Opdateringer på persondataområdet

– Brexit og ny standarddatabehandleraftale

Perioden omkring årsskiftet har budt flere spændende juridiske nyheder. På persondataområdet kan nævnes to essentielle opdateringer: Dels er Brexit nu en realitet, og dels har Datatilsynet udgivet en ny standarddatabehandleraftale, som der er en del fordele ved at bruge fremover.

I nedenstående tekst bliver du opdateret på, hvad din virksomhed bør tage med i betragtning i forbindelse med jeres arbejde med persondataretten i 2020.

Brexit

Den 29. januar stemte Europaparlamentet for at afslutte Storbritanniens medlemskab af EU. 2020 bliver et overgangsår, hvor EU-reglerne (herunder persondataforordningen) stadig gælder for Storbritannien til udgangen af året. Man bør dog allerede nu begynde at forberede sig på at håndtere Storbritanniens udtræden.

Datatilsynet har skrevet en nyhed om Brexit og overførsel af personoplysninger, som kan læses her: https://www.datatilsynet.dk/internationalt/brexit/

Denne opdatering indeholder elementer fra Datatilsynets meddelelse samt vores øvrige bemærkninger.

Kort fortalt

Persondataretten vil under hele 2020 være ”business as usual” og persondataforordningen, og den britiske Personal Data Act (PDA 2018) vil stadig gælde for behandlinger af persondata indenfor og til Storbritannien. Britiske Information Comissioners Office (ICO) vil ligeledes stadig være Storbritanniens tilsynsmyndighed på persondataområdet. Efter udløbet af 2020 har den Storbritanniske regering til hensigt at inkorporere i hovedsageligt tilsvarende bestemmelser som persondataforordningen i den nationale ret, der vil gælde ved siden af PDA 2018. Der forventes således ikke at ske de store ændringer til den grundlæggende britiske persondataret for så vidt angår principper, rettigheder og forpligtelser.

Det er dog endnu ikke kortlagt præcist, hvordan det britiske persondatalandskab kommer til at se ud efter overgangsperiodens udløb, og om der vil ske materielle ændringer i beskyttelsen undervejs i processen. ICO vil løbende udsende opdateringer vedrørende forhandlingsprocessen for at sikre, at britiske og internationale virksomheder er orienterede herom.

Storbritannien som tredje land i persondataforordningen

Efter overgangsperioden (fra 1. januar 2021) vil Storbritannien ikke længere være omfattet af EU-lovgivningen og således ikke være bundet af persondataforordningen. Persondataoverførsler fra EU til Storbritannien efter udgangen af året vil derfor udgøre overførsler til et tredjeland. Som en del af forhandlingerne mellem Storbritannien og EU vil det blive besluttet, om Storbritannien efter overgangsperioden vil få status som et sikkert tredjeland. Hvis dette ikke sker vil overførsler fra EU til Storbritannien efter Brexit udgøre overførsler til et usikkert tredjeland.

Persondataforordningen kræver, at overførsler til usikre tredjelande kun sker, hvis dataimportøren i det tredje land har stillet fornødne garantier, som f.eks. standardkontraktklausuler for databeskyttelse. Eftersom det er usikkert, om Storbritannien vil blive anset som et sikkert tredje land, bør man allerede nu forberede sig på, at det kan blive nødvendigt at afkræve f.eks. databehandlere fornødne garantier for at overførsler kan ske til Storbritannien fremadrettet. Man bør derfor skaffe sig et overblik over, hvorvidt man overfører persondata til Storbritannien, og hvilke data, der overføres, så man kan forberede sig på eventuelt at skulle genforhandle eller få nye databehandleraftaler på plads med de britiske virksomheder, for at kunne fortsætte overførslen efter overgangsperioden.

Hvad bør virksomhederne gøre på nuværende tidspunkt?

 ● Som et første skridt bør man undersøge og mappe, hvornår man overfører persondata internt eller eksternt til Storbritannien. Det gør man nemmest ved at gennemgå sine databehandleraftaler og holde for øje, om en databehandler eller en underdatabehandler har sæde i Storbritannien eller at selve behandlingen geografisk er placeret indenfor Storbritanniens grænser.

● Man bør mappe, i hvilken kontekst personoplysningerne overføres – sker overførslen til en dataansvarlig, databehandler eller underdatabehandler, og er overførslen koncernintern?

● Man bør endvidere vurdere, hvilket overførselsgrundlag man vil benytte sig af, hvis Storbritannien ikke får status som et sikkert tredjeland og således bliver et usikkert tredjeland i henhold til persondataforordningen. I det tilfælde skal den britiske virksomhed kunne stille fornødne garantier, f.eks. i form af bindende virksomhedsregler eller standardkontraktklausuler.

● Man skal forberede det valgte overførselsgrundlag således at det er parat til implementering ved udløbet af året. Ved indgåelse af nye databehandleraftaler, hvor behandling vil ske i Storbritannien, kan man allerede nu tage højde for dette ved f.eks. at indføre bestemmelser om overførsler til usikre tredjelande og inkludere standardkontraktsklausuler, således at aftalen kan bruges uforandret efter årsskiftet. Eksisterende aftaler skal revideres eller indgås på ny efter overgangsperioden.

● Afslutningsvist bør man opdatere relevant intern og ekstern kommunikation i forhold til at man fremover overfører personoplysninger til Storbritannien som tredjeland.

Datatilsynets nye standarddatabehandleraftale

Datatilsynet offentliggjorte i december måned en ny standarddatabehandleraftale. Den nye standardaftale er – til forskel fra den tidligere skabelon – godkendt som standardbestemmelser” iht. persondataforordningen. Det betyder, at den er juridisk bindende for Datatilsynet. I praksis medfører dette, at Datatilsynet ikke vil føre tilsyn med selve databehandleraftalen, hvis man benytter sig af deres nye standardaftale, men blot lægge til grund, at den pågældende aftale er compliant. Man vil altså kunne spare en del administration i forbindelse med forhandlinger af nye databehandleraftaler, tilsynsbesøg m.v. ved at benytte den nye standardaftale. For eksempel bør man herefter kunne nøjes med at forhandle fravigelser fra standarden fremfor hele databehandleraftaler.

Der er derfor meget der taler for, at man fremover så vidt det overhovedet er muligt, bør benytte sig af Datatilsynets nye standardaftale frem for sin egen eller databehandleres mere eller mindre hjemmelavede standarder. Har man visse særlige forhold man gerne vil have reguleret, hvorved der er behov for at fravige standarden, gøres dette i et tillæg – på samme måde som man gør, såfremt man ønsker at benytte sig af standardbestemmelserne om overførsel af persondata til tredjelande.

Det skal understreges, at det ikke er et krav at man fremover benytter Datatilsynets standardaftale eller at man opdaterer ’gamle’ databehandleraftaler, forudsat de er compliant. Man kan derfor fortsat godt anvende andre formater, så længe de overholder persondataforordningens bestemmelser. Vi opfatter det imidlertid som en stor fordel, at tilsynet vil lægge compliance til grund ved brug af deres nye standard. På sigt vil vi derfor også foreslå, at man sørger for at eksisterende databehandleraftaler udskiftes ed nye, der er baseret på standardaftalen. Dette kan dog ske som led i den løbende udvikling af de forskellige aftaleforhold.

I finder den nye standardaftale i dansk og engelsk version her (se under afsnittet ”Skabeloner”): https://www.datatilsynet.dk/generelt-om-databeskyttelse/vejledninger/

Datatilsynet har fået ny adresse

Datatilsynet er flyttet til Carl Jacobsens Vej 35, 2500 Valby d. 3. februar 2020. Det har ikke den store praktiske betydning, men man bør i anledning heraf huske f.eks. at opdatere dokumenter vedrørende oplysningspligt og privatlivspolitikker m.v. med den nye adresse i forbindelse med klagevejledning.

Hvis I har spørgsmål til ovenstående eller til persondataret i øvrigt, skal I være meget velkomne til at kontakte os.