kom (2019) 0195 - Ingen titel

Europaudvalget 2019
KOM (2019) 0195
Offentligt

EUROPA-

KOMMISSIONEN

Bruxelles, den 10.4.2019

COM(2019) 195 final

ANNEX 6

BILAG

til

MEDDELELSE FRA KOMMISSIONEN TIL EUROPA-PARLAMENTET, DET

EUROPÆISKE RÅD, RÅDET, DEN EUROPÆISKE CENTRALBANK, DET

EUROPÆISKE ØKONOMISKE OG SOCIALE UDVALG, REGIONSUDVALGET

OG DEN EUROPÆISKE INVESTERINGSBANK

Imødegåelse af virkningerne af Det Forenede Kongeriges udtræden af Unionen uden en

aftale: Unionens koordinerede tilgang

Databeskyttelse:

En koordineret tilgang i tilfælde af Det Forenede Kongeriges udtræden af Unionen uden

en aftale

kom (2019) 0195 - Ingen titel

NDLEDNING

Den 29. marts 2017 meddelte Det Forenede Kongerige sin beslutning om at udtræde af

Unionen. Kommissionen mener fortsat, at det vil være den bedste løsning, hvis Det

Forenede Kongeriges udtræden af Unionen sker på velordnet vis på grundlag af den

udtrædelsesaftale, der er opnået enighed om med Det Forenede Kongeriges regering, og

som Det Europæiske Råd (artikel 50) godkendte den 25. november 2018. Kommissionen

koncentrerer fortsat sin indsats om at nå dette mål. Imidlertid er der nu, to dage før fristen

den 12. april 2019, som forlænget af Det Europæiske Råd

, en betydelig større

sandsynlighed for, at Det Forenede Kongeriges udtræden af Unionen ikke bliver

velordnet.

VERFØRSEL AF DATA TIL

ORENEDE

ONGERIGE I TILFÆLDE AF LANDETS

UDTRÆDEN UDEN AFTALE

Unionen har et omfattende sæt regler, der regulerer overførslen af persondata til

tredjelande, og det er disse regler, der vil finde anvendelse på dataoverførsler til Det

Forenede Kongerige, hvis landet træder ud uden aftale. Reglerne omfatter navnlig den

generelle forordning om databeskyttelse (GDPR)

og direktivet om databeskyttelse på

retshåndhævelsesområdet

. Denne del af meddelelsen omhandler navnlig reglerne i

databeskyttelsesforordningen.

Som anført i Kommissionens meddelelse om forberedelserne til Brexit af 13. november

2018 mener Kommissionen, at de eksisterende redskaber til udveksling af data er

tilstrækkelige til at tage højde for de umiddelbare behov for dataoverførsel til Det

Forenede Kongerige i et scenario uden en aftale. Disse redskaber anvendes allerede til

overførsel af data til alle lande i verden med undtagelse af de tretten tredjelande eller

territorier, der (delvist) er omfattet af en afgørelse om, hvorvidt beskyttelsesniveauet er

tilstrækkeligt

. Kommissionen har i lyset heraf ikke vedtaget en beredskabsforanstaltning

på dette område og agter ikke på nuværende tidspunkt at vedtage en afgørelse om,

hvorvidt beskyttelsesniveauet er tilstrækkeligt med hensyn til Det Forenede Kongerige.

Bestemmelserne i kapitel V i den generelle forordning om databeskyttelse indeholder en

lang række redskaber, som både private enheder og offentlige myndigheder kan anvende

i forbindelse med overførsel af data til tredjelande, såsom:

Det Europæiske Råds afgørelse (EU) 2019/476 truffet efter aftale med Det Forenede Kongerige af 22.

marts 2019 om forlængelse af fristen i henhold til artikel 50, stk. 3, i TEU (EUT L 80I af 22.3.2019, s.

1).

Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske

personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne

oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT L

119 af 4.5.2016, s. 1).

Europa-Parlamentets og Rådets direktiv (EU) 2016/680 af 27. april 2016 om beskyttelse af fysiske

personer i forbindelse med kompetente myndigheders behandling af personoplysninger med henblik på

at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige

sanktioner og om fri udveksling af sådanne oplysninger og om ophævelse af Rådets rammeafgørelse

2008/977/RIA (EUT L 119 af 4.5.2016, s. 89).

Der er tale om følgende territorier Andorra, Argentina, Canada (kun kommercielle organisationer),

Færøerne, Guernsey, Israel, Isle of Man, Japan, Jersey, New Zealand, Schweiz, Uruguay og USA

(begrænset til ordningen for værnet om privatlivets fred ).

kom (2019) 0195 - Ingen titel



Standardkontraktbestemmelser:

Kommissionen har godkendt tre sæt

standardkontraktbestemmelser, som virksomhederne kan benytte direkte ved

overførsel af data til tredjelande. Disse standardbestemmelser findes på

Kommissionens websted



Bindende virksomhedsregler:

Der kan inden for en koncern anvendes juridisk

bindende databeskyttelsesregler, der er godkendt af den kompetente

databeskyttelsesmyndighed.



Adfærdskodekser og certificeringsmekanismer:

Disse redskaber kan give passende

garantier for overførsel af persondata, hvis de indeholder bindende forpligtelser, der

kan håndhæves af organisationen i tredjelandet, herunder for så vidt angår

enkeltpersoners rettigheder.



Undtagelser,

dvs. "lovfæstede betingelser" for overførsler, som f.eks. samtykke,

opfyldelse af en kontrakt, fremførelse af retskrav eller vigtige samfundsinteresser (se

afsnit 3 for yderligere oplysninger om undtagelser).

Der findes yderligere oplysninger i meddelelsen om brexitforberedelser vedrørende

databeskyttelse

og Det Europæiske Databeskyttelsesråds informationsnotat om

dataoverførsler i henhold til den generelle forordning om databeskyttelse i tilfælde af

Brexit uden aftale

RAKTISKE

SKRIDT

SOM

DATAEKSPORTØRER

(

VIRKSOMHEDER OG

MYNDIGHEDER

)

SKAL TAGE FOR AT SIKRE FORTSAT OVERHOLDELSE AF

EU-

REGLERNE

Dataeksportører bør anvende de redskaber, som de i hvert enkelt tilfælde finder mest

egnede til den pågældende overførsel af data til Det Forenede Kongerige.

Før de overfører data til Det Forenede Kongerige, bør de:

1. identificere de behandlingsaktiviteter, der indebærer overførsel af persondata til Det

Forenede Kongerige

2. fastlægge, hvilket dataoverførselsinstrument der egner sig i det pågældende tilfælde

3. gennemføre det valgte dataoverførselsinstrument med henblik på at være klar til

udtrædelsesdatoen

4. anføre i den interne dokumentation, at der foretages overførsler til Det Forenede

Kongerige og

5. hvis det er relevant, ajourføre erklæringen om beskyttelse af personoplysninger i

overensstemmelse hermed for at informere enkeltpersoner.

https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/model-contracts-

transfer-personal-data-third-countries_en

https://ec.europa.eu/info/sites/info/files/file_import/data_protection_da.pdf

https://edpb.europa.eu/our-work-tools/our-documents/other/information-note-data-transfers-under-

gdpr-event-no-deal-brexit_en

kom (2019) 0195 - Ingen titel

Dataoverførsler på grundlag af undtagelser

Hvad angår dataoverførsler til Det Forenede Kongerige, der er baseret på undtagelser

bør de dataansvarlige være opmærksomme på, at disse undtagelser reelt er undtagelser

fra reglen om at skulle indføre passende sikkerhedsforanstaltninger. De skal derfor

fortolkes restriktivt og vedrører hovedsagelig lejlighedsvise overførsler og overførsler,

der ikke gentages.

Disse undtagelser omfatter bl.a. følgende situationer:



hvis en person udtrykkeligt har givet sit samtykke til den foreslåede overførsel efter at

have modtaget alle nødvendige oplysninger om de risici, der er forbundet med

overførslen



hvis overførslen er nødvendig af hensyn til opfyldelsen eller indgåelsen af en kontrakt

mellem den registrerede og den dataansvarlige, eller hvis kontrakten er indgået i den

pågældende persons interesse



hvis dataoverførslen er nødvendig af hensyn til vigtige samfundsinteresser: Et

eksempel på dataoverførsler, der er nødvendige af hensyn til vigtige

samfundsinteresser, kan være internationale udvekslinger af oplysninger mellem

tjenester, der ansvarlige for socialsikringsspørgsmål



hvis dataoverførslen er nødvendig af hensyn til organisationens vægtige legitime

interesser, der går forud for den registreredes interesser. Når organisationen påberåber

sig denne undtagelse, skal den give passende garantier med hensyn til beskyttelse af

persondata.

Yderligere vejledning og forklaringer vedrørende undtagelser og hvordan de anvendes,

findes i Det Europæiske Databeskyttelsesråds retningslinjer om undtagelser i henhold til

artikel 49

Redskaber, der udelukkende er til rådighed for offentlige myndigheder eller organer

Medlemsstaternes myndigheder kan også anvende ikke-juridisk bindende administrative

ordninger, f.eks. aftalememoranda

. Sådanne administrative ordninger kræver tilladelse

fra den kompetente nationale databeskyttelsesmyndighed efter udtalelse fra Det

Europæiske Databeskyttelsesråd.

I henhold til direktivet om databeskyttelse på retshåndhævelsesområdet kan de

strafferetlige myndigheder (f.eks. politiet eller anklagemyndigheden) overføre persondata

I henhold til artikel 49 i den generelle forordning om databeskyttelse.

Betragtning 112 i den generelle forordning om databeskyttelse.

https://edpb.europa.eu/our-work-tools/our-documents/nasoki/guidelines-22018-derogations-article-49-

under-regulation-2016679_da

Artikel 46, stk. 3, litra b), i den generelle forordning om databeskyttelse. Et nyligt eksempel på en sådan

ordning, som har fået en positiv udtalelse fra Det Europæiske Databeskyttelsesråd, er den

administrative ordning for overførsel af persondata mellem de finansielle tilsynsmyndigheder i Det

Europæiske Økonomiske Samarbejdsområde (EØS) og de finansielle tilsynsmyndigheder i ikke-EØS-

lande. Teksten til ordningen findes på Det Europæiske Databeskyttelsesråds websted:

https://edpb.europa.eu/our-work-tools/our-documents/other/draft-administrative-arrangement-transfer-

personal-data-between_en

kom (2019) 0195 - Ingen titel

til myndighederne i Det Forenede Kongerige, hvis de på grundlag af deres egen

vurdering af omstændighederne omkring overførslen konkluderer, at der findes passende

databeskyttelsesgarantier

. Både Europol-forordningen

og direktivet om

passagerlisteoplysninger

indeholder specifikke bestemmelser om overførsel af

persondata til tredjelandes myndigheder fra henholdsvis Europol og medlemsstaternes

ansvarlige myndigheder.

Erhvervsdrivendes overførsel af data til Det Forenede Kongerige

De redskaber, der er til rådighed for private virksomheders overførsel af data til

tredjelande, burde være velkendte for de erhvervsdrivende i medlemsstaterne og i Det

Forenede Kongerige, eftersom de allerede anvendes til overførsel af persondata til

tredjelande. De berørte parter har også for nylig modtaget oplysninger om anvendelsen af

disse overførselsredskaber i forbindelse med, at den nye databeskyttelseslovgivning blev

taget i anvendelse i maj 2018. Medlemsstaterne tilskyndes imidlertid til at sikre, at

virksomheder, der ikke er fortrolige med dataoverførsler til tredjelande, f.eks. små og

mellemstore virksomheder, der tidligere kun har været i kontakt med medlemsstaterne,

gøres opmærksomme på disse redskaber.

Fortsat støtte til medlemsstaterne

Kommissionen, navnlig Generaldirektoratet for Retlige Anliggender og Forbrugere,

arbejder sammen med interessenterne og databeskyttelsesmyndighederne for at gøre

bedst mulig brug af overførselsredskaberne i den generelle forordning om

databeskyttelse, og den er parat til at støtte medlemsstaterne i anvendelsen af de

tilgængelige redskaber. Kommissionen har desuden nedsat en aktørekspertgruppe med

repræsentanter for industrien, civilsamfundet og akademikere for at støtte anvendelsen af

den generelle forordning om databeskyttelse. Endelig kan de interesserede parter

henvende sig til deres nationale databeskyttelsesmyndigheder for at få mere specifikke

oplysninger om brugen af dataoverførselsredskaberne.

DERLIGERE OPLYSNINGER

Offentlige myndigheder og interessenter kan på Kommissionens websted finde yderligere

oplysninger om de virkninger, som Det Forenede Kongeriges udtræden uden en aftale får

for dataoverførsler:

https://ec.europa.eu/info/brexit/brexit-preparedness/preparedness-notices_da

Artikel 37, stk. 1, litra b), i direktiv (EU) 2016/680.

Artikel 25 i Europa-Parlamentets og Rådets forordning (EU) 2016/794 af 11. maj 2016 om Den

Europæiske Unions Agentur for Retshåndhævelsessamarbejde (Europol) (EUT L 135 af 24.5.2016, s.

53).

Artikel 11 i Europa-Parlamentets og Rådets direktiv (EU) 2016/681 af 27. april 2016 om anvendelse af

passagerlisteoplysninger (PNR-oplysninger) til at forebygge, opdage, efterforske og retsforfølge

terrorhandlinger og grov kriminalitet (EUT L 119 af 4.5.2016, s. 132).