DAEN

MENU

Datatilsynet udgiver ny vejledning om overførsler af personoplysninger udenfor EU

Vejledningen er blevet udvidet på en række områder, herunder med nye eksempler, ny praksis og særlige opmærksomhedspunkter.

Vejledningen er blevet udvidet på en række områder, herunder med nye eksempler, ny praksis og særlige opmærksomhedspunkter.

Opdateret vejledning

Datatilsynets vejledning om tredjelandsoverførsler blev midt i juli 2021 opdateret i en tredje udgave, så den afspejler den seneste udvikling på området.

Det omfatter bl.a. en opdatering vedrørende EU-Kommissionens nye standardkontraktbestemmelser, samt det forhold at Storbritannien nu er blevet godkendt som et såkaldt sikkert tredjeland. Der kræves derfor ikke et særskilt overførselsgrundlag ved overførsler til Storbritannien.

Vejledningen er derudover blevet mere handlingsorienteret, og der indgår flere eksempler til at forklare og belyse problemstillinger, f.eks. hvornår der er – og ikke er – tale om en tredjelandsoverførsel.

Schrems II-dommen og særlige opmærksomhedspunkter

Datatilsynets vejledning er som det væsentligste punkt blevet opdateret i lyset af EU-Domstolens dom den 16. juli 2020 (Schrems II-dommen). I Schrems II-dommen erklærede EU-Domstolen ”Privacy Shield” for ugyldigt. ”Privacy Shield” var en ordning mellem EU og USA om overførsler af personoplysninger fra EU til virksomheder i USA, der havde tilsluttet sig ordningen.

Samtidig fastslog EU-Domstolen, at EU-Kommissionens daværende standardkontraktbestemmelser som udgangspunkt fortsat kan anvendes, men standardkontraktbestemmelserne skal suppleres af yderligere tiltag (såkaldte supplerende foranstaltninger), der afhjælper eventuelle utilstrækkeligheder i beskyttelsesniveauet i landet, hvor oplysningerne overføres til. For andre overførselsgrundlag gælder også, at det skal sikres, at overførselsgrundlaget er effektivt i praksis, og supplerende foranstaltninger skal iværksættes, hvis beskyttelsesniveauet i landet er utilstrækkeligt.

Vejledningen henviser i vidt omfang til Det Europæiske Databeskyttelsesråds anbefalinger på området.

Datatilsynet gør desuden opmærksom på, at det i oplysningspligten overfor de registrerede skal stå, hvis personoplysninger overføres til et tredjeland, og at kravene til passende behandlingssikkerhed også gælder ved tredjelandsoverførsler.

”Transfer Impact Assessments”

Vejledningen løser ikke udfordringerne i lyset af Schrems II-dommen, hvor det fortsat er en vanskelig og tidskrævende vurdering for virksomheder og offentlige myndigheder, om personoplysninger lovligt kan overføres uden for EU, om lovgivningen i modtagerlandet hindrer en tilstrækkelig beskyttelse, samt hvilke supplerende foranstaltninger, der kan afhjælpe den manglende beskyttelse. I vejledningen fremgår, at der som udgangspunkt ikke er et metodekrav til vurderingen, men at det er vigtigt at kunne dokumentere overvejelser og beslutninger, der ligger til grund for vurderingen.

Poul Schmith/Kammeradvokaten og tech-firmaet Wired Relations har i samarbejde udarbejdet et digitalt værktøj, som guider dig igennem arbejdet med at udarbejde de såkaldte ”Transfer Impact Assessments” (TIA’er). Læs mere om værktøjet.

Brug af leverandører indenfor EU, der også er etableret udenfor EU

Der er desuden særligt grund til at være opmærksom på brug af leverandører indenfor EU, som også er etableret udenfor EU (f.eks. et datterselskab i EU, der har et moderselskab i USA), da det kan give særlige udfordringer.

En leverandør/databehandler i EU kan blive mødt med en anmodning fra myndighederne i tredjelandet, hvor det også er etableret, om at udlevere personoplysninger. Hvis personoplysningerne udleveres i strid med databehandleraftalen, er det en utilsigtet overførsel, som databehandleren selv bliver dataansvarlig for. Det kan derfor specificeres i databehandleraftaler med sådanne leverandører, at sådanne videregivelser ikke er tilladt.

Ved valget af leverandører/databehandlere, der også er etableret uden for EU, skal man i øvrigt være opmærksom på databeskyttelsesforordningens krav om kun at benytte databehandlere, som kan sikre tilstrækkelige garantier for, at forordningens regler bliver overholdt. I den forbindelse bør man ifølge vejledningen anmode databehandleren om at oplyse om regler i tredjelande, der kan pålægge databehandleren at udlevere personoplysninger til myndigheder i tredjelandet. Så vidt muligt kan det også anbefales at tilføje en klausul i databehandleraftalen om at databehandleren i videst muligt omfang skal modsætte sig sådanne anmodninger (en sådan klausul er ikke en del af Datatilsynets skabelon for databehandleraftaler).

Når du som dataansvarlig benytter en leverandør, der også er etableret udenfor EU, skal du desuden opfylde den generelle forpligtelse til at sikre en passende behandlingssikkerhed og føre tilsyn med databehandleren. Sørg derfor for, at der er en fælles forståelse af sikkerhedsforanstaltninger og tilsynsformen, f.eks. ved at henvise til internationale standarder (ISO, ISAE m.v.). Vær særlig opmærksom på tredjelandsoverførsler i forbindelse med tilsynet af databehandleren og grib straks ind over for databehandleren, hvis tredjelandsoverførsler opdages.

Hold dig opdateret: Få juridisk viden og indsigter fra vores eksperter direkte i din indbakke

Når du tilmelder dig vores nyhedsbreve, bliver du opdateret på seneste nyt fra de retsområder, som du ønsker at følge. Du får også adgang til kommende kurser, webinarer og arrangementer – alt sammen designet til at holde dig informeret og ajour. Uanset om du er på udkig efter rådgivning, viden eller netværksmuligheder, er vores nyhedsbreve din nøgle til det hele.