DAEN

MENU

Nye endelige anbefalinger om supplerende foranstaltninger ved tredjelandsoverførsler vedtaget af EDPB

I denne nyhed giver vi et overblik over de nye anbefalinger og deres forhold til EU-Kommissionens nyligt vedtagne endelige standardkontraktbestemmelser om overførsler af personoplysninger til tredjelande.

I denne nyhed giver vi et overblik over de nye anbefalinger og deres forhold til EU-Kommissionens nyligt vedtagne endelige standardkontraktbestemmelser om overførsler af personoplysninger til tredjelande.

Formålet med de nye anbefalinger

Formålet med EDPB’s anbefalinger er at vejlede organisationer om, hvordan man lovligt kan overføre personoplysninger fra EU til usikre tredjelande i overensstemmelse med databeskyttelsesforordningen. Når personoplysninger skal overføres til tredjelande, skal der efter Schrems II-dommen sikres en beskyttelse af personoplysningerne, der i det væsentlige svarer til beskyttelsen efter databeskyttelsesforordningen læst i lyset af EU-charteret.

Anbefalingerne sætter her særligt fokus på, hvilke forhold dataeksportøren kan tage i betragtning – og med hvilken vægt – i vurderingen af, om tredjelandets lovgivning og praksis sikrer den fornødne beskyttelse af personoplysningerne.

EDPB giver også anbefalinger til, hvilke supplerende foranstaltninger dataeksportøren kan anvende med henblik på at sikre den fornødne beskyttelse, hvis tredjelandet ikke sikrer en tilstrækkelig beskyttelse.

I november 2020 sendte EDPB et udkast til anbefalinger i offentlig høring. Høringen er nu afsluttet, og de endelige anbefalinger foreligger nu.

EDPB’s køreplan for vurdering af overførsler til tredjelande

EDPB’s anbefalinger indeholder i essensen den samme 6-trins-køreplan til dataeksportørers håndtering af internationale overførsler, som der blev lagt op til i høringsversionen af anbefalingerne. Med modifikationer i forhold til de indledende skridt fremstår køreplanen fra EDPB endeligt som følger:

  1. Få kortlagt og dokumenteret, hvilke tredjelande der overføres personoplysninger til.
  2. Sørg for at have et lovligt overførselsgrundlag efter databeskyttelsesforordningens kap. V.
  3. Undersøg modtagerlandets lovgivning og praksis med henblik på at vurdere, om der i forhold til den konkrete overførsel er mulige hindringer for en effektiv beskyttelse af personoplysningerne.
  4. Identificér og udvælg supplerende foranstaltninger, hvis resultatet af ovennævnte vurdering viser, at modtagerlandet ikke giver den tilstrækkelige beskyttelse.
  5. Implementér mulige supplerende foranstaltninger, herunder foretag forhandling med kontraktparter og opnå godkendelse fra Datatilsynet ved brug af ad hoc-aftaler, der afviger fra standardkontrakterne.
  6. Revurdér løbende beskyttelsesniveauet og gennemfør tilsyn med mulige forandringer, der kan påvirke beskyttelsen.

Væsentlige ændringer i de nye anbefalinger

De væsentligste ændringer i de nye anbefalinger vedrører vurderingen af, om det valgte overførselsgrundlag i praksis vil sikre en effektiv beskyttelse af de overførte personoplysninger i tredjelandet (trin 3 ovenfor), jf. anbefalingernes afsnit 2.3.

De nye anbefalinger åbner således op for, at dataeksportøren kan se på tredjelandets myndigheders praksis, når dataeksportøren skal vurdere, om modtagerlandet yder det fornødne beskyttelsesniveau. Det gælder også i de situationer, hvor tredjelandets lovgivning er ”problematisk”, fordi det formentlig ikke lever op til det fornødne beskyttelsesniveau. I den forbindelse fastslår EDPB, at det vil være muligt til en vis grad at lægge vægt på dataimportøren i tredjelandets praktiske erfaringer. EDPB stiller dog ganske strenge krav til dataeksportørens undersøgelse af modtagerlandets lovgivning og praksis og angiver i et bilag en række objektive kilder i prioriteret rækkefølge, som vurderingen skal baseres på.

Det vil ifølge anbefalingerne især i følgende situationer være relevant at undersøge praksis:

  1. Når et tredjelands lovgivning formelt lever op til EU’s standarder, men i praksis ikke efterleves af myndighederne i tredjelandet.
  2. Når lovgivningen i et tredjeland er mangelfuld og praksis i tredjelandet er uforenelig med de forpligtelser, der er fastsat i det valgte overførselsgrundlag.
  3. Når overførslen eller dataimportøren er omfattet af problematisk lovgivning i tredjelande.

En anden væsentlig ændring i de nye anbefalinger er, at EDPB præciserer, at lovgivning i et tredjeland, som tillader myndighederne at få adgang til personoplysninger uden om dataimportøren, f.eks. muligheden for at tilgå data under transit, også påvirker effektiviteten af overførselsgrundlaget.

Anbefalingernes relevans i forhold til de nye standardkontraktbestemmelser fra EU-Kommissionen

Selvom dataeksportøren anvender de nye standardkontraktbestemmelser, skal dataeksportøren fortsat vurdere, om de i praksis sikrer en effektiv beskyttelse af personoplysninger.

I standardkontraktbestemmelserne skal dataeksportøren bl.a. vurdere, om tredjelandets lovgivning og praksis sikrer den fornødne beskyttelse, jf. bestemmelse 14 i standardkontraktbestemmelserne (trin 3 ovenfor). Her kan EDPB’s endelige anbefalinger anvendes som vejledning til at foretage og dokumentere denne vurdering.

Hvis det vurderes, at standardkontraktbestemmelserne i praksis ikke sikrer den fornødne beskyttelse i forhold til den konkrete overførsel af personoplysningerne, skal dataeksportøren sørge for at fastsætte passende supplerende foranstaltninger i standardkontraktbestemmelserne (trin 4 ovenfor). Her kan EDPB’s anbefalinger anvendes til at fastsætte de konkrete supplerende foranstaltninger i tillæg til standardkontraktbestemmelserne.

EDPB’s anbefalinger om supplerende foranstaltninger vil med andre ord i praksis skulle bruges i tillæg til standardkontraktbestemmelserne.

Hvad har vi i vente fremadrettet?

Anbefalingerne er nu endelige og skal anvendes i praksis af organisationer, der ønsker at overføre personoplysninger til usikre tredjelande. Der udestår dog fortsat en række endnu uafklarede spørgsmål, herunder navnlig hvor omfattende og detaljeret dataeksportørernes vurdering og dokumentation af tredjelandets lovgivning og praksis skal være. Tilsvarende gælder det lovlige råderum for overførsel af personoplysninger i forbindelse med cloud-løsninger, herunder til USA.

Disse spørgsmål skal afklares i praksis. Det må forventes, at vi forholdsvis snart får afgørelser fra Datatilsynet, der har varslet tilsyn med overholdelse af Schrems II-dommen allerede i 2021. Hertil kommer, at NGO’en ”NOYB” har indgivet en lang række klagesager vedrørende tredjelandsoverførsler til europæiske datatilsyn.

Derudover arbejder EU-Kommissionen og de amerikanske myndigheder fortsat på at etablere en ny ordning for overførsel af personoplysninger til virksomheder i USA. Denne ordning skal afløse den såkaldte Privacy Shield-aftale, som blev erklæret ugyldig af EU-Domstolen i Schrems II-dommen.

Vores anbefalinger

Køreplanen i EDPB’s endelige anbefalinger kommer i praksis til at udgøre fundamentet for organisationers vurderinger af lovligheden af deres internationale overførsler af personoplysninger. Det må anbefales, at man tilrettelægger sine procedurer i overensstemmelse med denne køreplan.

I praksis vil EDPB’s anbefalinger i vidt omfang skulle anvendes side om side med EU-Kommissionens nye standardkontraktbestemmelser; dels i forhold til pejlemærker for vurderingen af tredjelandets lovgivning og praksis, dels i forhold til fastsættelse af supplerende foranstaltninger – i tillæg til standardkontraktbestemmelserne – i de situationer, hvor tredjelandet ikke lever op til et tilstrækkeligt sikkerhedsniveau.

Vi anbefaler, at man sikrer skriftlig dokumentation for de vurderinger, man foretager af tredjelandets lovgivning og praksis, samt behovet for at fastsætte supplerende foranstaltninger. Dette er således både et krav for at kunne leve op til standardkontraktbestemmelserne og EDPB’s anbefalinger. Dokumentationen kan med fordel ske i en skriftlig såkaldt ”Transfer Impact Assessment”, der omfatter en samlet vurdering af lovligheden af overførslen.

Hvis du har behov for sparring til at håndtere kravene i de nye anbefalinger og standardkontraktbestemmelserne, herunder udarbejdelse af Transfer Impact Assessments, er du altid velkommen til at kontakte os.

Hold dig opdateret: Få juridisk viden og indsigter fra vores eksperter direkte i din indbakke

Når du tilmelder dig vores nyhedsbreve, bliver du opdateret på seneste nyt fra de retsområder, som du ønsker at følge. Du får også adgang til kommende kurser, webinarer og arrangementer – alt sammen designet til at holde dig informeret og ajour. Uanset om du er på udkig efter rådgivning, viden eller netværksmuligheder, er vores nyhedsbreve din nøgle til det hele.