Det Europæiske Databeskyttelsesråd har offentliggjort sin længe ventede anbefaling om supplerende foranstaltninger, og Datatilsynet har opdateret sin vejledning om tredjelande. Vi giver dig et overblik over de nye vejledninger.

Det Europæiske Databeskyttelsesråd (EDPB) vedtog 18. juni 2021 en anbefaling om supplerende foranstaltninger for over­førsel af personoplysninger til tredje­lande, det vil sigelande uden for EØS.

EDPB anbefaler en analyse i seks trin, som man bør gennemgå og dokumentere ved overførsler til tredjelande. Analysen skal vise, om og hvordan overførslen kan ske lovligt.

For de sikre tredjelande er det hurtigt at dokumentere, at overførslen er lovlig. Det gælder fx UK og Schweiz.

EDPB’s anbefalinger har særligt fokus på overførsler til de usikre tredjelande og brug af fx EU-Kommissionens Standard­kontraktsbestemmelser, også kendt som SCC’er, samt hvilke supplerende foranstaltninger der er brug for i tillæg til SCC’erne. Foran­staltningerne skal være med til i al væsentlighed at beskytte person­oplysningerne på en måde, som hvis oplysningerne fortsat kun blev behandlet i EU.

EDPB’s anbefalinger i seks trin

1. Kend jeres overførsler

Kortlæg og dokumentér, om I over­fører person­oplysninger til tredje­lande, og i så fald hvilke og til hvilke formål.

2. Vælg overførselsgrundlag

Identificér de mulige overførsels­grundlag, fx overførsel til andre myndigheder, SCC’er eller bindende virksomheds­regler (BCR), eller undtagelser ved­rørende fx vigtige samfunds­interesser eller retskrav.

3. Lav en TIA – Transfer Impact Assesment

Vurdér, om overførsels­grundlaget er effektivt til at sikre et databeskyttelses­­niveau, som i al væsentlighed svarer til det, vi har i EU. TIA’en skal inde­holde en analyse af tredjelandets lovgivning og praksis ud fra EU’s fire essentielle garantier og modtagerens mulighed for at overholde overførsels­­grund­laget. De essentielle garantier er fx, at registrerede har indsigtsret og kan hånd­hæve rettigheder ved uafhængige domstole.

4. Supplerende foranstaltninger

Hvis overførselsgrundlaget, fx SCC’er, i sig selv ikke yder en tilstrækkelig beskyttelse, skal der implementeres supplerende foranstaltninger, som kan være tekniske, organisatoriske og/eller kontraktuelle.

5. Formelle trin

Formelle lovkrav skal overholdes, fx skal der indhentes tilladelse fra Datatilsynet ved overførsel af forskningsdata til tredjelande, jf. databeskyttelseslovens § 10, stk. 3.

6. Kontinuerlig overvågning

Trin 1-5 skal genbesøges med jævne mellemrum.

Datatilsynets vejledning om tredjelande

Datatilsynet offentliggjorde 15. juli 2021 en opdateret vejledning om tredjelande, som afspejler den seneste tids udvikling, herunder bl.a. Brexit og de nye SCC’er.

Særligt interessant er det opdaterede afsnit om situationer, som ikke udgør en overførsel til tredjelande. Der er to nye eksempler:

  • En medarbejder rejser til et tredjeland og tilgår personoplysninger fx via en medbragt arbejdscomputer eller via internettet i et tredjeland i forbindelse med en forretningsrejse.
  • Overførsel til et koncerninternt kontor i et tredjeland, som ikke er en selv­stændig juridisk enhed. Hvis der derimod er tale om et etableret datterselskab, er der også tale om en overførsel til et tredjeland.

I alle tilfælde skal dataeksportøren dog stadig overholde andre relevante dele af GDPR, herunder reglerne om hjemmel til behandling og etablering af passende organisatoriske og tekniske sikkerheds­foranstaltninger.

Horten har i webinarserien ‘GDPR fra A-Z’ gennemgået EDPB’s vejledning i detaljer. Du kan se webinaret her: GDPR fra A-Z

Forfattere

Birgitte Toxværd

Partner

Christoffer Alsted Skafte

Advokat