Kongressen.com
Analyse Premium

Nu er et godt tidspunkt at gense ens virksomheds dataoverførselsaftaler

Den 11. november offentliggjorde Det Europæiske Databeskyttelsesråd (EDPB) to dokumenter om rådets anbefalinger for overførsler af personoplysninger efter ”Schrems II”-dommen, der gjorde Privacy Shield-ordningen om overførsler af personoplysninger mellem EU og USA ugyldig. Det kan have store konsekvenser for din virksomhed.

Opsummeret bør databehandler og dataansvarlig nu samarbejde om at vurdere, hvorvidt lovgivning i datamodtagerens land beskytter personoplysningerne på samme måde som i EU. Hvis de konkluderer, at de ikke er beskyttet i samme grad, må de vurdere, om de kan indføre passende supplerende foranstaltninger, så personoplysningerne nyder samme beskyttelsen som i EU. Hvis det ikke kan lade sig gøre, så er overførslen ulovlig.

EDPB har udviklet en seks-trins guide til at hjælpe virksomheder med at vurdere om supplerende foranstaltninger er nødvendige for overførelser af personoplysninger til lande udenfor EU (tredjelande):

1. Kortlæg dataoverførsler

Hvilke personoplysninger bliver overført, hvortil, hvornår, hvem, og med hvilket formål bliver de overført? Mængden af personoplysninger i overførslerne bør kun være tilstrækkeligt, relevant og begrænset til, hvad der er nødvendigt for at opfylde til formålet.

2. Grundlag for overførsel af personoplysninger

Hvad er overførelsen af personoplysninger baseret på? Ad hoc kontrakter, bindende virksomhedsregler, eller Kommissionens standardkontrakt bestemmelser?

3. Lovgivning der forringer beskyttelsen af persondataoplysningerne

I vurderingen af beskyttelsen af personoplysninger i tredjelande bør EDPB’s anbefalinger om europæiske essentielle garantier inddrages. Hvis det, som med USA er tilfældet, at der er regler som forringer beskyttelsen af personoplysningerne, er det nødvendigt at indføre supplerende foranstaltninger.

4. Implementering af supplerende foranstaltninger

Her er det nødvendigt at lave en konkret vurdering på baggrunden af, hvilke personoplysninger der skal overføres, og hvad de skal bruges til. Det vil f.eks. være nødvendigt med supplerende foranstaltninger i tilfælde af overførelser til amerikanske udbydere af elektroniske kommunikationstjenester, da de kan blive beordret til at overføre data til den amerikanske regering jf. Section 702 i Foreign Intelligence Surveillance Act.
Annex 2 i rådets anbefalinger beskriver eksempler på mulige foranstaltninger, f.eks. kan end-to-end kryptering og en simpel lovning på ikke at efterleve executive order 12333 dataanmodninger fra amerikanske myndigheder være passende supplerende foranstaltninger.

5. Nødvendige processuelle skridt

Hvilke nødvendige processuelle skridt skal tages for at implementere de passende supplerende foranstaltninger? Det kan f.eks. være nødvendigt at få dem godkendt af datatilsynet.

6. Kontinuerlige revurderinger

Dataansvarlig/databehandler og datamodtager bør holde øje med ny problematisk lovgivning, og periodisk reevaluere om deres dataoverførselsaftale for at sørge for, at den stadig sikrer, at personoplysningerne bliver beskyttet på samme måde som i EU.

Det er desværre sandsynligt, at de foreslåede supplerende foranstaltninger ikke løser alle problemerne med overførsler til USA, da vejledningsudkastet i de fleste tilfælde foreslår strenge tekniske foranstaltninger, der reducerer eller fuldkommen eliminerer datamodtagerens mulighed for at bruge personoplysningerne.

Selvom der også bliver foreslået en kombination af kontraktuelle, organisatoriske og tekniske foranstaltninger, er anbefalingerne stadig generelt, at kun tekniske foranstaltninger er gode nok, hvis myndighederne har bred adgang til at indsamle personoplysninger, som det er tilfældet i USA.

På trods af at situationen vedrørende dataoverførsler til tredjelande i øjeblikket er uklar, så er omdrejningspunktet for tilgangen til persondatabeskyttelse i GDPR stadig i bred forstand risikobaseret. Nu er derfor et godt tidspunkt at gense ens virksomheds dataoverførselsaftaler.

Læs mere:

Anbefalinger om europæiske essentielle garantier.

Anbefalinger om iværksættelse af supplerende foranstaltninger.

Allerede medlem? Log ind her. Har du ingen adgangskode, så klik på "glemt/mangler din adgangskode?" nedenfor:

Læs også

Dagen, hvor Washington blev Bidens

Kongressen

Schumer ny flertalsleder: Flittig og med forbindelserne i orden

Simon Fjordvang Brenøe-Jensen

Welcome Mr. President

Mads Høeg-Mikkelsen

Trumps sidste benådninger

Emil Friis Lauszus

Fra sammenbrud til sammenhold: Bidens inspirationskilder til indsættelsestalen

Mark Herron

Bidens indsættelse skiller sig ud på mange måder, men symbolikken er stort set den samme

Mads Oddershede