VURDERINGER
Konsekvensanalyse af dataoverførsler (DTIA)
Hvis en virksomhed har til hensigt at overføre personoplysninger til et tredjeland, der ikke har et tilstrækkeligt beskyttelsesniveau, skal den først foretage en konsekvensanalyse af dataoverførslen, også kendt som “DTIA”.
Hvornår skal virksomhederne foretage en konsekvensanalyse af dataoverførsler (DTIA)?
En konsekvensanalyse vedrørende dataoverførsler (DTIA) er en organisatorisk sikkerhedsforanstaltning, som virksomhederne skal gennemføre, inden de overfører personoplysninger til et tredjeland, medmindre det pågældende land har et tilstrækkeligt beskyttelsesniveau. Desuden kan indirekte dataoverførsler også overvejes, hvilket mange ikke tænker på. Hvis en virksomhed f.eks. anvender en cloudtjeneste til at behandle personoplysninger, men cloudtjenesteudbyderen har sine aktiviteter uden for EU/EØS-landene. Som følge heraf kan mange daglige tjenester, der anvendes af virksomheder, være omfattet, f.eks. tjenesteudbydere fra tredjelande, der leverer e-mailtjenester, webanalyseværktøjer eller CRM-systemer.
Bemærk, at det ofte er nødvendigt at udarbejde en konsekvensanalyse af dataoverførsler, selv om virksomheden anvender de standardkontraktbestemmelser, som Europa-Kommissionen har udarbejdet, også kendt som “SCC”.
Hyppig brug af udbydere i god tro og offentlige udbud, der kræver en konsekvensanalyse af dataoverførsler
Det er almindeligt, at virksomheder skal foretage og dokumentere en konsekvensanalyse af dataoverførsler, da det ofte er et krav for at vinde et offentligt udbud. Desuden er det ikke usædvanligt, at leverandører i god tro og større virksomheder kræver det af deres partnere og underleverandører. Gennemførelse af konsekvensanalyser af dataoverførsler kan også øge kundernes og arbejdstagernes tillid.
Definition af "tredjeland" og "tilstrækkeligt beskyttelsesniveau"
Tredjeland
Et land uden for EU/EØS betegnes som et tredjeland i henhold til GDPR. Hvis en virksomhed i EU/EØS overfører personoplysninger til et tredjeland, gælder der strengere regler, end hvis der var tale om en overførsel mellem to aktører inden for Unionen.
Tilstrækkelige
Virksomheder kan overføre personoplysninger til et tredjeland uden at skulle give yderligere garantier, hvis det pågældende tredjeland sikrer et tilstrækkeligt beskyttelsesniveau. Bemærk venligst, at det i henhold til artikel 45 i den generelle forordning om databeskyttelse kun er Europa-Kommissionen, der kan træffe afgørelse herom. Desuden behøver det ikke nødvendigvis at være et land, for hvilket afgørelsen om tilstrækkeligheden af beskyttelsesniveauet er truffet, men kan også kun vedrøre et bestemt område i et land. Med henblik på vurderingen undersøger Kommissionen bl.a., om der findes uafhængige tilsynsmyndigheder for databeskyttelse i det pågældende tredjeland. Afgørelsen er også baseret på de registreredes retlige muligheder, hvis det pågældende tredjeland respekterer menneskerettighederne osv. En liste over de respektive tredjelande med et tilstrækkeligt beskyttelsesniveau offentliggøres på Europa-Kommissionens websted.
Formålet med at foretage en konsekvensanalyse af dataoverførsler
Formålet med at udarbejde konsekvensanalysen er at vurdere, om modtagerlandet har et tilstrækkeligt beskyttelsesniveau for personoplysninger i overensstemmelse med EU’s krav. F.eks. de retsmidler, som de registrerede har til rådighed til at udøve deres rettigheder, love om social overvågning, retssikkerhed i landet osv.
Hvad bør en konsekvensanalyse af dataoverførsel omfatte?
Kortlægning
For det første er det nødvendigt at identificere og identificere de typer personoplysninger, der vil blive videregivet. Disse omfatter anvendelsesområde, formål, systemer, hvorigennem og modtagerlandet. Bemærk, at det er vigtigt at kortlægge den planlagte dataoverførsel og de involverede aktører korrekt.
Bestemmelsesland
En konsekvensanalyse af dataoverførsler handler grundlæggende om at analysere modtagerlandet. F.eks. om lovgivningen giver myndighederne i modtagerlandet mulighed for at få adgang til personoplysningerne på en måde, der er uforholdsmæssig, hvilke rettigheder de registrerede har i henhold til databeskyttelseslovgivningen i modtagerlandet, om beskyttelsesniveauet opfylder europæiske krav osv.
Vurdering
For at minimere de risici, der er forbundet med overførsel af personoplysninger fra EU/EØS til et tredjeland, skal virksomheden gennemføre passende tekniske og organisatoriske sikkerhedsforanstaltninger. De nøjagtige foranstaltninger vil afhænge af den enkelte sag. Det kan f.eks. være hensigtsmæssigt at logge forarbejdningsaktiviteter strengere end normalt. Bemærk, at overførsel ikke er tilladt, hvis sikkerhedsforanstaltningerne ikke er tilstrækkelige.
Restrisiko
Den sidste del af konsekvensanalysen af dataoverførslerne er at analysere restrisikoen efter alle de sikkerhedsforanstaltninger, som virksomheden har truffet. Efterfølgende kan virksomheden træffe afgørelse om, hvorvidt dataoverførslen skal foretages eller ej.
Hvilken indvirkning kan virksomheder have, hvis de ikke foretager en konsekvensanalyse af dataoverførsler?
Dette vil afhænge af den enkelte sag. På den anden side kan den føre til en bøde, da den udgør en overtrædelse af databeskyttelsesforordningen. Beløbet afhænger også af detaljerne i situationen og virksomhedens størrelse. Det maksimale beløb for alvorlige overtrædelser af GDPR er 20 mio. EUR eller 4 % af den samlede årlige omsætning på verdensplan (det højeste af mulighederne).
Den databeskyttelsesansvarlige, der skal høres, når der foretages en konsekvensanalyse
Når virksomheden foretager en konsekvensanalyse, skal den altid høre sin databeskyttelsesansvarlige, hvis virksomheden har udpeget en sådan. Dette følger af databeskyttelsesforordningens artikel 35. Databeskyttelsesrådgiveren spiller en vigtig rolle i virksomheden, herunder ved at være involveret i konsekvensanalyser. På grundlag af databeskyttelsesrådgiverens opgaver i henhold til artikel 39 i GDPR samt tilsyns- og overholdelsespraksis efter Schrems II-dommen skal virksomheden også høre sin databeskyttelsesrådgiver i forbindelse med specifikke konsekvensanalyser vedrørende dataoverførsel.
FLERE OPLYSNINGER
Risikovurdering
Virksomhederne bør foretage en risikovurdering, inden de påbegynder en ny behandling af personoplysninger. Det samme gælder, når virksomheden indfører nye teknologier og systemer til eksisterende databehandling. Risikovurderingen handler om at analysere risiciene ved og konsekvenserne af behandlingen for de registrerede. Risikovurderingen skal desuden indeholde en analyse af, hvilke foranstaltninger virksomheden kan træffe for at minimere risiciene til et acceptabelt niveau.