Personoplysninger til usikre tredjelande: På baggrund af EU-Domstolens afgørelse i Schrems II-sagen har Det Europæiske Databeskyttelsesråd den 10. november 2020 vedtaget nye anbefalinger for overførsel af personoplysninger til tredjelande uden for EU/EØS.
Det er et helt grundlæggende krav efter persondataforordningen, at den beskyttelse, der følger af forordningen, skal følge med personoplysningerne, uanset hvor de befinder sig. Beskyttelsen må med andre ord ikke blive undermineret eller svækket ved en overførsel til et land udenfor EU/EØS, men skal i det væsentlige svare til det niveau, der er sikret i EU/EØS.
Det er op til den dataansvarlige, som ønsker at overføre personoplysninger til lande eller internationale organisationer udenfor EU/EØS, at sikre denne beskyttelse af personoplysningerne.
Det Europæiske Databeskyttelsesråds nye anbefalinger har til formål via en trin-for-trin beskrivelse at hjælpe de dataansvarlige virksomheder, der overfører persondata til tredjelande, med at vurdere, hvornår og hvordan personoplysninger kan overføres til tredjelande med beskyttelse i samme omfang, som hvis de befandt sig i EU/EØS.
Schrems II-sagen
Anbefalingerne er udarbejdet i kølvandet på den såkaldte Schrems II-sag, hvor EU-Domstolen erklærede EU-US-Privacy Shield-ordningen for ugyldig. Under EU-US Privacy Shield-ordningen var det muligt at overføre personoplysninger til modtagere i USA eller internationale organisationer i USA uden ansøgning om godkendelse eller udarbejdelse af kontrakter. Ordningen udgjorde derfor overførselsgrundlaget for langt de fleste europæiske virksomheder, der overførte personoplysninger til virksomheder i USA.
Du kan læse mere om vores vurdering af Schrems II-sagen her.
De to anbefalinger, som netop er kommet fra Det Europæiske Databeskyttelsesråd, omhandler netop, hvordan dataansvarlige skal vurdere de europæiske essentielle garantier og iværksætte eventuelle supplerende foranstaltninger.
Anbefaling om iværksættelse af supplerende foranstaltninger
Anbefalingen er opbygget som en trinvis guide til, hvordan man sikrer et tilstrækkeligt overførselsgrundlag, når man overfører personoplysninger til et tredjeland. Vurderingen af beskyttelsesniveauet og behovet for supplerende foranstaltninger er konkret og skal foretages for hver overførsel. De enkelte trin gennemgås overordnet i det følgende:
Trin 1: Kend dine overførsler.
Det er afgørende at kortlægge, hvornår, til hvem, til hvilke formål og hvilke personoplysninger der bliver overført til tredjelandet. For at kunne foretage en korrekt vurdering af de efterfølgende trin skal den dataansvarlige kende baggrunden for overførslerne.
Trin 2: Verificér dit overførselsgrundlag.
Den dataansvarlige skal vide, om overførslen er baseret på en afgørelse fra EU-Kommissionen (altså om EU-Kommissionen har vurderet, at tredjelandet er sikkert), indgåelse af EU-Kommissionens standardkontrakter eller på andet overførselsgrundlag.
Trin 3: Vurdér om lov eller praksis i tredjelandet forringer beskyttelsesforanstaltningerne i overførselsgrundlaget.
Den dataansvarlige skal vurdere landets sikkerhedsmæssige forhold (jf. uddybelse af garantierne nedenfor). Hvis hverken lovgivning eller praksis i tredjelandet udgør en forringelse af beskyttelsesforanstaltningerne i overførselsgrundlaget, kan overførslen ske uden supplerende foranstaltninger. Er det modsatte tilfældet, skal de resterende trin følges.
Trin 4: Identificér og implementér supplerende foranstaltninger.
Den dataansvarlige skal etablere de foranstaltninger, der er nødvendige for at sikre, at beskyttelsesniveauet lever op til EU’s standarder. Hvilke supplerende foranstaltninger, der er behov for, afhænger af de konkrete ”huller” i beskyttelsen, som er konstateret under trin 3. Hvis ikke det er muligt at opnå det fornødne beskyttelsesniveau med supplerende foranstaltninger, kan overførsel ikke ske lovligt.
Trin 5: Foretag nødvendige processuelle skridt for implementeringen.
Det kan være påkrævet at foretage formelle handlinger, når de valgte supplerende foranstaltninger skal iværksættes. Det kan fx være, at det er nødvendigt at indhente godkendelse fra Datatilsynet.
Trin 6: Revurdér på regelmæssig basis.
Det er vigtigtat holde øje med, om der sker ændringer, der kan påvirke effekten af de supplerende foranstaltninger og medføre, at beskyttelsesniveauet ikke længere er sikret tilstrækkeligt.
Anbefaling om europæiske essentielle garantier
Anbefalingen fra Det Europæiske Databeskyttelsesråd om de europæiske essentielle garantier indeholder de momenter, der indgår i vurderingen af, om tredjelandets beskyttelsesniveau er tilstrækkeligt, så de personoplysninger, der overføres, nyder samme beskyttelse i det modtagende tredjeland.
Formålet med garantierne er at kunne vurdere beskyttelsesniveauet ud fra, hvorvidt offentlige myndigheder i tredjelandet kan tilgå overførte personoplysninger eller kræve disse udleveret, og hvordan de retlige rammer for myndigheders adgang til personoplysninger er indrettet.
De fire europæiske essentielle garantier for, hvordan myndigheders adgang til personoplysninger kan reguleres i overensstemmelse med beskyttelsesniveauet i EU, er:
1. Behandling af personoplysninger skal baseres på klare, præcise og tilgængelige regler
Myndigheders adgang til at tilgå personoplysninger i tredjelandet skal fremgå klart og præcist af bindende og offentlige lovregler i tredjelandet. Hertil kommer, at de registrerede skal kunne støtte ret herpå i sager ved tredjelandets domstole, samt at reglernes anvendelsesområde skal være tydeligt.
Det skal fx fremgå præcist af offentlige love, hvorfor og hvornår politimyndigheder må aflytte borgeres telefonopkald.
2. De legitime interesser, der forfølges ved behandlingen, skal være nødvendige og proportionelle
Denne garanti indebærer, at hensynet til den registreredes rettigheder skal ses i lyset af det hensyn, den offentlige myndighed varetager. Dette betyder, at det strider mod garantien, hvis offentlige myndigheder har en mere omfattende adgang til at behandle personoplysninger, end formålet tilsiger. Det vil fx ikke være proportionelt eller nødvendigt at have regler, hvorefter samtlige overførte personoplysninger skal deles med myndigheder ud fra en generel interesse i kriminalitetsbekæmpelse.
3. Der skal være en uafhængig tilsynsmyndighed
Denne garanti omfatter, at der skal eksistere en effektiv, uafhængig og upartisk tilsynsordning sikret via en domstol eller tilsynsmyndighed, der er kompetent i sager om persondatabeskyttelse. Hertil kommer, at afgørelser fra tilsynsmyndigheden skal være bindende.
4. Der skal eksistere effektive retsmidler tilgængelige for de registrerede personer
Denne garanti indebærer, at der skal være effektive retsmidler, som på tilfredsstillende vis giver den registrerede mulighed for at håndhæve sine rettigheder. Det skal være muligt for den registrerede at få prøvet eventuelle retsbrud.
I lyset af disse fire essentielle garantier skal den dataansvarlige foretage en samlet konkret vurdering af beskyttelsesniveauet.
Denne vurdering skal således enten konkludere:
- at tredjelandets lovgivning ikke lever op til de essentielle garantier og altså ikke sikrer en beskyttelse af de registrerede, der i det væsentligste svarer til beskyttelsen efter reglerne i EU. Det vil i dette tilfælde som nævnt være nødvendigt at iværksætte supplerende foranstaltninger, førend overførsel kan ske, eller
- at tredjelandets lovgivning lever op til de essentielle garantier. Det vil herefter ikke være nødvendigt at vedtage supplerende foranstaltninger.
Supplerende foranstaltninger
Det Europæiske Databeskyttelsesråd kommer i deres anbefaling med en række eksempler på supplerende foranstaltninger, der kan overvejes under trin 4, men listen er ikke udtømmende.
De supplerende foranstaltninger har enten en kontraktuel, organisatorisk eller teknisk karakter. Det kan være en fordel at kombinere foranstaltninger med forskelligt sigte, således at beskyttelsen samlet set forstærkes. Det er altid konkret betinget, hvilke foranstaltninger der er mest effektive til at sikre beskyttelsen af de personoplysninger, der ønskes overført.
Effekten af de supplerende foranstaltninger knytter sig til de lovgivnings- og praksismæssige ”huller” i tredjelandet, der konstateres under trin 3.
En teknisk supplerende foranstaltning kan fx være kryptering af de personoplysninger, der overføres. Krypteringen skal opfylde visse tekniske krav, som skal tilpasses risikoen i det pågældende tredjeland, før den kan virke effektivt. Derudover vil foranstaltninger som fx pseudonymisering og to- eller multi-opdelt behandling, hvorved personoplysninger ikke er samlet hos én databehandler, kunne være mulige foranstaltninger.
Det vil herefter ofte være oplagt at supplere med kontraktuelle foranstaltninger, der fx ved kontrakt pålægger modtageren at sørge for, at de nødvendige tekniske foranstaltninger gennemføres og opretholdes. Modtageren kan også gennem kontrakt pålægges at føre en oversigt over gældende lovregler, der har betydning for databeskyttelsen af den pågældende overførsel.
CLEMENS Advokatfirmas bemærkninger
Det Europæiske Databeskyttelsesråds nye anbefalinger udspringer af EU-domstolens afgørelse i Schrems-II sagen, hvorefter de fleste europæiske virksomheder befandt sig i en situation, hvor de fra den ene dag til den anden overførte personoplysninger til USA uden et gyldigt overførselsgrundlag. Vejledningen er et forsøg på at imødegå konsekvenserne af denne afgørelse og bidrager i nogen grad til forståelsen af, hvordan virksomheder i praksis skal håndtere overførsel af personoplysninger til usikre tredjelande, herunder særligt USA.
Det følger dog af EU-domstolens afgørelse og Det Europæiske Databeskyttelsesråds nye anbefalinger, at virksomheder ikke blot kan anmode importøren i det pågældende tredjeland om at tiltræde Kommissionens standardkontrakter, idet gyldig brug af disse kontrakter også forudsætter, at virksomheden kan sikre beskyttelsesniveauet i det konkrete tilfælde.
—
Overfører din virksomhed personoplysninger til lande eller internationale organisationer udenfor EU/EØS, og er du i tvivl om, hvorvidt dette sker på et lovligt grundlag, står vores team af persondataspecialister altid klar til at hjælpe.
