Kap. 8 - Internationale Dataoverførsler Flashcards
Hvad er udgangspunktet for at kunne overføre oplysninger til et andet land?
At oplysningerne skal have en tilsvarende beskyttelse som i end hjemland.
I hvor høj grad skal landenes lovregulering ligne hinanden?
Først ville man stille krav om ækvivalens = helt de samme regler.
Det gør man dog ikke da det er imod andres landes suverænitet og vi har brug for at kunne overføre. Derfor er kravet blot et tilstrækkeligt beskyttelsesniveau.
Hvad er en overførsel?
Inden definition på “overførsel”
Men det er når persondata, der er omfattet af dansk ret, placeres et sted, hvor dansk ret ikke finder anvendelse.
En overførsel er en selvstændig form for behandling.
Når oplysningerne er kommet frem, så er der sket en overførsel.
Hvad kræves der før et land har et tilstrækkeligt beskyttelsesniveau?
Art. 45 = kommissionen skal have fastslået det.
Som minimum skal forordningens grundprincipper og fundamentale rettigheder være opfyldt i den udenlandske regulering.
Minimumskrav (særligt for offentlig sektor):
- Myndighedernes adgang og brug skal være baseret på klare, præcise og tilgængelige regler.
- Behandlingen skal være nødvendig og proportional.
- Der skal være en uafhængig tilsynsmyndighed.
- Der skal være effektive og tilgængelige retsmidler for de registrerede
Hvordan sondrer man mellem de utilstrækkelige lande?
- Dem der alligvel er godkendt af EU, fordi de alligevel er ok = må godt overføre til dem.
- Den rent utilstrækkelige = må ikke overføre til dem.
USA har sin egen kategori.
Hvad er hovedreglen for overførsler til andre EU-lande?
At staterne ikke må begrænse eller knytte betingelser til overførsel af personoplysninger inden for EU med henvisning til databeskyttelsesretlige hensyn, jf. Art. 1, stk. 3.
Hvad er tilstrækkelighedsnormen?
Tredjelandets regulering skal være i overensstemmelse med forordningens principper, behandlingsregler, rettigheder og give de registrerede mulighed for at få erstatning mm. i tilfælde af krænkelser.
Hvordan bliver et tredjeland vurderet til at være tilstrækkeligt?
Art. 70, stk. 1 = databeskyttelsesrådet fortager en vurdering af landet. En negativ vurdering vil i praksis blive lagt til grund af kommissionen.
Art. 45, stk. 3 = kommissionen kan bestemme at et tredjeland har et tilstrækkeligt niveau efter at det er konsulteret med art. 93-udvalget.
Hvad lægges der særligt vægt på, når man skal vurdere om et tredjeland lever op til tilstrækkelighedsnormen?
Kan landet finde på at reeksportere personoplysningerne og håndhæver de deres egne regler.
Derudover skal der være en tilsynsmyndighed. Det er ikke nok at man kan gå til domstolene ved krænkelser.
Hvad kan virksomheder i utilstrækkelige lande gøre, hvis de ønsker at der kan ske overførsel til deres virksomhed?
Man kan lave aftale om overførselsregler.
Art. 46-49.
- Overførslen beror på et generelt retligt grundlag (art. 46-47)
- Overførsler på et singulært grundlag (art. 49)
Hvad er en overførsel som beror på et generelt retlig grundlag?
To generelle grundlag:
- art. 46 = Overførsel inden for en kontrakt
- art. 47 = overførsel inden for bindende virksomhedsregler (BVR)
De har begge det til fælles, at den registrerede anses for at være børn begunstigede tredjepart = kan gå til domstolene, voldgift, lave erstatningsgrundlag osv.
Hvad er BVR
Bindende virksomhedsregler.
Når en overførsel beror på et generelt retligt grundlag. Art. 47.
Skal være angivet et europæisk hovedstad hvor krav kan gøres gældende.
Er bindende for virksomheden - medarbejdere skal uddannes.
BVR’en godkendes af det datatilsyn, der fungerer i det land, hvor koncernen har Skt hovedkvarter.
Hvad er en overførsel på et singulært grundlag?
- Undtagelser i særlige situationer (f.eks. samtykke fra registrerede)
- kun dataeksportør som er underlagt regler.
- registrerede skal vide hvortil eksporten sker og hvilken risiko der er (ved afgivelse af samtykke) Samtykke kan ikke bruges i den offentlige sektor
- dataeksporten er begrundet i en kontrakt (eksportmuligheden behøver ikke fremgår direkte af kontrakten, f.eks. en flybillet)
- hvis nødvendigt pga. Vigtig samfundsinteresse eller pga. Et retskrav, dog kun i forhold til national, EU- eller international ret.
USA har fået en særlig ordning i forhold til overførsler.
Hvorfor er USA så vigtig?
Det vigtigste land i det internationale informationssamfund og der er retskulturelle forskelle på hvordan databeskyttelse skal forstås.
Og pga. det vigtige handelssamarbejdet USA og EU har.
Hvad handlede Safe Harbor-modellen om?
UP i selvregulering.
Opstilles nogle principper og regler for databeskyttelse som virksomheden i USA kan vælge at tilslutte sig. Hvis virksomheden tilslutter sig, så anses den for en sikker havn for den registrerede og opfylder dermed tilstrækkelighedskravet.
Krav:
- privacy policy i virksomheden eller deltager i selvcertificeringsprogram som Trust.e.
- forpligtet til at give information til den registrerede hver gang indsamling af oplysninger.
- registrerede har indsigelsesret hvis brugt til andre formål eller er videregivet
- hvis følsomme data skal der være samtykke
- skal sikre datakvalitet og datasikkerhed og give indsigt.
- hvis reeksportere skal man være sikker på at den virksomhed overholder reglerne.