Jurainfo logo
LUK
Juridiske nyheder Arrangementer Find juridisk specialist Domme
Om Jurainfo Bliv samarbejdspartner Juridiske links Privatlivspolitik Kontakt
Artikel

Nye EU-anbefalinger om internationale overførsler af personoplysninger – hvad gælder nu?

Bech Bruun
13/11/2020
344
Nye EU-anbefalinger om internationale overførsler af personoplysninger – hvad gælder nu?
Bech Bruun logo
Det Europæiske Databeskyttelsesråd har den 10. november 2020 vedtaget de længe ventede anbefalinger om europæiske essentielle garantier og iværksættelse af supplerende foranstaltninger i kølvandet på Schrems II-afgørelsen.

Den 16. juli 2020 afsagde EU-domstolen afgørelse i den såkaldte Schrems II-sag. Med afgørelsen blev der stillet nye krav til overførsler af personoplysninger til lande uden for EU/EØS. Afgørelsen understreger, at eksportører af personoplysninger (stadig) skal foretage en konkret vurdering af, om beskyttelsesniveauet i det land, personoplysningerne overføres til, svarer til beskyttelsesniveauet i EU/EØS (såkaldte essentielle garantier, jf. yderligere nedenfor). Er det ikke tilfældet, kan overførslen ikke ske lovligt, medmindre der iværksættes ”passende supplerende foranstaltninger”. Den beskyttelse, personoplysninger er underlagt i EU/EØS skal med andre ord følge oplysningerne, uanset hvor de føres hen, og overførsel af personoplysninger til tredjelande må derfor ikke medføre underminering af beskyttelsen i EU/EØS.


Med det formål at hjælpe dataansvarlige med at foretage en vurdering af, om det er nødvendigt at implementere supplerende foranstaltninger, og hvilke foranstaltninger der i givet fald er passende, har Det Europæiske Databeskyttelsesråd i sine anbefalinger inkluderet en trin for trin guide:


Trin 1:

Få styr på dine overførsler – hvilke personoplysninger overføres hvornår, hvortil og til hvilke formål? Det er afgørende, at overførslerne er tilstrækkelige, relevante og begrænsede til, hvad der er nødvendigt under hensyntagen til formålet med overførslen.


Trin 2:
Identificér dit overførselsgrundlag. Er overførslen baseret på Kommissionens standardkontraktbestemmelser eller et andet overførselsgrundlag?


Trin 3:
Er der lov eller anden praksis i importørens land, der medfører, at de beskyttelsesforanstaltninger, overførselsgrundlaget indeholder, forringes? I forbindelse med denne vurdering inddrages de europæiske essentielle garantier, som Det Europæiske Databeskyttelsesråd har vedtaget. Hvis ikke der er lovgivning eller praksis i importørens land, der påvirker overførselsgrundlagets beskyttelsesforanstaltninger i negativ retning, kan overførselsgrundlaget benyttes til overførsel af personoplysninger, uden yderligere foranstaltninger skal foretages. I modsat fald er det nødvendigt at fortsætte til guidens trin 4.


Trin 4:
Identifikation og implementering af supplerende foranstaltninger. Det Europæiske Databeskyttelsesråd har vedtaget anbefalinger indeholdende eksempler på supplerede foranstaltninger (se eksempler nedenfor), men det er nødvendigt at foretage en konkret vurdering af, hvilke foranstaltninger der er passende.


Trin 5:
Tag de nødvendige formelle processuelle skridt, som implementeringen af de passende supplerende foranstaltninger kræver. Det kan fx i visse tilfælde være nødvendigt at indhente Datatilsynets godkendelse.


Trin 6:
De supplerende foranstaltninger skal revurderes med passende intervaller, så det sikres, at de modsvarer det aktuelle beskyttelsesniveau i det land, som oplysningerne overføres til.


Essentielle garantier

Med vedtagelsen af de europæiske essentielle garantier har Det Europæiske Databeskyttelsesråd opdateret de tidligere vedtagne europæiske garantier. Formålet med de vedtagne garantier er at give nogle elementer, der kan indgå i vurderingen af, om lovgivningen eller anden praksis i importørens land medfører, at overførselsgrundlagets beskyttelsesforanstaltninger forringes.


De fire vedtagne europæiske essentielle garantier er:


  • Behandlingen skal være baseret på klare, præcise og tilgængelige regler
  • De legitime interesser, der forfølges, skal være nødvendige og proportionelle
  • Der skal eksistere en uafhængig tilsynsmekanisme
  • Der skal være effektive retsmidler tilgængelige for de registrerede.


Supplerende foranstaltninger

Det Europæiske Databeskyttelsesråd har vedtaget en række anbefalinger for at hjælpe eksportører af personoplysninger med at identificere de passende supplerende foranstaltninger, der kan sikre, at overførsler kan ske på baggrund af Kommissionens Standardkontraktbestemmelser, selvom importørens land ikke lever op til de europæiske essentielle garantier.


Hvilke supplerende foranstaltninger, der er tilstrækkelige, skal vurderes konkret fra sag til sag. Det Europæiske Databeskyttelsesråds anbefalinger indeholder dog en række eksempler på supplerende foranstaltninger. Der gives således både eksempler på tekniske, organisatoriske og kontraktuelle supplerende foranstaltninger. Blandt andet angives stærk kryptering, pseudonymisering, organisatoriske foranstaltninger der sikrer transparens, og kontraktuelle forpligtelser, der muliggør, at registrerede kan udøve sine rettigheder over for importøren. Listen er ikke udtømmende, og det betyder, at andre foranstaltninger, end dem der er oplistet i anbefalingen, kan være ”passende”.


Bech-Bruuns kommentar

Det Europæiske Databeskyttelsesråds anbefalinger er et bidrag til dataansvarliges arbejde med vurderingen af, om det er nødvendigt at implementere supplerende foranstaltninger i forbindelse med overførsel af personoplysninger til tredjelande, og hvilke supplerende foranstaltninger der i givet fald skal implementeres. Det er særligt aktuelt i lande, hvor national overvågningslovgivning eller -praksis medfører, at offentlige myndigheder kan tilgå personoplysninger eller kræve personoplysninger udleveret, men kan også være aktuelt i andre tilfælde, fx hvis et lands retssystem ikke giver registrerede adgang til effektive retsmidler i forbindelse med behandling af personoplysninger.


Kravet om, at dataansvarlige skal foretage konkrete vurderinger i relation til hver enkelt overførsel, indebærer, at der stilles endnu større krav til overførselsgrundlaget end hidtil. Det må i den forbindelse understreges, at det er afgørende, at dataansvarlige, der fører oplysninger ud af EU/EØS sørger for grundig dokumentation af vurderinger af, om hver enkelt overførsel kræver implementering af supplerende foranstaltninger, og hvilke supplerende foranstaltninger der i givet fald er fundet passende. For at sikre, at de nødvendige og tilstrækkelige vurderinger foretages rettidigt (inden overførslen iværksættes), er det afgørende, at dataansvarlige sikrer, at nye potentielle overførsler identificeres og vurderes, fx i relation til nye overførsler til koncernselskaber eller databehandlere udenfor EU. Herefter skal der implementeres og dokumenteres interne procedurer for, hvordan der implementeres supplerende foranstaltninger i forbindelse med overførsler af personoplysninger. Dataansvarlige skal også være opmærksomme i forhold til databehandleres brug af underdatabehandlere, så det både i forbindelse med indgåelse af aftalen og ved efterfølgende udskiftning/ udpegning af underdatabehandlere sikres, at databehandleren foretager og dokumenterer ovenstående vurdering.


Det Europæiske Databeskyttelsesråds anbefalinger uddyber og nuancerer den vurdering, dataansvarlige skal foretage i forbindelse med overførsler til tredjelande. Anbefalingerne er dog ikke så tilstrækkeligt konkretiserede, at de sætter dataansvarlige uden dybdegående teknisk og juridisk kendskab i stand til egenhændigt at gennemføre den påkrævede vurdering.


Hos Bech-Bruun er vi specialiserede i de databeskyttelsesretlige regler, herunder overførsel af personoplysninger til tredjelande. Har I behov for rådgivning om overførsel af personoplysninger til tredjelande og de krav, som stilles i den forbindelse, er I meget velkomne til at kontakte én af vores specialister på området.

Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte os. Du finder kontaktoplysningerne nedenfor.
Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores nyhedsservice her.
Bech Bruun logo
København
Langelinie Allé 35
2100 København Ø
72 27 00 00
72 27 00 27
info@bechbruun.com
Aarhus
Værkmestergade 2
8000 Aarhus C
New York
412 West 15th Street, 15th
New York 10011
Shanghai
No.1440 Yan'an Middle Road
Suite 2H08, Jing'an District
200040 Shanghai
Ledige jobs
Jurainfo logo
Annoncér dit stillingsopslag her og nå ud til mere end 29.000 månedlige besøgende

Juridiske nyheder & artikler

Hold dig opdateret på de seneste juridiske nyheder eller søg blandt de mere end 4.000 artikler som allerede er udgivet. Vi har samlet det vigtigste viden ét sted.

Juridiske kurser & arrangementer

Find nemt dit næste kursus eller anden relevant efteruddannelse inden for dit felt. Søg på tværs af fagområder fra en række forskellige udbydere.

Find Juridisk Specialist

Brug for en advokat? Søg efter verificerede specialister på tværs af advokatbranchen og find en specialist inden for det område, hvor du søger råd og vejledning.

Nyhedsservice
Gå ikke glip af vigtig juridisk viden
Vælg selv dine interesseområder og modtag juridisk nyt fra landets førende specialister.
Tilmeld dig nu
Jurainfo logo

Jurainfo.dk er landets største juridiske online-platform samt formidler af juridisk viden. Her finder du juridiske nyheder, kurser og arrangementer. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
Vandtårnsvej 77, DK-2860 Søborg
E-mail: kontakt@jurainfo.dk
CVR-nr. 38375563
© 2020 Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted