{{title}}
{{body}}
{{tagline}}
{{title}}
{{lockedContentText}}
{{body}}
Gemt
Datatilsynet kræver omtanke og dokumentation inden dataoverførsel
15. juni 2021
Schrems II dommen har efterladt et vakuum om overførsel af data til USA. Indtil en ny vejledning er klar, forventer Datatilsynet, at virksomhederne tænker sig om og selv dokumenterer sine overvejelser. Det behøver ikke koste millioner i advokaterklæringer.
Datatilsynet anlægger en ganske pragmatisk holdning til GDPR-dokumentation ved overførsel af data til andre lande. Det er ikke forbudt at overføre data til USA, men man kan ikke gøre det med Privacy Shield som overførselsgrundlag, som Dansk Erhverv tidligere har beskrevet i en omtale af Shrems II. Virksomheden har selv ansvaret for at dokumentere sine overvejelser og beslutninger.
”Dokumentationen skal i princippet kunne stå på bagsiden af en fedtet serviet”, som jurist og sikkerhedsspecialist Allan Frank fra Datatilsynet så levende beskrev det, da han deltog i en livlig paneldebat hos Computerworld, hvor også Carsten Rose Lundberg, chefkonsulent i Dansk Erhverv, deltog.
Rødt lys og blind passager
”Det kan være godt nok til at bevise, at man har forsøgt at komme i mål. Og så kan det da være, at man får en påtale, så man kommer på rette vej og bliver bedre. De helt store bøder er dog altså forbeholdt dem, der kører for stærkt over for rødt med en blind passager,” siger Allan Frank, der henviser til den sekspunkts tjekliste, EDPB er kommet med, og som også ligger på Datatilsynets hjemmeside.
”Af disse skal man som minimum have styr på punkt 1 (hvilke overførsler har jeg) og 2 (hvilket grundlag overfører jeg på) og være i gang have gjort sig overvejelser om punkt 3 (hvordan er det 3. Land der er i spil)”.
Pragmatisme er godt. Usikkerhed er skidt
Carsten Rose Lundberg roser Datatilsynet for en holdning, der kan spare især de mindre virksomheder for store summer til advokaterklæringer.
”GDPR-dokumentationen er et vilkår, som vi skal kende og efterleve. Derfor er det vigtigt for virksomhederne at overveje, hvad de gør og dokumentere det. Gør man det, er man ifølge Datatilsynet nået langt, og det er ganske pragmatisk.”
Han understreger dog, at det er problematisk, at der mangler konkrete vejledninger fra Datatilsynet.
”Det er frustrerende, at vi i dag ret beset ikke ved, hvad vi skal rådgive vores medlemmer om efter Schrems II dommen. Derfor ser vi meget frem til konkrete vejledninger, så virksomhederne kan have fokus på at drive deres forretning og ikke forsøge at gætte på, hvad en lov betyder.”
Ole Kjeldsen, teknologi- og sikkerhedsdirektør i Microsoft, samt Martin Folke Vasehus, it-advokat og CEO i softwarevirksomheden ComplyCloud, deltog i paneldebatten.
Opdatering 18/6-2021
EDPB har d.d. vedtaget deres endelig anbefalinger om supplerende foranstaltninger. Læs mere på Datatilsynets hjemmeside her
Kontakt
Digital Handel