Reglerne er relevante, hvis en virksomhed f.eks. ønsker at benytte en underleverandør uden for EU/EØS til at drifte it-systemer eller håndtere kundeservice.
Har man en samarbejdspartner udenfor EU, som skal hoste, bearbejde eller have adgang til persondata, så er det en god ide at undersøge, om EU-Kommissionen har godkendt det pågældende tredjeland som “sikkert”.
Pt. er følgende lande godkendt til overførsel af persondata:
- Andorra
- Argentina
- Færøerne
- Guernsey
- Isle of Man
- Israel
- Jersey
- New Zealand
- Schweiz
- Uruguay
Samtidig ser det ud som om, at EU vil blåstemple UK som sikkert lad pr. 01.07.21, men der forhandles stadig om detaljer.
Derudover har EU godkendt følgende områder/sektorer:
- Australien (Overførsel af oplysninger om flypassagerer)
- Canada (Modtagere underlagt den canadiske Personal Information Protection and Electronic Documents Act)
- USA (Overførsel af oplysninger om flypassagerer)
- Japan (Overførsel af oplysninger til (private) virksomheder og organisationer, der falder ind under den japanske Act on the Protection of Personal Information)
Må persondata overføres til USA?
EU har tidligere haft en Safe Harbour-aftale og en Privacy Shield aftale med USA, som gjorde det lovligt at overføre persondata til USA.
De to aftaler er med hhv. Schrems I og Schrems II-dommene dog blevet kendt ugyldige, og der har derfor været tvivl om lovligheden af at sende persondata over Atlanten. I den seneste dom understreger EU-Domstolen dog, at EU-Kommissionens standardkontrakter fortsat er gyldige.
Men dommen rejser stadig en række spørgsmål, som skal undersøges nærmere, og derfor afventer man lige nu en tolkning af dommen, så reglerne i forhold til dataoverførsler til USA igen bliver klare. Dette forventer man sker omkring sommer 2021.
Samtidig ser man flere af de store hostingudbydere som f.eks. Microsoft og AWS gå ud med EU-baserede løsninger, så man stadig kan bruge deres services, uden at overtræde EU’s regler.
Hvis et tredjeland ikke er godkendt som sikkert
I forordningen skelnes der mellem ”sikre” og ”usikre” tredjelande. Vurderingen sker på baggrund af, om disse lande overholder EU’s´ fire essentielle behandlingsgarantier, der bl.a. skal sikre, at det pågældendes lands sikkerhedstjeneste ikke bare kan få adgang til europæiske persondata.
Overfører du regelmæssigt persondata til en samarbejdspartner i usikre tredjelande, skal du som alt overvejende hovedregel og som minimum have et overførselsgrundlag i form af en underskreven EU-standardblanket. Du kan også underskrive blanketten for kunden, hvis du er blevet bemyndiget til dette.
EU´s standardblanket skal som regel understøttes af varierende supplerende foranstaltninger, hvis omfang for øjeblikket ikke er helt fastlagt. Når det europæiske datatilsyn (EDPB )fremkommer med sine endelige retningslinjer, vil vi skrive om emnet igen.
Der findes dog også situationer, hvor du ikke behøver have en sådan blanket. Typisk for undtagelserne er, at data kun må benyttes i et begrænset omfang, og ikke må være strukturelle overførsler, repeterede overførsler, eller masseoverførsler.
Et eksempel kunne være en videregivelse af listen over de ansatte i virksomheden til egyptiske turoperatører, og som deltager i virksomhedens udflugt til Egypten.
Mange tror, at overførsel af persondata til tredjelande kræver en databehandleraftale, men det gør det ikke. Det kommer an på, om modtageren er databehandler, og det er som bekendt ikke altid tilfældet.
Har modtageren alene kiggeadgang til data (Hermed forstås at it-konsulenten kun perifært får adgang til persondata, og behandling af samme ikke er hovedopgaven), er der som sådan ikke behov for en databehandleraftale, men mere en stram fortrolighedsaftale måske kombineret med andre anvisninger hvad modtageren må og ikke må.
Hvis du vil vide mere
Hvis du vil vide mere
Du kan altid få hjælp og finde svar på vores temaside om persondataforordningen eller deltage i en af vores arrangementer om emnet.
Er du generelt interesseret Etik, Privacy og sikkerhed, skal du måske være med i IT-Branchens it-sikkerhedsudvalg. Kontakt Martin Jensen Buch, hvis du vil høre mere om, hvad udvalget laver.
