GDPR Learning Hub

Menu
  • Tag quizzer
  • Download vejledninger
  • Køb kurser
  • Køb skabeloner
  • GDPR-kurser er under opbygning

INFORMATIONSSIKKERHED

Yderligere sikkerhedsforanstaltninger

I nogle tilfælde skal virksomhederne indføre yderligere garantier, når de overfører personoplysninger til tredjelande. Et tredjeland er et land uden for EU/EØS. Europa-Kommissionen (“Kommissionen”) kan beslutte, at et tredjeland sikrer et tilstrækkeligt beskyttelsesniveau. 

Yderligere garantier for videregivelse af personoplysninger

Hvis en virksomhed ønsker at overføre personoplysninger til et tredjeland, men Europa-Kommissionen ikke har besluttet, at landet sikrer et tilstrækkeligt beskyttelsesniveau, eller hvis overførslen opfylder betingelserne for særlige situationer og lejlighedsvise overførsler, skal virksomheden indføre yderligere garantier, når den overfører personoplysninger til et tredjeland. 

Lande uden for EU/EØS garanterer ikke de tilsvarende forpligtelser og rettigheder, som GDPR giver i EU, når virksomheder behandler personoplysninger. Reglerne er derfor strengere, når der overføres personoplysninger fra EU til et tredjeland. 

Bemærk, at de registrerede skal have mulighed for at få sagen prøvet ved en domstol.

Her kan du læse anbefalingerne fra Det Europæiske Databeskyttelsesråd om, hvornår der kan være behov for yderligere garantier. De beskriver også mere om, hvad sådanne foranstaltninger kan være.

What breaches of the GDPR can lead to an administrative fine?

Schrems II-dommen og overførsel af personoplysninger til tredjelande

Der henviser til, at EU-Domstolen i Schrems II-dommen fastslog, at aftalen om værnet om privatlivets fred ikke gav tilstrækkelig beskyttelse af personoplysninger ved overførsel af personoplysninger fra USA til USA; Aftalen blev indgået mellem EU og USA, og med EU-Domstolens ugyldiggørelse var det ikke længere muligt at overføre personoplysninger til USA under værnet om privatlivets fred. Efterfølgende begyndte EU og USA at indgå en ny aftale, der dækker de mangler, som EU-Domstolen har fremhævet. 

I 2023 traf Europa-Kommissionen en ny afgørelse om overførsler til USA og indgik en ny aftale, EU-USA-databeskyttelsesrammen. Hvis den modtagende part er tilknyttet den nye databeskyttelsesramme, er overførsler tilladt der, uden at EU-/EØS-virksomheden behøver at træffe yderligere sikkerhedsforanstaltninger.

Eksempler på yderligere garantier for overførsel af personoplysninger til tredjelande

Nedenfor finder du nogle eksempler på yderligere garantier, som virksomheder kan anvende, når de overfører personoplysninger til tredjelande.

Bindende virksomhedsregler

For at kunne anvende bindende virksomhedsregler ved overførsel af personoplysninger til tredjelande skal de godkendes. Det er en EU/EØS-databeskyttelsesmyndighed, der skal godkende de bindende virksomhedsregler. 

Bindende virksomhedsregler kan f.eks. være nyttige, hvis en multinational virksomhed overfører personoplysninger til tredjelande inden for sin egen koncern. En forudsætning for de bindende virksomhedsregler er, at koncernen har et passende medarbejderuddannelsesprogram, der dækker de bindende virksomhedsregler.

Standardkontraktbestemmelser

VKF er en anden mulighed end de bindende virksomhedsregler, som virksomheder kan anvende som en yderligere sikkerhedsforanstaltning i forbindelse med overførsler til tredjelande. Det er Europa-Kommissionen, der træffer afgørelse om standardkontraktbestemmelser, som virksomheder kan anvende. 

Vær opmærksom på at bruge de rette klausuler, når du bruger standardkontraktbestemmelserne, da de består af fire forskellige moduler og tilhørende bestemmelser. Der er f.eks. et specifikt modul, der finder anvendelse, når overdrageren af personoplysninger er dataansvarlig i EU, og modtageren er databehandler i et tredjeland. 

Adfærdskodeks

En virksomhed, uanset om den er dataansvarlig eller databehandler, kan tilslutte sig en godkendt adfærdskodeks. Dette er en yderligere sikkerhedsforanstaltning for industriernes egne overførsler af personoplysninger til tredjelande. De er ofte oprettet af organisationer, der repræsenterer en bestemt branche.  

Det Europæiske Databeskyttelsesråd har offentliggjort retningslinjer for adfærdskodekser som grundlag for overførsel af personoplysninger til tredjelande. De beskriver bl.a., hvad en adfærdskodeks skal opnå for at blive godkendt som en yderligere beskyttelsesforanstaltning, og hvordan virksomheder kan ansøge om at få den godkendt. 

OVERFØRSLER TIL TREDJELANDE

Europa-Kommissionen kan træffe afgørelse om et tilstrækkeligt beskyttelsesniveau

Hvis et tredjeland sikrer et tilstrækkeligt beskyttelsesniveau, er det tilladt at overføre personoplysninger dertil uden at give yderligere garantier såsom anvendelse af standardkontraktbestemmelser. Det er derimod ikke en virksomhed, der træffer en sådan beslutning. Det er kun Europa-Kommissionen, der afgør, om et tredjeland sikrer et tilstrækkeligt beskyttelsesniveau. Bemærk, at de også kan tilbagekalde afgørelsen, hvis der sker en ændring. Europa-Kommissionen kontrollerer bl.a., om det pågældende tredjeland respekterer menneskerettighederne, har uafhængige tilsynsmyndigheder, og om dets domstole opfylder visse krav. 

Vil du lære mere?

Læs mere
Scroll to Top