Som virksomhedsejer på Færøerne eller i Grønland er det vigtigt at forstå, hvordan databeskyttelse og GDPR er strategisk fordel, der kan styrke din virksomheds konkurrenceevne indenfor EU.
Er Færøerne og Grønland bundet af GDPR?
Selvom Færøerne og Grønland er en del af Rigsfællesskabet, er de ikke direkte omfattet af GDPR. I stedet gælder lokale databeskyttelseslove. Behandler din virksomhed data på europæiske borger i jeres samarbejde med EU-virksomheder, har de dog ansvar for, at persondata behandles i overensstemmelse med GDPR –din virksomheds tilgang til databeskyttelse er derfor vigtig.
Tredjelande og dataoverførsler: Hvad betyder det for dig?
Færøerne og Grønland regnes som tredjelande i GDPR-sammenhæng. Det betyder, at EU-virksomheder kun må overføre data til din virksomhed, hvis der er tilstrækkelige garantier. Færøerne har en tilstrækkelighedsafgørelse fra EU, som i nogle tilfælde letter kravene til overførsler. Grønland har endnu ikke en sådan godkendelse, og derfor skal det dokumenteres, at overførslen sker under betryggende vilkår. Dette indebærer standardkontrakbestemmelser, TIA undersøgelser og eventuelle supplerende foranstaltninger. Læs mere om disse nedenfor.
Hvad er en trejdelandsoverførsel?
En GDPR relevant overførsel sker som udgangspunkt, når data om europæiske borgere overføres uden for grænserne af EU/EØS. Dette kan ske både ved, at din virksomhed modtager data fra et fysisk individ eller når en dataansvarlig i EU videregiver personoplysninger til en dataansvarlig eller databehandler uden for EU.
Det kan for eksempel være, at en grønlandsk konsulentvirksomhed udfører analyser af fiskeridata på vegne af en klient i Danmark. Hvis analysearbejdet indeholder personoplysninger om danske fiskere, f.eks. kontaktoplysninger. Her overføres personoplysninger fra EU til et tredjeland, hvilket udløser GDPR’s krav om overførselsgrundlag.
Compliance som konkurrencefordel
Ved at tilpasse din virksomhed til GDPR-lovgivningen – selvom den ikke er lovpligtig – kan virksomheden fremstå mere professionel og tillidsvækkende over for EU-partnere.
Her er fem konkrete tiltag, der kan styrke din position:
- Implementér GDPR-lignende standarder
Indfør politikker og procedurer, der følger GDPR’s principper – f.eks. sletning, adgangskontrol og medarbejderuddannelse. Det viser, at virksomheden tager datasikkerhed seriøst. - Få dokumentation og certificering på plads
En ISAE 3000 GDPR-erklæring eller lignende giver samarbejdspartnere fra EU, garanti for, at deres data er i sikre hænder. - Vær åben og gennemsigtig
Beskriv, hvordan din virksomhed behandler persondata, hvilke sikkerhedsforanstaltninger er på plads, og hvordan virksomheden vælger at leve op til GDPR. Kommunikér politikker klart på hjemmeside og via sociale medier, så EU-virksomheder ser din virksomhed som en pålidelig og nem databehandler/dataansvarlig at samarbejde med. - Brug standardkontraktbestemmelser (SCC), TIA og evt. supplerende foranstaltninger.
Hvis din virksomhed arbejder med EU-virksomheder, er det ofte nødvendigt at bruge EU-godkendte standardkontraktbestemmelser (SCC’er). Ved at have styr på disse aftaler og de krævede oplysninger, bliver det nemmere og hurtigere for potentielle samarbejdspartnere at vælge din virksomhed. Det er ofte ikke tilstrækkeligt blot at anvende SCC’er. Som følge af EU-Domstolens afgørelse i Schrems II-sagen skal dataeksportøren i EU også gennemføre en konkret vurdering af databeskyttelsesniveauet i modtagerlandet – Typisk gennem en Transfer Impact Assessment (TIA). Ansvaret for at overholde kravene i TIA påhviler som udgangspunkt dataeksportøren i EU, men du kan som databehandlerhjælpe med at løfte ansvaret. For eksempel kan din virksomhed kortlægge persondataoverførsler, dokumentere lovgivning og praksis i jeres land og implementere supplerende foranstaltninger samt følge op på, om de fortsat er effektive. - Inddrag en DPO/rådgiver med kendskab til EU-regler. Inddragelse af en ekstern Data Protection Officer (DPO) eller rådgiver med kendskab til EU’s databeskyttelsesregler kan være en stor fordel. Rådgiveren kan blandt andet hjælpe med at: Udvikle og opdatere politikker for databeskyttelse, klargøre de nødvendige standardkontraktbestemmelser (SCC’er), lave TIA undersøgelser og træne jeres medarbejdere i GDPR og god datapraksis
Har du brug for hjælp?
Afslutningsvis er databeskyttelse en grundlæggende og uundgåelig del af moderne forretningsdrift. Derfor er GDPR-compliance en investering, der betaler sig både på kort og lang sigt.
Jo bedre din virksomhed implementerer og dokumenterer GDPR-lignende beskyttelse, desto mere attraktiv bliver den som samarbejdspartner
DPO Danmark hjælper dig gerne i mål med at få overblik over relevant databeskyttelsesregler, som du kan inkorporere i din virksomhed uden for EU. Kontakt os, hvis du vil høre mere.
