floor.jpg

GDPR – Japan er nu et sikkert tredjeland at overføre personoplysninger til

Skrevet af partner Hans Abildstrøm og advokatfuldmægtig Aleksander B. Abildgaard

Baggrund

Persondataforordningen ("GDPR") begrænser muligheden for at overføre ​​personoplysninger fra EU til lande uden for EU. Sådanne overførsler er kun tilladt under bestemte omstændigheder. En sådan omstændighed er i tilfælde, hvor Europa-Kommissionen har truffet afgørelse om, at modtagerlandet sikrer en passende beskyttelse af sådanne personoplysninger. I GDPR-termer kaldes dette en "afgørelse om tilstrækkelighed". En afgørelse om tilstrækkelighed gør det muligt at eksportere personoplysninger fra EU uden nødvendigvis at indsamle et udtrykkeligt samtykke fra de registrerede personer og uden at indføre specifikke sikkerhedsforanstaltninger (f.eks. standardbestemmelser om databeskyttelse vedtaget af Europa-Kommissionen eller bindende virksomhedsregler).

Europa-Kommissionen har tidligere, efter det dagældende Persondatadirektiv, truffet tolv afgørelser om tilstrækkelighed, som anerkendte det beskyttelsesniveau, der tilbydes i visse ikke-EU-stater, herunder Schweiz, New Zealand og USA (sidstnævnte, dog kun for organisationer tilknyttet Privacy Shield-aftalen).

Gensidig anerkendelse

I sidste uge blev der taget et nyt skridt i forenklingen af overførsel af personoplysninger mellem EU og resten af verden. Europa-Kommissionen vedtog en tilstrækkelighedsafgørelse angående overførsel af personoplysninger til Japan, mens Japan vedtog en tilsvarende afgørelse.

Den gensidige anerkendelse har, sammen med den frihandelsaftale mellem EU og Japan, der træder i kraft i næste måned, til formål at styrke handelsforbindelserne mellem EU og Japan yderligere og bygger på en fælleserklæring fra juli 2017.

Imødekommelse af sikkerhedsstandarder

Japan har truffet en række foranstaltninger for at sikre, at dets lovgivning opfylder en tilstrækkelig standard for personoplysninger modtaget fra EU. Særligt har Japan:

  • implementeret supplerende regler, der kun gælder for personoplysninger, der overføres fra EU for at imødekomme forskellene i forhold til bestemmelserne i GDPR, herunder i forbindelse med beskyttelse af følsomme data, de registreredes rettigheder og reglerne om videreoverførsel af personoplysningerne;
  • givet forsikringer om, at kun nødvendig og proportionel adgang til personoplysninger fra EU vil være tilladt for strafferetlig håndhævelse og nationale sikkerhedsformål og
  • indført et klagehåndteringssystem til undersøgelse og håndtering af klager fra de registrerede fra EU angående adgang for japanske offentlige myndigheder til deres personoplysninger.

Brexit

Storbritannien er som EU-medlemsstat indtil videre underlagt og kan drage nytte af den gensidige anerkendelse mellem EU og Japan. Dette kan ændre sig grundet Storbritanniens forestående udtræden fra Unionen. Den britiske regering har imidlertid foreslået en lovgivning, der ville betyde, at alle de tilstrækkelighedsafgørelser, der på nuværende tidspunkt er gældende, og alle dem, der er vedtaget indtil Brexit, forbliver gældende i Storbritannien efter Brexit. Dette ville betyde, at dataoverførsler til Japan fra Storbritannien efter Brexit stadig ville være baseret på den nye gensidige anerkendelse, selv om dette fortsat kan ændres forud for eller i den efterfølgende udtræden. Der er ingen garanti for, at Japans tilstrækkelighedsafgørelse vil omfatte Storbritannien efter Brexit.

Kommentar

EU's og Japans gensidige anerkendelse vil forenkle de foranstaltninger og den dokumentation, der kræves for overførsel af personoplysninger mellem EU og Japan, selv om EU-baserede organisationer stadig skal sikre, at der indgås passende databehandlingsaftaler med modtagerne i Japan. De, der ønsker at drage fordel af EU's og Japans gensidige anerkendelse bør være opmærksomme på, at GDPR kræver, at Europa-Kommissionen løbende overvåger ordningen og kan, om nødvendigt, træffe beslutning om tilbagetrækning af anerkendelsen.