NO
Teknologi

Storbritannia har nå et "adekvat beskyttelsesnivå" for overføring av personopplysninger

logo
Jusnytt
calendar 25. august 2021
globus Norge, Sverige, Danmark

Europa-Kommisjonen har nå vedtatt at Storbritannia har et adekvat beskyttelsesnivå for overføring av personopplysninger. Dette betyr at bedrifter fritt kan overføre personopplysninger til Storbritannia. I dette nyhetsbrevet ser vi nærmere på hva bedrifter skal være oppmerksomme på i forbindelse med internasjonale overføringer av personopplysninger, uavhengig av om overføring skjer til en tredjestat med adekvat beskyttelsesnivå eller ei.

At Storbritannia nå kan betraktes å ha et adekvat beskyttelsesnivå innebærer at overføring av personopplysninger nå kan flyte fritt på tvers av grensene. Når EU-Kommisjonen skal beslutte om en tredjestat kan anses å ha en et adekvat beskyttelsesnivå under personopplysningsreglene innebærer ikke dette kun en analyse av tredjestatens personopplysningsregler, men også landets grunnleggende rettsstatsprinsipper mm.

Hva angår Storbritannia har EU-Kommisjonen lagt vekt på at Storbritannia har implementert de samme prinsippene, rettighetene og kravene som fulgte av blant annet personvernsforordningen. EU-Kommisjonen vil heretter regelmessig gjennomgå avgjørelsen sin, som under alle omstendigheter automatisk utløper etter en fireårig periode hvis den ikke fornyes.

Har dere kontroll på deres internasjonale overføringer av personopplysninger?

Selv om Storbritannia nå har et adekvat beskyttelsesnivå anses de fleste andre tredjeland enten kun som «delvis beskyttet» eller «ubeskyttet». Bedrifter bør derfor ha helt klare prosedyrer på plass for å sikre at internasjonale overføringer av personopplysninger alltid skjer i overensstemmelse med reglene, uansett hvilket tredjeland som er destinasjonen for overføringen.

Bedrifter bør derfor i alle tilfeller som minimum avklare en rekke spørsmål, da særlig:

  • Hvilke tredjeland overfører vi personopplysninger til?
  • Hvilke overføringsgrunnlag kan vi ta i bruk?
  • Har vi oppfylt opplysningsplikten vår?
  • Har vi et tilstrekkelig sikkerhetsnivå på plass?

Selv om personopplysningsreglene inneholder forskjellige overføringsgrunnlag vil valget av det rette grunnlaget avhenge av flere omstendigheter, som for eksempel hvorvidt det er snakk om et større konsern eller en gruppe av bedrifter som er en felles økonomisk aktivitet. Ytterligere kan det være snakk om særlige situasjoner hvor overføringen av personopplysninger kan foretas helt uten overføringsgrunnlag.

IUNO mener

At Storbritannia nå anses å ha et adekvat beskyttelsesnivå er gode nyheter for de fleste bedrifter, men understreker samtidig hvor høye krav EU-Kommisjonen stiller til tredjeland. Flere tredjeland er imidlertid på vei til listen, ettersom EU-Kommisjonen allerede har iverksatt den offisielle beslutningsprosedyren for Sør-Korea, samt er i dialog med de amerikanske myndighetene for å finne et alternativ for den tidligere Privacy Shield-ordningen.

IUNO anbefaler at bedrifter har faste prosedyrer på plass for å sikre at internasjonale overføringer av personopplysninger alltid skjer i overensstemmelse med reglene, og særlig husker at det utover etablering av et overføringsgrunnlag for ubeskyttede tredjestater også gjelder en opplysningsplikt overfor den opplysningene gjelder.

Les mere om hvordan IUNO kan hjelpe din virksomhet med å sikre compliance med personvernsforordningen her.

[EU-Kommisjonens adekvansbeslutning i forhold til personvernsforordningen av den 28. juni 2021]

At Storbritannia nå kan betraktes å ha et adekvat beskyttelsesnivå innebærer at overføring av personopplysninger nå kan flyte fritt på tvers av grensene. Når EU-Kommisjonen skal beslutte om en tredjestat kan anses å ha en et adekvat beskyttelsesnivå under personopplysningsreglene innebærer ikke dette kun en analyse av tredjestatens personopplysningsregler, men også landets grunnleggende rettsstatsprinsipper mm.

Hva angår Storbritannia har EU-Kommisjonen lagt vekt på at Storbritannia har implementert de samme prinsippene, rettighetene og kravene som fulgte av blant annet personvernsforordningen. EU-Kommisjonen vil heretter regelmessig gjennomgå avgjørelsen sin, som under alle omstendigheter automatisk utløper etter en fireårig periode hvis den ikke fornyes.

Har dere kontroll på deres internasjonale overføringer av personopplysninger?

Selv om Storbritannia nå har et adekvat beskyttelsesnivå anses de fleste andre tredjeland enten kun som «delvis beskyttet» eller «ubeskyttet». Bedrifter bør derfor ha helt klare prosedyrer på plass for å sikre at internasjonale overføringer av personopplysninger alltid skjer i overensstemmelse med reglene, uansett hvilket tredjeland som er destinasjonen for overføringen.

Bedrifter bør derfor i alle tilfeller som minimum avklare en rekke spørsmål, da særlig:

  • Hvilke tredjeland overfører vi personopplysninger til?
  • Hvilke overføringsgrunnlag kan vi ta i bruk?
  • Har vi oppfylt opplysningsplikten vår?
  • Har vi et tilstrekkelig sikkerhetsnivå på plass?

Selv om personopplysningsreglene inneholder forskjellige overføringsgrunnlag vil valget av det rette grunnlaget avhenge av flere omstendigheter, som for eksempel hvorvidt det er snakk om et større konsern eller en gruppe av bedrifter som er en felles økonomisk aktivitet. Ytterligere kan det være snakk om særlige situasjoner hvor overføringen av personopplysninger kan foretas helt uten overføringsgrunnlag.

IUNO mener

At Storbritannia nå anses å ha et adekvat beskyttelsesnivå er gode nyheter for de fleste bedrifter, men understreker samtidig hvor høye krav EU-Kommisjonen stiller til tredjeland. Flere tredjeland er imidlertid på vei til listen, ettersom EU-Kommisjonen allerede har iverksatt den offisielle beslutningsprosedyren for Sør-Korea, samt er i dialog med de amerikanske myndighetene for å finne et alternativ for den tidligere Privacy Shield-ordningen.

IUNO anbefaler at bedrifter har faste prosedyrer på plass for å sikre at internasjonale overføringer av personopplysninger alltid skjer i overensstemmelse med reglene, og særlig husker at det utover etablering av et overføringsgrunnlag for ubeskyttede tredjestater også gjelder en opplysningsplikt overfor den opplysningene gjelder.

Les mere om hvordan IUNO kan hjelpe din virksomhet med å sikre compliance med personvernsforordningen her.

[EU-Kommisjonens adekvansbeslutning i forhold til personvernsforordningen av den 28. juni 2021]

Motta nyhetsbrevet vårt

Anders

Etgen Reitz

Partner

Kirsten

Astrup

Advokat

Lignende

logo
Teknologi

31 mai 2022

Manglende informasjon til aksjonærer var brudd på personvernsreglene

logo
Teknologi

31 mars 2022

24/7 kameraovervåkning på arbeidsplassen var et brudd på personvernreglene

logo
Teknologi

9 september 2021

Manglende overholdelse av lagringsperioder resulterte i gebyr på EUR 1.75 millioner

logo
Teknologi

2 september 2021

Kan bedrifter "snoke" i tidligere medarbeideres e-post konto?

logo
Teknologi

11 mars 2021

logo
Teknologi

25 februar 2021

Laget

Anders

Etgen Reitz

Partner

Kirsten

Astrup

Advokat