Bliv klogere på de nye anbefalinger om krav til dataoverførsel til tredjelande

Schrems II-dommen

Med sin afgørelse af Schrems II-sagen slog EU-Domstolen fast, at EU-US Privacy Shield-rammeaftalen var ugyldig. Samtidig skærpede Domstolen kravene til både dataansvarlige og tilsynsmyndigheder i forbindelse med en fortsat brug af EU-Kommissionens standardkontrakter som overførselsgrundlag. 

Ifølge dommen skal dataeksportøren eksempelvis suspendere overførsel af personoplysninger til usikre tredjelande, hvis dataeksportøren vurderer:

• at beskyttelsesniveauet ikke (længere) modsvarer beskyttelsesniveauet inden for EU/EØS
• at det ikke er muligt at kompensere for det utilstrækkelige beskyttelsesniveau med passende supplerende foranstaltninger.

Den beskyttelse, personoplysninger er underlagt i EU/EØS, skal med andre ord følge personoplysningerne, uanset hvor de overføres til, og overførsel af personoplysninger til tredjelande må derfor ikke medføre en underminering af beskyttelsen i EU/EØS. Dette omtales også som "europæiske essentielle garantier".

Læs vores nyhed om Schrems II-dommen.

Anbefalinger om europæiske essentielle garantier

Følgende essentielle garantier skal indgå i dataeksportørens vurdering af, om beskyttelsesniveauet i det usikre tredjeland er sammenligneligt med beskyttelsesniveauet inden for EU/EØS – og dermed, om der skal iværksættes supplerende foranstaltninger eller ej:

1. Behandlingen skal være baseret på klare, præcise og tilgængelige regler.
    
2. De legitime interesser, der forfølges, skal være nødvendige og proportionelle.
    
3. Der skal eksistere en uafhængig tilsynsmekanisme (såsom de europæiske datatilsynsmyndigheder).
    
4. Der skal være effektive retsmidler tilgængelige for de registrerede.

En sådan vurdering kan dog være særligt vanskelig, hvis lovgivningen i tredjelandet ikke er tilstrækkelig transparent.  

Anbefalinger til supplerende foranstaltninger

Det Europæiske Databeskyttelsesråds anbefalinger til supplerende foranstaltninger er i høring frem til den 21. december 2020. Såfremt ovenstående vurdering viser, at beskyttelsesniveauet i det pågældende tredjeland ikke er sammenligneligt med EU/EØS, skal dataeksportøren og/eller dataimportøren i det pågældende usikre tredjeland undersøge mulighederne for implementering af supplerende foranstaltninger for at sikre en passende beskyttelse af de registreredes rettigheder. 

Det Europæiske Databeskyttelsesråd angiver en række eksempler på sådanne foranstaltninger, herunder: 

• Tekniske foranstaltninger 
  Eksempelvis kryptering eller pseudonymisering, der umuliggør eller væsentligt vanskeliggør dataimportørens og andre tredjeparters adgang til de pågældende personoplysninger.
• Organisatoriske foranstaltninger
  Eksempelvis implementering af processer og politikker til dokumentation af anmodninger fra myndigheder om udlevering af personoplysninger, gennemsigtighed m.v.
• Kontraktuelle foranstaltninger
  Eksempelvis krav om implementering af visse tekniske foranstaltninger, forøgelse af dataeksportørens ret til at gennemføre audit, krav om vurdering og om nødvendigt bestridelse af anmodninger fra myndigheder om udlevering af personoplysninger. 
   

Vores rådgivning

Kromann Reumerts specialister rådgiver om alle juridiske aspekter af persondataretten og har mange års erfaring med at rådgive om overførsel af personoplysninger til tredjelande. 

Overførsel af data til lande uden for EU er kompleks – særligt efter EU-Domstolens afgørelse i Schrems II-sagen. Vi bistår både nationale og internationale virksomheder og offentlige myndigheder med rådgivning om overførsler af personoplysninger til tredjelande. Vi hjælper blandt andet med at vælge det mest passende overførselsgrundlag, vurdere tredjelandenes beskyttelsesniveau og med at identificere samt implementere effektive supplerende sikkerhedsforanstaltninger.