Nye krav til overførsel af persondata til lande uden for EU

Det Europæiske Databeskyttelsesråd har for nylig offentliggjort nye anbefalinger om overførsel af personoplysninger til tredjelande.

Det er et krav, at der skal der foreligge tilstrækkeligt grundlag, før danske virksomheder eller andre virksomheder i EU lovligt kan overføre persondata til såkaldte ikke-sikre tredjelande uden for EU/EØS. Et eksempel på et ikke-sikkert tredjeland er USA.

Kort fortalt skal den virksomhed, som overfører personoplysninger til eksempelvis en databehandler i et ikke-sikkert tredjeland, sikre sig, at personoplysningerne er underlagt den samme beskyttelse, som hvis personoplysningerne var forblevet inden for EU/EØS. Ved overførsel af persondata til USA har en lang række virksomheder benyttet sig af Privacy Shield-ordningen, som indebar, at en overførsel af persondata til de virksomheder i USA, som havde tilsluttet sig denne ordning, ikke forringede beskyttelsen af den overførte persondata.

Den 16. juli 2020 afsagde EU-Domstolen dom i den såkaldte Schrems II-sag, hvor Privacy Shield-ordningen for overførsler af persondata til lande uden for EU/EØS blev underkendt. Med EU-Domstolens dom i Schrems II-sagen blev grundlaget for mange virksomheders overførsel af persondata til USA pludselig ugyldigt. Derfor har mange ventet med spænding på en udtalelse fra Det Europæiske Databeskyttelsesråd og de nationale datatilsyn om konsekvenserne af dommen.

Den 10. november 2020 har Det Europæiske Databeskyttelsesråd vedtaget en række anbefalinger, som kan bidrage til at sikre, at overførsel af persondata til USA sker på et lovligt grundlag. Det Europæiske Databeskyttelsesråd anbefaler, at man som virksomhed anvender EU-Kommissionens standardkontraktbestemmelser som grundlag for overførsel af personoplysninger. Brugen af disse bestemmelser kan dog ikke stå alene, da der også skal foretages en konkret vurdering af om det det land, som oplysningerne sendes til, yder en tilstrækkelig beskyttelse af personoplysningerne. I Det Europæiske Databeskyttelsesråd anbefalinger er beskrevet en række supplerende foranstaltninger, som kan sikre, at beskyttelsen ikke forringes ved overførsel til tredjelande. Eksempler i anbefalingen er anvendelse af stærk kryptering og organisatoriske foranstaltninger.

På baggrund af Schrems II-dommen er det Patrade’s anbefaling, at man gennemgår sine aftaler med databehandlere og andre samarbejdspartnere og skaber et overblik, om der overføres persondata til ikke-sikre tredjelande uden for EU/EØS. Herefter bør man sikre sig, at aftalerne er baseret på EU-Kommissionens standardbestemmelser eller tilsvarende bestemmelser, som beskriver en beskyttelse, som lever op til kravene i GDPR. Endelig bør der foretages en konkret vurdering af beskyttelsesniveauet i de enkelte lande, hvortil personoplysningerne overføres, og implementeres de eventuelle nødvendige supplerende foranstaltninger, der er nødvendige for at sikre et tilstrækkeligt beskyttelsesniveau.

Har I spørgsmål eller behov for rådgivning, er I velkomne til at kontakte partner Mikkel Kleis.

Læs datatilsynets pressemeddelelse på dette link.

 

 

Skriv et svar