Personvern og behandling av persondata i forbindelse med kriminalitet: gjennomføringsbestemmelser om datautveksling med Storbritannia
Kommisjonens gjennomføringsbeslutning (EU) 2021/1773 av 28. juni 2021 i henhold til europaparlaments- og rådsforordning (EU) 2016/680 om tilstrekkelig beskyttelse av personopplysninger i Det forente kongeriket
Commission Implementing Decision (EU) 2021/1773 of 28 June 2021 pursuant to Directive (EU) 2016/680 of the European Parliament and of the Council on the adequate protection of personal data by the United Kingdom
Avtalegrunnlag
Schengen-avtalen
Kommisjonsbeslutning publisert i EU-tidende 11.10.2021
Nærmere omtale
BAKGRUNN (fra kommisjonsbeslutningen, dansk utgave)
INDLEDNING
(1) I Europa-Parlamentets og Rådets direktiv (EU) 2016/680 fastsættes regler for overførsel af personoplysninger fra kompetente myndigheder i Unionen til tredjelande og internationale organisationer, i det omfang sådanne overførsler falder ind under dets anvendelsesområde. Reglerne om kompetente myndigheders internationale overførsler af oplysninger er fastsat i kapitel V i direktiv (EU) 2016/680, nærmere bestemt i artikel 35-40. Selv om strømmen af personoplysninger til og fra lande uden for Den Europæiske Union er afgørende for et effektivt retshåndhævelsessamarbejde, skal det sikres, at beskyttelsesniveauet for personoplysninger i Den Europæiske Union ikke undermineres af sådanne overførsler.
(2) I henhold til artikel 36, stk. 3, i direktiv (EU) 2016/680 kan Kommissionen i form af en gennemførelsesretsakt beslutte, at et tredjeland, et område eller en eller flere specifikke sektorer i et tredjeland eller en international organisation har et tilstrækkeligt beskyttelsesniveau. På denne betingelse kan overførsler af personoplysninger til et tredjeland finde sted uden yderligere tilladelse (bortset fra tilfælde, hvor en anden medlemsstat, hvorfra oplysningerne er indsamlet, skal give sin tilladelse til overførslen), jf. artikel 35, stk. 1, og betragtning 66 i direktiv (EU) 2016/680.
(3) Som anført i artikel 36, stk. 2, i direktiv (EU) 2016/680 skal vedtagelsen af en afgørelse om beskyttelsesniveauets tilstrækkelighed baseres på en omfattende analyse af tredjelandets retsorden. I sin vurdering skal Kommissionen afgøre, om det pågældende tredjeland giver garantier, der sikrer et beskyttelsesniveau, som »i det væsentlige svarer til« det, der sikres i Den Europæiske Union (betragtning 67 i direktiv (EU) 2016/680). Den standard, som den »væsentlige ækvivalens« vurderes i forhold til, er den, der er fastsat i EU-lovgivningen, navnlig direktiv (EU) 2016/680, samt Den Europæiske Unions Domstols retspraksis. Det Europæiske Databeskyttelsesråds reference vedrørende et tilstrækkeligt beskyttelsesniveau er også af betydning i denne henseende.
(4) Som Den Europæiske Unions Domstol har præciseret, kræves der ikke et identisk beskyttelsesniveau. Det betyder navnlig, at de midler, som tredjelandet anvender til at beskytte personoplysninger, kan være forskellige fra de midler, som anvendes inden for Den Europæiske Union, så længe de i praksis viser sig at være effektive med henblik på at sikre et tilstrækkeligt beskyttelsesniveau. Standarden for tilstrækkelighed er derfor ikke, at EU-reglerne kopieres punkt for punkt. Testen består snarere i, om det udenlandske system som helhed på grundlag af indholdet af rettigheder vedrørende privatlivets fred og gennem effektiv gennemførelse, overvågning og håndhævelse heraf sikrer det krævede beskyttelsesniveau.
(5) Kommissionen har nøje analyseret den relevante lovgivning og praksis i Det Forenede Kongerige (UK). På grundlag af nedenstående konklusioner konstaterer Kommissionen, at Det Forenede Kongerige sikrer et tilstrækkeligt beskyttelsesniveau for personoplysninger, der overføres af kompetente myndigheder i Unionen og er omfattet af direktiv (EU) 2016/680, til kompetente myndigheder i Det Forenede Kongerige, der er omfattet af Part 3 i Data Protection Act 2018 (DPA 2018) (lov om databeskyttelse af 2018).
(6) Det fastsættes ved denne afgørelse, at sådanne overførsler kan finde sted for en periode på fire år, uden at der behøves yderligere tilladelser med forbehold af en eventuel forlængelse, jf. dog betingelserne i artikel 35 i direktiv (EU) 2016/680.
INDLEDNING
(1) I Europa-Parlamentets og Rådets direktiv (EU) 2016/680 fastsættes regler for overførsel af personoplysninger fra kompetente myndigheder i Unionen til tredjelande og internationale organisationer, i det omfang sådanne overførsler falder ind under dets anvendelsesområde. Reglerne om kompetente myndigheders internationale overførsler af oplysninger er fastsat i kapitel V i direktiv (EU) 2016/680, nærmere bestemt i artikel 35-40. Selv om strømmen af personoplysninger til og fra lande uden for Den Europæiske Union er afgørende for et effektivt retshåndhævelsessamarbejde, skal det sikres, at beskyttelsesniveauet for personoplysninger i Den Europæiske Union ikke undermineres af sådanne overførsler.
(2) I henhold til artikel 36, stk. 3, i direktiv (EU) 2016/680 kan Kommissionen i form af en gennemførelsesretsakt beslutte, at et tredjeland, et område eller en eller flere specifikke sektorer i et tredjeland eller en international organisation har et tilstrækkeligt beskyttelsesniveau. På denne betingelse kan overførsler af personoplysninger til et tredjeland finde sted uden yderligere tilladelse (bortset fra tilfælde, hvor en anden medlemsstat, hvorfra oplysningerne er indsamlet, skal give sin tilladelse til overførslen), jf. artikel 35, stk. 1, og betragtning 66 i direktiv (EU) 2016/680.
(3) Som anført i artikel 36, stk. 2, i direktiv (EU) 2016/680 skal vedtagelsen af en afgørelse om beskyttelsesniveauets tilstrækkelighed baseres på en omfattende analyse af tredjelandets retsorden. I sin vurdering skal Kommissionen afgøre, om det pågældende tredjeland giver garantier, der sikrer et beskyttelsesniveau, som »i det væsentlige svarer til« det, der sikres i Den Europæiske Union (betragtning 67 i direktiv (EU) 2016/680). Den standard, som den »væsentlige ækvivalens« vurderes i forhold til, er den, der er fastsat i EU-lovgivningen, navnlig direktiv (EU) 2016/680, samt Den Europæiske Unions Domstols retspraksis. Det Europæiske Databeskyttelsesråds reference vedrørende et tilstrækkeligt beskyttelsesniveau er også af betydning i denne henseende.
(4) Som Den Europæiske Unions Domstol har præciseret, kræves der ikke et identisk beskyttelsesniveau. Det betyder navnlig, at de midler, som tredjelandet anvender til at beskytte personoplysninger, kan være forskellige fra de midler, som anvendes inden for Den Europæiske Union, så længe de i praksis viser sig at være effektive med henblik på at sikre et tilstrækkeligt beskyttelsesniveau. Standarden for tilstrækkelighed er derfor ikke, at EU-reglerne kopieres punkt for punkt. Testen består snarere i, om det udenlandske system som helhed på grundlag af indholdet af rettigheder vedrørende privatlivets fred og gennem effektiv gennemførelse, overvågning og håndhævelse heraf sikrer det krævede beskyttelsesniveau.
(5) Kommissionen har nøje analyseret den relevante lovgivning og praksis i Det Forenede Kongerige (UK). På grundlag af nedenstående konklusioner konstaterer Kommissionen, at Det Forenede Kongerige sikrer et tilstrækkeligt beskyttelsesniveau for personoplysninger, der overføres af kompetente myndigheder i Unionen og er omfattet af direktiv (EU) 2016/680, til kompetente myndigheder i Det Forenede Kongerige, der er omfattet af Part 3 i Data Protection Act 2018 (DPA 2018) (lov om databeskyttelse af 2018).
(6) Det fastsættes ved denne afgørelse, at sådanne overførsler kan finde sted for en periode på fire år, uden at der behøves yderligere tilladelser med forbehold af en eventuel forlængelse, jf. dog betingelserne i artikel 35 i direktiv (EU) 2016/680.
Avtalegrunnlag
Schengen-avtalen