insight featured image
Contents

Som følge af Schrems II-afgørelse er der blev fremsat nye krav til jeres overførsel af personoplysninger til ikke-sikre tredjelande uden for EU. På baggrund af denne afgørelse har Det Europæiske Databeskyttelsesråd (EDPB) udarbejdet en række anbefalinger til, hvordan I konkret skal forholde jer til de nye krav. Disse blev endeligt vedtaget den 18. juni 2021.

Hvis I behandler persondata og fx benytter leverandører (underdatabehandlere) uden for EU til håndtering af jeres persondata er det vigtigt, at I sætter jer ind i, hvilke konsekvenser, afgørelser har for jer, og om I fx skal implementere supplerende sikkerhedsforanstaltninger for at sikre jeres data. Disse underdatabehandlere kan være store virksomheder som Microsoft, Google og Amazon, men også jeres mindre underleverandører kan være berørt af afgørelsen.

Herunder har vi gengivet de seks trin, som EDPB har fremsat i deres vejledning og som bør gennemføres, hvis I overfører persondata til tredjelande eller internationale organisationer.

1. Kend dine overførsler

I bør kortlægge og registrere, hvilke overførsler og videreoverførsler af persondata, der foretages, herunder:

  • Hvilke underdatabehandlere (og/eller under-underdatabehandlere), der overføres til
  • Formål med overførslen
  • Kategorier og typer af persondata, der overføres


2. Identificer det lovgrundlag, som du vil bruge til at overføre personoplysninger på baggrund af

Der er en række mulige lovgrundlag for overførsel:

  • Sikre tredjelande/organisationer
  • Retlig bindende aftaler mellem offentlige organisationer
  • Ad hoc kontrakter (skal godkendes af tilsynsmyndighed)
  • Adfærdskodekser og certificeringsmekanismer
  • Bindende virksomhedsregler (BCR)
  • Standardkontrakter (SCC)
  • Særlige undtagelser

Hvis I vil anvende én af de fremhævede overførselsgrundlag, skal I vurdere beskyttelsesniveauet i modtagerlandet – se step 3.

Det vil oftest være ’Standardkontrakter’, som skal benyttes for overførsel til fx en underdatabehandler i et tredjeland.

EKSTRA INFO:

Europa Kommissionen har den 4. juni 2021 vedtaget en ny skabelon til standardbestemmelser til brug for overførsel til tredjelande (SCC). Disse skal benyttes fra den 27. september 2021.

Når I benytter standardbestemmelserne, skal I sikre jer, at kontrakterne er korrekt indgået, samt at jeres virksomhed eller myndighed i øvrigt kan leve op til de forpligtelser, som kontrakterne indeholder.

Hvis I anvender de ”gamle” SCC’er, kan disse benyttes indtil den 27. december 2022 (behandlingen skal dog være uændret).

Den nye SCC kan findes her.

3. Vurder om beskyttelsesniveauet i modtagerlandet svarer til det niveau, der er sikret inden for EU

Vurderingen skal i høj grad lægge vægt på og tage stilling til love i modtagerlandet, som indeholder forpligtelser til at videregive personoplysninger til offentlige myndigheder eller giver disse ret til at tilgå personoplysninger.

Derudover skal vurderingen ikke kun lægge vægt på den konkrete lovgivning i landet men også relevant retspraksis i det gældende land (se EKSTRA INFO herunder).

Hvis vurderingen leder til den konklusion, at beskyttelsesniveauet i modtagerlandet ikke i det væsentlige svarer til det niveau, der er sikret inden for EU, skal der træffes supplerende foranstaltninger – se step 4.

Transfer Impact Assessment (“TIA”):

Ved anvendelse af EDPB’s nye SCC (se step 3 herover) er I underlagt at udarbejde en Transfer Impact Assessment (TIA), som skal gøres tilgængelig for den relevante tilsynsmyndighed ved dennes anmodning.

TIA’en skal omfatte:

  1. Vurdering af love og praksis i tredjeland (se ovenstående)
  2. Hovedkontraktens varighed
  3. Omfanget og frekvensen af overførslerne
  4. Længden af behandlingskæden og anvendt transmissionskanal
  5. Type af modtager
  6. Karakteren af de oplysninger, der overføres

EKSTRA INFO:

I de endeligt vedtagende anbefalinger fra EDPB (18. juni 2021) er der tilføjet et aspekt om også at undersøge ’praksis’ i forhold til lovgivning i det givne land, som der overføres til særligt i følgende situationer:

  • Hvor lovgivningen formelt lever op til EU’s standarder, men dette ikke i praksis overholdes af myndighederne i tredjelandet.
  • Når lovgivning i tredjeland er mangelfuld, og praksis ikke er forenelig med forpligtelserne, som er angivet i overførselsgrundlaget.
  • Når overførslen er omfattet af problematisk lovgivning.

EDPB’s vejledning kan findes her.

4. Vurder hvilke supplerende foranstaltninger, der er nødvendige

Supplerende foranstaltninger kan være:

  1. Kontraktuelle, fx kontrakttilføjelser om gennemsigtighed eller at tilgang til data skal godkendes af datasubjekter  
  2. Tekniske, fx kryptering, pseudonymisering, split/opdelt processering  
  3. Organisatoriske, fx politikker for governance af overførsler, træning af medarbejdere og dataminimering

I EDPB’s vejledning findes eksempler på de supplerende foranstaltninger, som kan benyttes til at opnå et tilsvarende beskyttelsesniveau i forhold til bestemte scenarier.

5. Implementer de supplerende foranstaltninger

I skal herefter fortage de nødvendige handlinger for at implementere de supplerende foranstaltninger.


6. Løbende evaluering af modtagerland og overførslen

I og jeres dataimportører skal i samarbejde løbende vurdere udviklingen i modtagerlandet, som kan påvirke den foretagne overførsel. Hvis jeres dataimportør har haft et databrud eller ikke længere kan overholde forpligtelser, bør overførslen straks stoppes.

Kontakt os for input

Husk at nedskrive jeres overblik, vurderinger og overvejelser – også hvis I kun foretager én eller få overførsler. Det er desuden forståeligt, at ovenstående trin kan føles som et stort og uoverskueligt arbejde, særligt fordi ovenstående stadig er forholdsvis nyt, og der fortsat er mange spørgsmål, som yderligere gør det svært at vide præcist, hvordan man skal forholde sig.

Husk dog at det altid er bedre at have gjort sit bedste end slet ikke at have gjort noget!

Vi forventer også, at Datatilsynet i den kommende tid vil foretage tilsyn inden for området, hvilket vil kunne give større klarhed over, hvad der er ”godt nok”, samt at der fx vil komme nye tiltag fra de store cloud-leverandører. Det er derfor også vigtigt, at I løbende holder jer orienteret i forhold til nye vejledninger og afgørelser.


Hvis I har brug for sparring eller hjælp til at komme i gang, er I velkomne til at kontakte Head of IT Audit & Advisory, Anders Grønning-Kjærgaard på telefon +45 35 27 50 53 og mail anders.kjaergaard@dk.gt.com eller IT revisor (CIPP/E), Camilla Immerkær telefon +45 35 27 50 90 og mail camilla.immerkaer@dk.gt.com.