Overførsel af personoplysninger til usikkert tredjeland
Oversat titel
Transfer of personal data to unsecure third countries
Forfatter
Jeppesen, Asbjørn Vollmer
Semester
4. semester
Uddannelse
Udgivelsesår
2022
Afleveret
2022-05-19
Antal sider
79
Resumé
Specialet undersøger, hvordan personoplysninger lovligt kan overføres fra EU til tredjelande, der ikke har en tilstrækkelighedsafgørelse (såkaldte usikre tredjelande) efter GDPR. Med en retsdogmatisk metode analyseres GDPR, EU’s Charter om grundlæggende rettigheder, EU-Domstolens praksis (herunder Schrems II og La Quadrature du Net), vejledninger fra tilsynsmyndigheder og litteratur. Arbejdet gennemgår de overførselsmekanismer, der kan anvendes uden for tilstrækkelige tredjelande, herunder standardkontraktbestemmelser, bindende virksomhedsregler og individuelle kontraktklausuler (art. 46), samt kravene til at vurdere tredjelandes lovgivning med udgangspunkt i de fire europæiske væsentlige garantier (klare regler, nødvendighed og proportionalitet, uafhængigt tilsyn og effektive retsmidler). Specialet drøfter desuden supplerende foranstaltninger som pseudonymisering, kryptering og brug af cloudtjenester, og analyserer samtykke som alternativt grundlag i særlige situationer, herunder betingelserne for frivilligt, specifikt, informeret og utvetydigt samtykke med afsæt i bl.a. Planet49- og Orange România-sagerne. På den baggrund giver specialet et samlet overblik over de juridiske krav, risikovurderinger og praktiske tiltag, som dataansvarlige og databehandlere må forholde sig til ved overførsel til usikre tredjelande, samt afklarer centrale begrænsninger og forudsætninger for brugen af samtykke.
This thesis examines how personal data may be lawfully transferred from the EU to third countries that lack an adequacy decision (so-called inadequate or “unsecure” third countries) under the GDPR. Using a doctrinal legal method, it analyses the GDPR, the EU Charter of Fundamental Rights, CJEU case law (including Schrems II and La Quadrature du Net), supervisory authorities’ guidance, and academic literature. The work outlines the transfer tools available outside adequate jurisdictions, such as standard contractual clauses, binding corporate rules, and ad hoc contractual clauses (Article 46), and sets out how to assess third-country laws against the Four European Essential Guarantees (clear and accessible rules, necessity and proportionality, independent oversight, and effective remedies). It further discusses supplementary measures—such as pseudonymization, encryption, and the use of cloud services—and evaluates consent as an alternative basis in specific situations, detailing the requirements that consent be freely given, specific, informed, and unambiguous, with reference to the Planet49 and Orange România judgments. On this basis, the thesis provides an integrated overview of the legal conditions, risk assessments, and practical measures that controllers and processors must consider when transferring data to inadequate third countries, and clarifies key limitations and prerequisites for relying on consent.
[Dette resumé er genereret med hjælp fra AI direkte fra projektet (PDF)]
Emneord