INFORMATIONSSIKKERHED

Videregivelse af personoplysninger til et tredjeland

Videregivelse af personoplysninger til et tredjeland kan tillades i nogle tilfælde, mens det i andre er forbudt.

Hvad er et tredjeland?

Virksomheder, der ønsker at overføre personoplysninger til et tredjeland, skal sikre, at overførslen er lovlig, inden den finder sted. Definitionen af et tredjeland er et land uden for EU/EØS.

Eksempler på videregivelse af personoplysninger til tredjelande:

E-mail

Når en person i en virksomhed sender et dokument til en person i et land uden for EU/EØS, som indeholder personoplysninger såsom navn og telefonnummer.

Cloud computing

En virksomhed er dataansvarlig og ønsker at lagre backup-filer med personoplysninger på en onlinecloottjeneste, hvis virksomhed ligger uden for EU/EØS.

Særlige situationer og undtagelser

Hvis Europa-Kommissionen ikke har truffet afgørelse om tilstrækkeligheden af beskyttelsesniveauet eller om de fornødne garantier (såsom bindende virksomhedsregler), må en virksomhed kun overføre personoplysninger til det pågældende tredjeland, hvis en betingelse i artikel 45 i GDPR er opfyldt. Undtagelser i særlige situationer er derfor nødvendige for, at videregivelsen af personoplysninger til et tredjeland er lovlig. Et eksempel på en undtagelse, der gør en sådan overførsel gyldig, er, hvis den registrerede har givet udtrykkeligt samtykke til overførslen, og enheden har opfyldt oplysningskravet om risiciene ved overførslen.

Videregivelse af personoplysninger til USA

EU’s og USA’s værn om privatlivets fred var en aftale, der blev indgået i 2016 mellem EU og USA om beskyttelse af personoplysninger, der overføres mellem EU og USA. I 2020 ugyldiggjorde EU-Domstolen “EU’s og USA’s værn om privatlivets fred” i den såkaldte Schrems II-dom. Dette betød, at aftalen om værnet om privatlivets fred ikke gav tilstrækkelig beskyttelse i henhold til GDPR for overførsler af personoplysninger til tredjelande. Som følge heraf var det ikke længere tilladt at støtte overførslen via EU’s og USA’s værn om privatlivets fred. Der henviser til, at EU og USA efter Shrems II-dommen begyndte at indgå en ny aftale uden de mangler, der blev påpeget i dommen;

Europa-Kommissionen vedtog derefter en ny afgørelse om tilstrækkeligheden af beskyttelsesniveauet for USA i 2023. På den anden side skal den modtagende part være omfattet af den nye EU-USA-databeskyttelsesramme. Hvis modtageren af personoplysningerne er omfattet af databeskyttelsesrammen, giver afgørelsen med andre ord mulighed for overførsel af personoplysninger til USA uden yderligere garantier.

Selv om modtageren i USA ikke er omfattet af databeskyttelsesrammen, kan overførsel af personoplysninger stadig være tilladt. På den anden side skal den virksomhed, der overfører personoplysningerne, gennemføre de fornødne garantier i sådanne tilfælde.

Tilstrækkelige

Europa-Kommissionen (Europa-Kommissionen) kan beslutte, at et land har et “tilstrækkeligt beskyttelsesniveau “. Desuden kan en sådan afgørelse vedrøre et bestemt område, såsom en delstat i et land, snarere end hele landet. I dette tilfælde kan virksomheder, der behandler personoplysninger, der er omfattet af GDPR, overføre personoplysninger til dem uden specifik tilladelse eller yderligere garantier. Eksempler på yderligere garantier, der skal træffes ved overførsel til et tredjeland, der ikke har et tilstrækkeligt beskyttelsesniveau, er indgåelsen af EU-standardkontraktbestemmelser eller indførelsen af bindende virksomhedsregler.

Her kan du se listen over lande med et tilstrækkeligt beskyttelsesniveau som besluttet af Europa-Kommissionen.

Yderligere sikkerhedsforanstaltninger

Hvis et tredjeland ikke sikrer et tilstrækkeligt beskyttelsesniveau i henhold til Europa-Kommissionen, skal den virksomhed, der ønsker at overføre personoplysningerne til den, indføre yderligere garantier. Det kan ske på forskellige måder. F.eks. ved at fastsætte bindende virksomhedsregler. En anden yderligere sikkerhedsforanstaltning er at medtage standardkontraktbestemmelser fra Europa-Kommissionen i dens kontrakt med den tredjelandsoperatør, der vil modtage personoplysningerne. Yderligere eksempler på en yderligere sikkerhedsforanstaltning omfatter virksomhedens mulighed for at tilslutte sig en godkendt adfærdskodeks. Et kort resumé af disse yderligere garantier findes nedenfor.

Bindende virksomhedsregler

En multinational koncern, f.eks. en multinational koncern eller flere virksomheder i forskellige lande, der i fællesskab udøver en økonomisk aktivitet, kan fastsætte bindende virksomhedsregler for at regulere sine overførsler af personoplysninger til virksomheder inden for sin egen koncern, der er beliggende i et tredjeland.

Bindende virksomhedsregler er et eksempel på en passende sikkerhedsforanstaltning i henhold til artikel 46, stk. 2, litra b), i GDPR og er yderligere reguleret i artikel 47 i GDPR.

De bindende virksomhedsregler skal godkendes af den ansvarlige databeskyttelsesmyndighed for at kunne anvendes som en yderligere passende sikkerhedsforanstaltning. Desuden kan enhver anden EU/EØS-databeskyttelsesmyndighed samt Det Europæiske Databeskyttelsesråd afgive en udtalelse forud for godkendelsen.

Standardkontraktbestemmelser

Europa-Kommissionen har udviklet og godkendt standardkontraktbestemmelser, som virksomheder kan anvende, når de overfører personoplysninger til et tredjeland (dvs. et land uden for EU/EØS, der ikke har et tilstrækkeligt beskyttelsesniveau).

Bemærk, at Europa-Kommissionen kan ajourføre standardkontraktbestemmelserne, hvilket betyder, at virksomheder, der anvender dem, også vil skulle ajourføre standardkontraktbestemmelserne i deres indgåede kontrakter.

Det centrale kontaktpunkt regulerer kort sagt overførsel af personoplysninger, der er omfattet af GDPR’s anvendelsesområde, til et tredjeland. Formålet med aftalen er at opfylde databeskyttelsesforordningens krav om “garantier” i forbindelse med overførsler fra tredjelande (i henhold til databeskyttelsesforordningens artikel 46).

Valg af korrekte bestemmelser ved brug af standardkontraktbestemmelser

Standardkontraktbestemmelserne indeholder bestemmelser, der gælder for forskellige typer situationer. Strukturen er opdelt i forskellige "moduler". SCC består af bestemmelser, der er knyttet til fire moduler. F.eks. i forbindelse med overførsel af personoplysninger fra en EU-dataansvarlig til en anden dataansvarlig i et tredjeland eller en databehandler i et tredjeland. Det er vigtigt at anvende de bestemmelser i aftalen, der passer til den specifikke situation.

Adfærdskodekser eller certificeringsmekanismer

En adfærdskodeks er en specifik instruks i en bestemt branche om, hvordan den generelle forordning om databeskyttelse skal overholdes. Navnlig ved at give praktiske instrukser. Det er almindeligt, at organisationer, der repræsenterer en bestemt branche, udarbejder en adfærdskodeks, som virksomhederne kan tilslutte sig. En fordel er, at det kan forbedre tilliden til kunderne.

MERE OM DEN GENERELLE FORORDNING OM DATABESKYTTELSE

Anmod om en forudgående høring af den nationale databeskyttelsesmyndighed

I nogle tilfælde skal en virksomhed anmode om forudgående høring af den nationale databeskyttelsesmyndighed, inden den begynder at behandle personoplysninger. Dette omfatter tilfælde, hvor risikoen for registreredes rettigheder og frihedsrettigheder fortsat er høj, efter at virksomheden har foretaget en konsekvensanalyse. Bemærk, at virksomheden skal foretage en konsekvensanalyse, inden den anmoder om forudgående høring.