Storbritannia har nå et "adekvat beskyttelsesnivå" for overføring av personopplysninger
Europa-Kommisjonen har nå vedtatt at Storbritannia har et adekvat beskyttelsesnivå for overføring av personopplysninger. Dette betyr at bedrifter fritt kan overføre personopplysninger til Storbritannia. I dette nyhetsbrevet ser vi nærmere på hva bedrifter skal være oppmerksomme på i forbindelse med internasjonale overføringer av personopplysninger, uavhengig av om overføring skjer til en tredjestat med adekvat beskyttelsesnivå eller ei.
At Storbritannia nå kan betraktes å ha et adekvat beskyttelsesnivå innebærer at overføring av personopplysninger nå kan flyte fritt på tvers av grensene. Når EU-Kommisjonen skal beslutte om en tredjestat kan anses å ha en et adekvat beskyttelsesnivå under personopplysningsreglene innebærer ikke dette kun en analyse av tredjestatens personopplysningsregler, men også landets grunnleggende rettsstatsprinsipper mm.
Hva angår Storbritannia har EU-Kommisjonen lagt vekt på at Storbritannia har implementert de samme prinsippene, rettighetene og kravene som fulgte av blant annet personvernsforordningen. EU-Kommisjonen vil heretter regelmessig gjennomgå avgjørelsen sin, som under alle omstendigheter automatisk utløper etter en fireårig periode hvis den ikke fornyes.
Har dere kontroll på deres internasjonale overføringer av personopplysninger?
Selv om Storbritannia nå har et adekvat beskyttelsesnivå anses de fleste andre tredjeland enten kun som «delvis beskyttet» eller «ubeskyttet». Bedrifter bør derfor ha helt klare prosedyrer på plass for å sikre at internasjonale overføringer av personopplysninger alltid skjer i overensstemmelse med reglene, uansett hvilket tredjeland som er destinasjonen for overføringen.
Bedrifter bør derfor i alle tilfeller som minimum avklare en rekke spørsmål, da særlig:
- Hvilke tredjeland overfører vi personopplysninger til?
- Hvilke overføringsgrunnlag kan vi ta i bruk?
- Har vi oppfylt opplysningsplikten vår?
- Har vi et tilstrekkelig sikkerhetsnivå på plass?
Selv om personopplysningsreglene inneholder forskjellige overføringsgrunnlag vil valget av det rette grunnlaget avhenge av flere omstendigheter, som for eksempel hvorvidt det er snakk om et større konsern eller en gruppe av bedrifter som er en felles økonomisk aktivitet. Ytterligere kan det være snakk om særlige situasjoner hvor overføringen av personopplysninger kan foretas helt uten overføringsgrunnlag.
IUNO mener
At Storbritannia nå anses å ha et adekvat beskyttelsesnivå er gode nyheter for de fleste bedrifter, men understreker samtidig hvor høye krav EU-Kommisjonen stiller til tredjeland. Flere tredjeland er imidlertid på vei til listen, ettersom EU-Kommisjonen allerede har iverksatt den offisielle beslutningsprosedyren for Sør-Korea, samt er i dialog med de amerikanske myndighetene for å finne et alternativ for den tidligere Privacy Shield-ordningen.
IUNO anbefaler at bedrifter har faste prosedyrer på plass for å sikre at internasjonale overføringer av personopplysninger alltid skjer i overensstemmelse med reglene, og særlig husker at det utover etablering av et overføringsgrunnlag for ubeskyttede tredjestater også gjelder en opplysningsplikt overfor den opplysningene gjelder.
Les mere om hvordan IUNO kan hjelpe din virksomhet med å sikre compliance med personvernsforordningen her.
[EU-Kommisjonens adekvansbeslutning i forhold til personvernsforordningen av den 28. juni 2021]
At Storbritannia nå kan betraktes å ha et adekvat beskyttelsesnivå innebærer at overføring av personopplysninger nå kan flyte fritt på tvers av grensene. Når EU-Kommisjonen skal beslutte om en tredjestat kan anses å ha en et adekvat beskyttelsesnivå under personopplysningsreglene innebærer ikke dette kun en analyse av tredjestatens personopplysningsregler, men også landets grunnleggende rettsstatsprinsipper mm.
Hva angår Storbritannia har EU-Kommisjonen lagt vekt på at Storbritannia har implementert de samme prinsippene, rettighetene og kravene som fulgte av blant annet personvernsforordningen. EU-Kommisjonen vil heretter regelmessig gjennomgå avgjørelsen sin, som under alle omstendigheter automatisk utløper etter en fireårig periode hvis den ikke fornyes.
Har dere kontroll på deres internasjonale overføringer av personopplysninger?
Selv om Storbritannia nå har et adekvat beskyttelsesnivå anses de fleste andre tredjeland enten kun som «delvis beskyttet» eller «ubeskyttet». Bedrifter bør derfor ha helt klare prosedyrer på plass for å sikre at internasjonale overføringer av personopplysninger alltid skjer i overensstemmelse med reglene, uansett hvilket tredjeland som er destinasjonen for overføringen.
Bedrifter bør derfor i alle tilfeller som minimum avklare en rekke spørsmål, da særlig:
- Hvilke tredjeland overfører vi personopplysninger til?
- Hvilke overføringsgrunnlag kan vi ta i bruk?
- Har vi oppfylt opplysningsplikten vår?
- Har vi et tilstrekkelig sikkerhetsnivå på plass?
Selv om personopplysningsreglene inneholder forskjellige overføringsgrunnlag vil valget av det rette grunnlaget avhenge av flere omstendigheter, som for eksempel hvorvidt det er snakk om et større konsern eller en gruppe av bedrifter som er en felles økonomisk aktivitet. Ytterligere kan det være snakk om særlige situasjoner hvor overføringen av personopplysninger kan foretas helt uten overføringsgrunnlag.
IUNO mener
At Storbritannia nå anses å ha et adekvat beskyttelsesnivå er gode nyheter for de fleste bedrifter, men understreker samtidig hvor høye krav EU-Kommisjonen stiller til tredjeland. Flere tredjeland er imidlertid på vei til listen, ettersom EU-Kommisjonen allerede har iverksatt den offisielle beslutningsprosedyren for Sør-Korea, samt er i dialog med de amerikanske myndighetene for å finne et alternativ for den tidligere Privacy Shield-ordningen.
IUNO anbefaler at bedrifter har faste prosedyrer på plass for å sikre at internasjonale overføringer av personopplysninger alltid skjer i overensstemmelse med reglene, og særlig husker at det utover etablering av et overføringsgrunnlag for ubeskyttede tredjestater også gjelder en opplysningsplikt overfor den opplysningene gjelder.
Les mere om hvordan IUNO kan hjelpe din virksomhet med å sikre compliance med personvernsforordningen her.
[EU-Kommisjonens adekvansbeslutning i forhold til personvernsforordningen av den 28. juni 2021]
Motta nyhetsbrevet vårt
