En 2021-opdatering på Storbritanniens tilstrækkelighedsafgørelse
Siden Storbritannien forlod EU, har spørgsmålet angående overførslen af personoplysninger stået øverst på manges liste i både EU og Storbritannien; lige fra hjemmesider og virksomhederc til privathedsorganisationer.
Aftalen – som blev underskrevet af begge parter i slutningen af december 2020 – har, en henstilling, som sikrede en fortsat uhindret dataoverførsel mellem de to blokke, i en midlertidig periode på seks måneder (indtil juni 2021).
Den 28. juni 2021 vedtog Europa-Kommissionen en afgørelse om tilstrækkeligheden af Storbritanniens beskyttelsesniveau.Da afgørelsen blev, at Storbritanniens niveau for databeskyttelse er på samme højde som EU’s, vil der være en forsat fri overførsel af persondata mellem de to blokke de næste fire år.
Ifølge GDPR vedtages afgørelser som denne, hvis EU bedømmer, at et ”tredjeland” (dvs. et land uden for den Europæiske Union) har et databeskyttelsesniveau på lige fod med EU. Er det tilfældet, kan personoplysninger fra EU-borgere frit overføres til landet (det kræver dog stadig brugersamtykke, selvfølgelig).
Efter Brexit er Storbritannien ikke længere dækket af GDPR, og en tilstrækkelighedsaftale har derfor været et vigtigt samtaleemne for at sikre en forsat dataoverførsel for hjemmesider, virksomheder og organisationer for begge parter.
I afgørelsen om Storbritanniens databeskyttelsesniveau, findes der en ”solnedgangsklausul”, som afgrænser den frie dataoverførsel til en fastbestemt periode på fire år fra ikrafttrædelsesdatoen, hvorefter tilstrækkelighedsafgørelsen ikke automatisk bliver fornyet. Hvis EU vælger at forny aftalen, vil de blive nødt til at begynde en ny vedtagelsesproces.
Storbritannien havde forud for Brexit vedtaget en ny national databeskyttelseslov kaldet UK-GDPR, som stort set er den samme som EU-versionen – dog med et par få ændringer så den omtaler Storbritannien fremfor EU – og som er understøttet af Storbritanniens Data Protection Act fra 2018 (da.: Databeskyttelseslov 2018).
Compliance med UK-GDPR og EU’s GDPR forbliver lovpligtigt for alle hjemmesider, virksomheder og organisationer, som behandler data fra borgere i enten Storbritannien eller EU. Man skal stadig indhente et tydeligt samtykke fra brugeren, før nogen form for behandling eller dataoverførsel må finde sted.
Se afgørelsen om tilstrækkelighed fra juni 2021
Se ICO’s rådgivning angående dataoverførsler til og fra Storbritannien fra august 2021
Skan din hjemmeside for at se, hvor i verden du sender data til
Prøv Cookiebot CMP gratis i dag
Lær mere om GDPR og brugersamtykke
GDPR-compliance efter Brexit 2021
Cookiebot CMP giver britisk compliance
Selvom den stemmer overens med EU’s GDPR, kan UK-GDPR og komplementerende databeskyttelseslovgivninger, såsom Data Protection Act 2018, godt virke en smule forvirrende, især ovenpå alle de andre ting, som også er gået hånd i hånd med Brexit.
Cookiebot CMP by Usercentrics er en førsteklasses GDPR-complianceløsning for hjemmesider i alle former og størrelser.
Cookiebot CMP er bygget op omkring en effektiv skanner, der finder alle cookies og lignende sporingsteknologier på din hjemmeside, og giver dine brugere automatisk kontrol over deres personoplysninger i fuld compliance med kravene fra både EU’s og Storbritanniens digitale privatlivslovgivninger.
Cookies er en af de mest almindelige måder, hvorpå hjemmesider kan behandle persondata. Derfor er det ekstremt vigtigt at vide hvilke cookies, der er aktive på din side, og hvordan du giver dine brugere valget om, hvilke cookies de vil have er aktive, når de besøger dit domæne.
Cookiebot CMP finder alle sporingsenheder på din hjemmeside – både dine egne og marketing-cookies fra tredjeparter – ved at scrolle, klikke og generelt set lade som om den er en besøgende på dit domæne.
Med automatisk geo-targeting og et samtykkebanner, der er komplet tilpasningsvenligt, tager Cookiebot CMP sig af det hårde arbejde i forbindelse med at blive compliant med verdens største databeskyttelseslove.
Cookiebot CMP tilbyder en plug-and-play-løsning i compliance med EU’s GDPR, Storbritanniens GDPR, Californiens CCPA/CPRA, Brasiliens LGPD, Sydafrikas POPIA, Singapores PDPA og flere.
Prøv Cookiebot CMP gratis i 14 dage – eller for evigt, hvis du har en mindre hjemmeside
Skan din hjemmeside gratis og se hvilke cookies og trackers, der er i brug
Hvad er GDPR?
Den Generelle Databeskyttelsesforordning (GDPR) er en EU-lov, der trådte i kraft i maj 2018. Loven er ens-gældende i alle 27 EU-lande, og er til for at kontrollere hvordan virksomheder og organisationer har lov til at behandle persondata.
Persondata er alt, der kan direkte eller indirekte identificere en levende person. Det gælder navne, fysiske adresser, IP-adresser, lokalitetsdata samt informationer angående fysiske, psykiske, økonomiske, kulturelle eller sociale fakta.
Følsomme oplysninger er f.eks. religiøse overbevisninger, politiske holdninger og/eller seksuel orientering.
I GDPR findes der i alt otte datarettigheder for enkeltpersoner. Her inkluderes retten til at anmode om adgang til ens data (en såkaldt Registreret Adgangs Forespørgsel eller SAR (subject access request), såvel som at bede om, at ens data bliver slettet.
Dog er det vigtigste, at GDPR giver EU-borgere magten til, at deres oplysninger (personlige eller følsomme) ikke bliver indsamlet og behandlet uden deres forudgående samtykke.
GDPR kræver, at hjemmesider –
- indhenter klart og tydeligt samtykke fra dens brugere,
- forudgående for nogen behandling af persondata,
- efter at have specificeret alle typer cookies og andre sporingsteknologier, der er til stede og i brug på siden,
- på en brugervenlig måde, der gør, at brugerne kan give samtykke eller tilbagetrække samtykke til hver specifik cookiekategori,
- for så at lagre hvert brugersamtykke på en sikker og tillidsfuld måde,
- og regulært spørge om fornyet samtykke, f.eks. hver sjette måned.
Dette er rygraden af GDPR-compliance.
Er du i tvivl om din hjemmeside er GDPR-compliant? Test det selv med Cookiebots gratis compliance-test.
Prøv Cookiebot gratis i 14 dage… eller for evigt, hvis du har en mindre hjemmeside.
GDPR i Storbritannien efter Brexit 2021
Storbritannien har været reguleret af EU’s GDPR siden den trådte i kraft i maj 2018.
Efter den 1. januar 2021, hvor Storbritannien forlod EU, har den europæiske GDPR ikke længere nogen national justits i Storbritannien, som den havde før udtrædelsesdatoen.
I stedet har Storbritannien vedtaget deres egen version af lovgivningen kaldet UK-GDPR, som nu, sammen med the Data Protection Act 2018, er trådt i kraft.
Den nye UK-GDPR er essentielt det samme som dens europæiske forgænger, dog har den været til revision, så den nu dækker de dele af den nationale lov, som ikke bliver dækket af EU-forordningen. Disse inkluderer blandt andet national sikkerhed, efterretningstjenester og immigration.
Lær mere om the Data Protection Act 2018
Prøv Cookiebot CMP gratis for GDPR-compliance
Se IAPP’s gennemgående tjekliste for digitalt privatliv efter Brexit
GDPR og Storbritanniens andre datalove
Informations Kommissærens Kontor (ICO),den nationale databeskyttelsesmyndighed i Storbritannien, har til opgave at håndhæve landets datalove.
Efter Brexit den 1. januar 2021 er følgende love trådt i kraft i Storbritannien:
- UK-GDPR (Det Forenede Kongeriges Generelle Databeskyttelses-Forordning)
- Data Protection Act 2018
- Digitalt Privatliv og Elektronisk Kommunikation forordningerne fra 2003 (eng.: PECR – Privacy and Electronic Communications Regulations 2003)
PECR er Storbritanniens version af det europæiske ePrivacy Direktiv. Den dækker over beskyttelse af persondata i forbindelse med elektronisk kommunikation, mere specifikt cookies og kommunikation i forhold til online marketing.
Besøg ICO’s hjemmeside for at læse mere om PECR
Eftersom PECR er en national lov i Storbritannien, vil den stadig være gældende efter Brexit.
ICO og cookies – opdaterede retningslinjer til PECR
ICO opdaterede deres retningslinjer angående brugen af cookies, og herved også behandling af brugernes data, i forhold til PECR. Det blev gjort, så PECRs samtykkestandarder stemmer overens med GDPRs.
ICO har bestemt, at den eneste form for gyldigt samtykke er forudgående samtykke. Samtykket skal være opnået før nogen form for sporing er sat i gang. Det kan indhentes gennem et cookiebanner, så længe banneret ikke har nogen form for forud-afkrydsede felter.
Læs mere om de opdaterede retningslinjer på ICO’s hjemmeside
Det er ikke længere tilladt for hjemmesideejere og operatører at indsamle og behandle personoplysninger, hvis brugeren bare lukker et cookiebanner eller vælger at browse videre på siden uden at reagere på cookiebanneret.
Brugerne skal give deres samtykke i en bekræftende handling, f.eks. ved at afkrydse bestemte felter med cookiekategorier. Dette gælder dog ikke de cookies, som er strengt nødvendige for sidens funktionalitet.
Hvem håndhæver GDPR i Storbritannien?
Mens Storbritannien stadig var en del af den Europæiske Union, var det Informations Kommissærens Kontors(ICO) ansvar at håndhæve EU’s GDPR i Storbritannien.
Men efter Storbritannien forlod EU, er ICOs hovedansvar nu at håndhæve den nationale UK-GDPR samt den komplementerende Data Protection Act of 2018.
EU’s GDPR er håndhævet af de nationale databeskyttelsesmyndigheder (såkaldte DPA’er) i hver EU-nation. Dog har Irlands DPA en særlig magt og ansvar, da de er den ledende GDPR-tilsynsmyndighed i EU.
Det skyldes, at en bestemmelse i GDPR specificerer, at lovens ledende tilsynsmyndighed skal være DPA’en fra det land, der huser en tech-virksomheds dataansvarlige, hvilket i dette tilfælde er Irland, når det kommer til både Facebook og Google.
ICO og GDPR
ICO håndhæver som sagt GDPR i Storbritannien, og her har de magt til at udføre efterforskninger og udstede bøder. Det sås især da de foretog en razzia på Cambridge Analyticas kontorer sidste år. Den vanærede datavirksomhed havde misbrugt personoplysningerne på 87 millioner mennesker – indsamlet gennem Facebook – og brugt oplysningerne til at påvirke både det britiske og amerikanske valg.
Siden Brexit er ICO blevet håndhæver,tilsynsførende og regulator for den nationale UK-GDPR.
GDPR udsteder bøder til Storbritannien
Ifølge GDPR vil britiske hjemmesider og virksomheder, der ikke lever op til GDPRs krav, blive idømt bøder op ti €20 millioner eller 4% af virksomhedens årlige, globale omsætning, alt efter hvilken af de to, der udgør det største beløb.
Indtil videre har GDPRs bøder i Storbritannien haft varierende størrelse og styrke.
ICO har allerede håndhævet GDPR i Storbritannien et utal af gange.
Et år efter ikrafttrædelsesdatoen for GDPR i Storbritannien, handler flere af de pengemæssige straffe, som ICO har udstedet, om uopfordret direkte marketing, som er ulovligt ifølge GDPR. Forudgående samtykke fra kunder og brugere er et krav, der skal overholdes før et firma eller en hjemmeside må gøre brug af direkte marketing.
ICO har udtalt, at de foretrækker at arbejde sammen med organisationerne for at forbedre deres brug af personoplysninger, fremfor at udstede maksimum bøder.
ICOs håndhævelse af GDPR har primært taget pengemæssig form indtil videre, men ICO har også gjort brug af retningslinjer for virksomheder og organisationer for at forbedre deres metoder for at indsamle data. ICO siger, at nogle gange er ”et strengt brev nok.”
Sådan kommer du i compliance med GDPR i Storbritannien
Hvis du behandler persondata fra borgere i Storbritannien, skal du overholde UK-GDPR, Data Protection Act 2018 og PECR.
Storbritannien har en aftale om tilstrækkeligt beskyttelsesniveau med EU, som sikrer en fri persondataoverførsel mellem de to blokke i en periode på fire år (indtil juni 2025).
Cookiebot CMP giver fuld compliance med alle nationale databeskyttelseslove i Storbritannien samt EU’s GDPR.
Prøv Cookiebot CMP gratis i 14 dage – eller for evigt hvis du har en mindre hjemmeside.
Skan din hjemmeside og se hvilke cookies og trackers, der er i brug
En lille genopfrisker
Så, for at opsummere –
GDPR og Storbritannien
I juni 2021, gav EU en afgørelse om tilstrækkeligt beskyttelsesniveau til Storbritannien, hvilket sikrer en fri dataoverførsel i en fastlukket periode på fire år (indtil juni 2025).
Efter den fireårige periode er overstået, skal EU begynde en ny vedtagelsesproces af tilstrækkelighedsaftalen for at afgøre om Storbritannien stadig lever op til EU’s databeskyttelsesniveau.
Den nye UK-GDPR har været gyldig siden Storbritanniens udtrædelse af EU, og det har betydet, at næsten intet har ændret sig med hensyn til krav og reel databeskyttelse i forhold til EU-lovgivningen før Brexit.
ICO og GDPR
ICO er den ledende håndhæver af UK-GDPR, the Data Protection Act 2018 og PECR.
Data Protection Act 2018 og PECR
En revideret version af the Data Protection Act 2018 trådte i kraft den 31. januar 2020.
PECR er en national lov i Storbritannien, der regulerer elektronisk kommunikation, og som fortsat er gyldig efter Brexit.
Ofte stillede spørgsmål
Gælder GDPR i Storbritannien efter Brexit?
EU’s Generelle Forordning om Databeskyttelse (Databeskyttelsesforordningen) gælder for alle behandlinger af persondata fra personer indenfor den Europæiske Union, men efter Brexit gælder den ikke længere for behandling af persondata fra personer i Storbritannien. Efter Brexit gælder den nye UK-GDPR nationalt i Storbritannien, og den er tilsvarende EU’s GDPR.
Hvem håndhæver UK-GDPR?
Informations Kommissærens Kontor (ICO) er den ledende tilsynsmyndighed og håndhæver for UK-GDPR. ICO har magten til at udføre efterforskninger, indføre retningslinjer og udstede bøder til hjemmesider, der ikke er i compliance med loven.
Hvad er persondata ifølge UK-GDPR?
Persondata er alt, der kan bruges til at identificere en levende person, enten direkte eller indirekte. Persondata inkluderer navne, adresser, kørekort, pasnummer, sundhedsoplysninger, lokationsoplysninger, information omkring religiøs tro eller politisk overbevisning, men også cookies, IP-adresser, søgnings- og hjemmesidehistorik.
Prøv Cookiebot gratis i 14 dage – eller for evigt, hvis du har en mindre hjemmeside
Hvordan kontrollerer jeg cookies på min hjemmeside?
Cookies er svære at kontrollere – mange cookies loader i al hemmelighed andre cookies, og mange af dem ændres ved gentagende besøg på siden. Ved brug af en consent management platform kan du hjælpe din side med at kontrollere dens cookie-opsætning og sikre compliance med databeskyttelseslove som EU’s GDPR og UK-GDPR.
Kilder
Lær mere om Data Protection Act 2018 (engelsk)
Lær mere om GDPR efter Brexit (engelsk)
Se IAPP’s omfattende tjekliste for digitalt privathed efter Brexit (engelsk)
Databeskyttelsesforordningen (GDPR), officiel lovtekst
ePrivacy Direktivet 2009, officiel lovtekst
UK Data Protection Act 2018, officiel lovtekt (engelsk)
Forordning for Digitalt Privatliv og Elektronisk Kommunikation (PECR) (engelsk)