EU-Domstolens afgørelse i Schrems II-sagen om overførsel af persondata til lande uden for EU har skabt stor forvirring blandt it-leverandører og virksomheder. Her har man nemlig savnet nogle konkrete retningslinjer for, hvordan denne markante og omfattende dom skal efterleves.
Med afgørelsen fastslog Domstolen, at virksomheder skal undersøge og vurdere om lovgivningen i det pågældende land, der overføres data til, yder et tilstrækkeligt beskyttelsesniveau.
Hvis ikke dette er tilfældet, er der krav på, at man som virksomhed skal iværksætte supplerende foranstaltninger, så niveauet af beskyttelse svarer til EU’s lovgivning.
For nylig har EU’s Databeskyttelsesråd (EDPB) dog offentliggjort en række retningslinjer, som skal forsøge at give virksomheder klarhed og et overblik over, hvad man som virksomhed skal foretage sig, samt hvordan denne proces bør forløbe sig.
Med udgangspunkt i seks trin skal vejledningen hjælpe med både at vurdere, om et tredjeland altså yder et tilstrækkeligt beskyttelsesniveau samt til at fastsætte relevante supplerende foranstaltninger, hvis det ikke er tilfældet.
Trinene indbefatter følgende:
- Få et overblik over alle dataoverførsler.
- Sørg for at have et lovligt overførselsgrundlag.
- Undersøg modtagerlandets lovgivning og praksis med henblik på at vurdere, om der er mulige hindringer for en effektiv beskyttelse af personoplysningerne i forhold til den konkrete overførsel.
- Identificér og vælg supplerende foranstaltninger, hvis resultatet af vurderingen viser, at modtagerlandet ikke giver den tilstrækkelige beskyttelse.
- Implementér mulige supplerende foranstaltninger, herunder foretag forhandling med kontraktparter og opnå godkendelse fra Datatilsynet ved brug af ad hoc aftaler, der afviger fra standardkontrakterne.
- Revurdér løbende beskyttelsesniveauet og gennemfør tilsyn med mulige forandringer, der kan påvirke beskyttelsen.
Hvis du vil vide mere
Her kan du læse EU’s officielle guidelines/FAQ til dommen.
Vil du følge med i seneste udvikling, kan du her tilmelde dig webinaret: Opdatering på persondata – Data udenfor EU og bøder, som vi afholder mandag den 25. januar 2021 i samarbejde med DAHL Advokatpartnerskab.