De nye EU-anbefalinger ved tredjelandsoverførsler efter Schrems II-dommen

Nyhed

25.11.2020

EU-Domstolen har den 16. juli 2020 afsagt dom i Schrem II-sagen om overførsel af persondata fra EU til USA. Her underkendte de brugen af Privacy Shield-ordningen, som blev erklæret ugyldig. Hermed blev kravene i forhold til overførsel af persondata til tredjelande skærpet. Det blev pointeret, at dataeksportøren har et ansvar i at sikre, at beskyttelsesniveauet ikke forringes i en overførsel. Dermed skal dataeksportøren forud for en overførsel foretage en vurdering af beskyttelsesniveauet i det pågældende land samt sikre, at dataimportøren kan efterleve de essentielle garantier.

Det Europæiske Databeskyttelsesråds anbefalinger

Den 10. november 2020 vedtog Det Europæiske Databeskyttelsesråd to dokumenter, som er helt grundlæggende, når man vil overføre personoplysninger til lande uden for EØS. Det drejer sig om:

Anbefalingerne om europæiske essentielle garantier er endeligt vedtaget, mens anbefalingerne om supplerende foranstaltninger er sendt i offentlig høring inden endelig vedtagelse.

Anbefalingerne skal bidrage til at hjælpe eksportører af persondata med at vurdere tredjelande samt de nødvendige supplerende foranstaltninger, som skal iværksættes ved en overførsel til tredjelande. Anbefalingerne består af et roadmap i 6 trin:

Figur: Oversigt over, hvordan du sikrer, at der er det rette beskyttelsesniveau i forbindelse med overførsel af persondata til tredjelande

1. Dan et overblik

Dan jer et overblik over alle jeres overførsler til tredjelande. Det skal ligeledes sikres, at alle overførsler er relevante, tilstrækkelige samt begrænset til, hvad der er nødvendigt.

2. Afdæk overførselsgrundlaget

Afdæk, hvilket overførselsgrundlag der anvendes ved hver overførsel. Er der tale om sikkert tredjeland, skal I ikke gøre yderligere. Anvendes overførselsgrundlag i henhold til art. 46, se step 3.

3. Afdæk lovgivningen i tredjelandet

Afdæk lovningen i det pågældende tredjeland. Dataeksportøren skal sikre sig, at der ikke er lovgivning eller andet, som medfører en forringelse i beskyttelsen af den registrerede og de garantier, personoplysningerne er underlagt i henhold til overførselsgrundlaget. I vurderingen af tredjelandets lovgivning skal de essentielle garantier indgå, som indeholder følgende 4 punkter i anbefalingerne:

Behandlingen af data skal baseres på klare, præcise og tilgængelige regler
Behandlingen skal være nødvendig og proportionel i forhold til det legitime formål, som ønskes opnået
Overholdelsen af disse regler skal være underlagt en uafhængig myndigheds kontrol
Der skal være effektive retsmidler tilgængelige for de registrerede.

4. Identificer og vedtag supplerende foranstaltninger

Når det er konkluderet, at importlandets lovgivning ikke kan tilsikre et tilsvarende beskyttelsesniveau, så er det nødvendigt, at der iværksættes supplerende foranstaltninger, så tilsvarende beskyttelsesniveau kan opnås. Af anbefalingerne fremgår en liste (ikke udtømmende) over nogle af de supplerende foranstaltninger, som Det Europæiske Databeskyttelsesråd anser for effektive. Der kan være tale om både tekniske, organisatoriske og kontraktuelle foranstaltninger, som f.eks. kryptering, pseudonymisering, opdeling af dataflow mm. Der skal udarbejdes en konkret vurdering i hvert tilfælde om, hvad der anses for rette supplerende foranstaltninger.

5. Implementering af supplerende foranstaltninger

Iværksæt de nødvendige processuelle tiltag, som sikrer, at foranstaltninger bindes op på det overførselsgrundlag, der er valgt, herunder standardkontraktbestemmelser, BCR mv. I nogle tilfælde vil dette ligeledes kræve Datatilsynets godkendelse.

6. Løbende evaluering af beskyttelsesniveauet

Der skal foretages en løbende overvågning af, om de implementerede foranstaltninger fortsat sikrer det tilsvarende beskyttelsesniveau.

HjulmandKaptains kommentarer

Selvom disse anbefalinger tydeliggør, hvad der menes med supplerende foranstaltninger og giver mere konkrete svar på, hvad dataeksportører skal gøre i forbindelse med tredjelandsoverførsler, så efterlader det fortsat en stor opgave i forhold til vurderingen af det pågældende lands lovgivning samt vurdering af tilstrækkeligheden af disse foranstaltninger.

Det er afgørende for disse skærpede krav for overførsler til tredjelande, at alle vurderinger dokumenteres grundigt, og at man naturligvis forholder sig til den enkelte overførsel og sikrer, at vurderingen foretages samt dokumenteres.

Har du spørgsmål eller brug for rådgivning?

Er du i tvivl om, hvordan du skal forholde dig til de nye anbefalinger, og har du behov for rådgivning om overførsel af personoplysninger til tredjelande og de krav, som stilles i den forbindelse, er du altid velkommen til at kontakte en af vores specialister i persondataret.