Gemt

Tjek din persondatapolitik!

12. maj 2021

En del netbutikker skriver i deres persondatapolitik, at de bruger Privacy Shield ordningen til at overføre personoplysninger til USA. Som de fleste, der beskæftiger sig med GDPR, formentlig er klar over, kan den ordning ikke længere bruges til at overføre personoplysninger til USA. Det er resultatet af den såkaldte Schrems II sag, der blev afgjort af EU-Domstolen sidste sommer.

Nu skal I bruge EU´s standardblanketter (SCC) som overførselsgrundlag. Langt de fleste amerikanske tjenester er allerede gået over til at bruge SCC.  I skal tjekke jeres licensvilkår og tilhørende databehandleraftaler til de systemer I bruger og kontrollere, om det også er tilfældet for jeres systemleverandør. Er de gået over til SCC, skal I ændre jeres privatlivspolitik, så det står rigtigt der. Hvis ikke de er gået over til at bruge SCC, så kontakt dem omkring problemet.

EU er ved at se på 3. lands overførsler generelt, og Datatilsynet er ved at revidere deres vejledning om 3. landsoverførsler. Vi informerer i takt med, at der kommer afgørende nyt

Spørgsmål og svar:

Overfører min virksomhed personoplysninger til USA?
Det er der rigtig mange virksomheder, der gør. Det kan fx være, at I bruger Mailchimp eller en anden amerikansk virksomhed til at udsende nyhedsbreve eller til at hoste oplysninger om jeres kunder. Det kan også være tilfældet, hvis I deler persondata med Facebook (Custom Audience eller via en Facebook pixel), Google, LinkedIn m.fl.

Hvad gør vi så?
I skal først og fremmest skabe et overblik over, hvor de personoplysninger, I behandler, befinder sig, eller hvem der har adgang til dem.

Videregiver eller overlader I personoplysninger til en virksomhed eller offentlig myndighed i USA, er I nødt til at have et overførselsgrundlag. Det mest anvendte overførselsgrundlag er at bruge EU Kommissionens ”Standard Contractual Clauses” (SCC) for henholdsvis overladelse til en databehandler og videregivelse til en dataansvarlig i et 3. land.

EU-Kommissionens SCC’s er under revision, og der kommer snart nogle nye.

Det er imidlertid ikke nok at bruge Standard Contractual Clauses. I skal også vide, om beskyttelsesniveauet i det land, I overfører personoplysninger til, svarer til beskyttelsen i EU. Gør det ikke det, skal I iværksætte nogle supplerende beskyttelsesforanstaltninger. Det kunne fx være kryptering, men denne løsning er dog ikke altid brugbar. Der vil snart komme en vejledning fra EDPB (Det Europæiske Databeskyttelsesråd) om supplerende beskyttelsesforanstaltninger, som vi vil offentliggøre, så snart den foreligger.

Husk at I i forbindelse med jeres GDPR-arbejde skal beskrive, hvilke overvejelser I har gjort jer i forbindelse med de valg, I har foretaget. (Det skal ikke stå i jeres persondatapolitik.) Det vil på nuværende tidspunkt som minimum indebære, at i det omfang I bruger amerikanske databehandlere (f.eks. Mailchimp), er det nødvendigt, at I læser databehandleraftalen, og gør jer overvejelser omkring, hvorvidt den der beskrevne måde at håndtere persondata på, lyder betryggende i forhold til de typer data, I lægger ind i systemet. Det er klart, at tilgangen til en overførsel bør være mere forsigtig, hvis I overfører følsomme personoplysninger som f.eks. helbredsoplysninger.

Hvis en amerikansk databehandler opbevarer personoplysninger inden for EU/EØS?
Du kan godt bruge en amerikansk databehandler, der opbevarer personoplysninger inden for EU. Det er i den forbindelse vigtigt, at du sikrer dig, at der står i jeres databehandleraftale, at databehandleren ikke må udføre personoplysningerne af EU. Du skal også sikre dig, at databehandleren ikke bruger underdatabehandlere, der ligger i fx USA. Det har Datatilsynet for nylig oplyst.

Kommer der en afløser for EU-US Privacy Shield?

Måske. EU-Kommissionen forhandler i øjeblikket med USA om en ny ordning.

Datatilsynets vejledning om 3. landsoverførsel er under revision

Datatilsynet forventer, at den nye vejledning om 3. landsoverførsler vil blive offentliggjort i løbet af juni måned 2021.

Du finder EU Kommissionen ”Standard Contractual Clauses  her 

Du kan finde EDPB’s udkast til anbefalinger her 

Kontakt

Handel

Sven Petersen

Erhvervsjuridisk fagchef
Medarbejderprofil