Gemt

Overførsel af persondata til usikre tredjelande

29. juni 2021

De fleste virksomheder har efterhånden hørt, at en overførsel af persondata til lande udenfor EU er blevet mere besværlig. To dokumenter fra EU hjælper en på vej – men vejen er lang og bureaukratisk.

Af Sven Petersen

Baggrund
EU-domstolen statuerede sidste år, at den mellem EU og USA indgåede Privacy Shield ordning ikke i tilstrækkeligt omfang sikrede EU-borgere mod at blive overvåget af det amerikanske efterretningsvæsen, når der overførtes persondata til USA. Ordningen blev derfor kendt ulovlig.

Fra nu af skal såvel offentlige myndigheder og private virksomheder overføre data til usikre tredjelande ved hjælp af “EU´s standardkontraktbestemmelser for overførsel af personoplysninger” (på engelsk SCC). Dokumentet sikrer basalt set, at dataimportøren behandler de importerede data på et niveau, der svarer til GDPR. Det er derfor meget vigtigt, at du tjekker, at din tredjelandsdatabehandler er gået væk fra at bruge Privacy Shield som overførselsgrundlag og over til EU´s standardblanketter.

De nye standardblanketter fra EU
EU´s standardblanketter har eksisteret i rigtig mange år, men er i juni måned i år afløst af nye blanketter, det matcher behovet efter GDPR. De nye standardblanketter fra EU finder du her: EUR-Lex - 32021D0914 - EN - EUR-Lex (europa.eu)

Blanketten er opdelt i 4 moduler, og man skal forholde sig til hvilket scenarie man befinder sig i, og faktisk kun indarbejde det ene modul i sit endelige dokument. I artikel 17 og 18 skal man tage stilling til lovvalg og værneting.

Blanketterne kan bruges fra den 27. juni 2021, og de eksisterende SCC’er ophæves med virkning fra den 27. september 2021.

Kontrakter, der er indgået på baggrund af de eksisterende SCC’er inden den 27. september 2021, kan anvendes i en overgangsperiode indtil den 27. december 2022.

Det er dog forudsat, at databehandlingen forbliver uændret, og forudsat, at der allerede nu samlet set tilvejebringes en beskyttelse som grundlæggende er den samme som i EU. Inden for overgangsperioden skal dataeksportøren skifte til et nyt overførselsgrundlag, eksempelvis de nye SCC’er.

Supplerende foranstaltninger – ny vejledning fra EDPB
Selv om EU´s standardblanketter af EU-Domstolen blev opretholdt som et gyldigt overførselsgrundlag, tilkendegav domstolen samtidig, at det ikke var nok kun at gøre brug af dette instrument. Som dataeksportør bliver man derudover nødt til at forholde sig til, hvorvidt der skal iværksættes yderligere tiltag som supplement til standardblanketterne for at sikre et passende beskyttelsesniveau. For at hjælpe virksomhederne på vej har Det Europæiske Databeskyttelsesråd (EDPB) derfor nu udgivet en vejledning, der kommer med forskellige eksempler på, hvilke overvejelser man skal igennem, når man ønsker at eksportere persondata – ikke kun til USA, men usikre tredjelande generelt. Du får vejledning her, og den vil senere komme i en dansk version. Husk altid at dokumentere dine overvejelser i et særskilt notat.

Du finder vejledningen/anbefalingerne i denne artikel: EDPB har vedtaget endelige anbefalinger om supplerende foranstaltninger (datatilsynet.dk)

Hvad betyder anbefalingerne i praksis?
Det Europæiske Databeskyttelsesråds anbefalinger om supplerende foranstaltninger er opbygget som en ”køreplan”, der angiver, hvilke skridt man som dataeksportør skal foretage med henblik på at vurdere, om der er behov for at sørge for supplerende foranstaltninger, når man overfører personoplysninger til et tredjeland. Man skal således gøre følgende:

Kortlægge (og dokumentere), hvilke tredjelande man overfører personoplysninger til.
Identificere, hvilke overførselsværktøjer, man benytter/vil benytte sig af. Typisk altså de nævnte SCC’ere.
Vurdere om det valgte overførselsgrundlag er effektivt i lyset af omstændighederne ved den konkrete overførsel.
Sørge for supplerende foranstaltninger, hvis overførselsværktøjet ikke vurderes at være effektivt.
Overveje om der er behov for procedurer, som skal iagttages ved implementeringen af supplerende foranstaltninger.
Genevaluere de øvrige punkter med jævne mellemrum.

Når du har været igennem overvejelserne, så skal du huske at dokumentere dem i form af et notat eller andet.

Ovenstående køreplan er desværre omfangsrig og Dansk Erhverv gør løbende sit til at påvirke EU og USA i retning af at finde en erstatning for Privacy Shield. Desuden bør EU hurtigere godkende lande som værende sikre tredjelande gennem ”tilstrækkelighedsafgørelser”.

Handel

Sven Petersen

Erhvervsjuridisk fagchef

4098 4171 3374 6109 svp@danskerhverv.dk

Medarbejderprofil

{{title}}

{{name}}

{{title}}

{{subCard.title}}

{{title}}

{{newsletter.name}}

{{title}}

{{Headline}}

{{fetchFailed}}

{{title}}

Generer URL til avanceret søgefiltrering her

Resultat:

Anchor

Søgetekst

Fra & Til

Filtrer

{{filterGrp.label}}

{{title}}

{{filter.label}}

{{data.labels.headline}}

{{data.labels.headline}}

Generer URL til søgefiltrering her

Resultat:

Anchor

Filter

Segmenter

{{CategoryTitle(segmentGroup[0])}}

{{SelectedSpeaker.name}}

{{SelectedPerson.name}}

{{labels.error}}

{{labels.noResults}}

{{labels.error}}

{{labels.noResults}}

{{subCard.title}}

{{title}}

{{data.labels.title}}

{{data.affiliation.title}}

{{ProfileSection.title}}

{{CompanyUnionTitle}}

{{memberType.receiptTitle}}

{{headline}}

{{textLabels.title}}

{{textLabels.errorLabel}}

{{textLabels.successTitle}}

{{item.headLine}}

{{data.headline}}

{{data.card.title}}

{{data.card.name}}

{{title}}

{{data.title}}

{{data.title}}

{{data.successHeadline}}

{{item.title}}

{{item.title}}

{{item.text}}

{{item.text}}

{{submitErrorLabel}}

{{textLabels.successLabel}}

{{textLabels.newsletterCheckboxesErrorLabel}}

{{textLabels.title}}

{{textLabels.errorLabel}}

{{textLabels.partialErrorLabel}}

{{textLabels.successLabel}}

{{data.title}}

{{title}}

{{item.title}}

{{speaker.name}}

{{item.title}}

{{speaker.name}}

{{data.title}}

{{data.headline}}

{{errorTitle}}

{{noResultsTitle}}

{{title}}

{{item.title}}

{{item.title}}

{{data.headline}}

{{data.headline}}

{{data.headline}}

{{data.labels.noEvents}}