s og USA’s databeskyttelsesramme, som Europa-Kommissionen vedtog i 2023. Det kan dog også være tilladt i tilfælde, hvor modtageren ikke er tilsluttet databeskyttelsesrammen, men i sådanne tilfælde skal virksomheden træffe passende yderligere beskyttelsesforanstaltninger. F.eks. bindende virksomhedsregler. En anden sikkerhedsforanstaltning er anvendelsen af standardkontraktbestemmelser.
Overførsler til Det Forenede Kongerige efter brexit
Det Forenede Kongerige har været et tredjeland i henhold til GDPR siden 2021, da de forlod EU. Senere i 2021 besluttede Europa-Kommissionen, at Det Forenede Kongerige har et tilstrækkeligt højt beskyttelsesniveau, dvs. et tilstrækkeligt beskyttelsesniveau. Afgørelsen gør det muligt at overføre personoplysninger fra EU hertil uden yderligere garantier eller specifik tilladelse, som om Det Forenede Kongerige var et andet EU-land.
FLERE OPLYSNINGER OM OVERFØRSLER TIL TREDJELANDE
Overføre personoplysninger til tredjelande i særlige situationer og i tilfælde af lejlighedsvise overførsler
Videregivelse af personoplysninger til et tredjeland kan tillades i visse situationer, selv om det pågældende tredjeland ikke har et tilstrækkeligt beskyttelsesniveau, eller virksomheden træffer yderligere sikkerhedsforanstaltninger såsom Europa-Kommissionens indgåelse af standardkontraktbestemmelser. F.eks. hvis virksomheden indhenter den registreredes udtrykkelige samtykke. Bemærk, at virksomheden skal underrette den registrerede om de risici, der er forbundet med en sådan overførsel til et tredjeland, hvis det pågældende tredjeland ikke har et tilstrækkeligt beskyttelsesniveau, eller hvis virksomheden ikke har indført de fornødne garantier.