Overførsel til tredjelande

Kender du reglerne for overførsel af data til 3. parts lande

Når man laver overførsel af persondata til tredjelande, er det altid nødvendigt, at der sker i overensstemmelse med databeskyttelsesforordningen.

Især når man skal overføre personoplysninger til et tredjeland, er der en række love og regler i forbindelse med GDPR, man skal være opmærksom på.

Hvornår er der tale om en overførsel til et tredjeland?

En overførsel kan f.eks. bestå i en overførsel af persondata via internettet, via en USB nøgle eller i at personer i et tredjeland får adgang til ”at se” personoplysninger, der fysisk befinder sig i EU.

Begrebet ”overførsel af data” er således mere vidtrækkende end begrebet ”behandling af data”.

Den blotte ”kigge-adgang” er nemlig ikke en behandling i forordningens forstand. Har man alene ”kigge adgang” er man som regel heller ikke databehandler,

Ved tredjeland skal forstås som et land, der ikke er medlem af EU eller EØS (Island, Liechtenstein og Norge).

Vil man f.eks. i forbindelse med outsourcing af it-systemer overføre personoplysninger til USA, skal man derfor følge de særlige regler for overførsler til tredjelande.

Er der tale om et sikkert eller usikkert tredjeland?

I forordningen skelnes der mellem ”sikre” og ”usikre” tredjelande. Er der tale om sikre tredjelande eller organisationer, kan en overførsel som udgangspunkt ske uden videre.

Vurderingen er sket på baggrund af, at disse lande overholder EU’s´ fire essentielle behandlingsgarantier, der bl.a. skal sikre, at det pågældendes lands sikkerhedstjeneste ikke bare kan få adgang til europæiske persondata.

Det er kun Europa Kommissionen, der kan fastslå, om et tredjeland er sikkert og dermed har et beskyttelsesniveau, der svarer til det der gælder i EU. Det kan du bl.a. se på kommissionens hjemmeside.

Indtil videre er følgende lande godkendt: Andorra, Argentina, Canada, Færøerne, Guernsey, Israel, Isle of Man, Jersey, New Zealand, Schweiz, Uruguay og Japan. Men der vil løbende blive vurderet flere lande.

Overførsel til usikre tredjelande skal ske med en række hensyn

Som det ses, er USA ikke på listen over sikre tredjelande. Du kan derfor ikke overføre persondata til USA medmindre din kontraktpart har tilsluttet sig ”Privacyshield aftalen”, der er indgået mellem EU og USA.

Aftalen går i store træk ud på, at de amerikanske virksomheder, der har tilsluttet sig ordningen accepterer at ville overholde GDPR.

Du kan altid se hvilke amerikanske virksomheder der har tilsluttet sig ordningen ved at klikke på dette link:

Overfører du regelmæssigt persondata til en samarbejdspartner i andre usikre 3.lande end USA (eks. Grønland, Ukraine, Indien, Egypten m.fl.), skal du som alt overvejende hovedregel have et overførselsgrundlag i form af en underskreven EU -standardblanket.

Er du databehandler for en dansk kunde og bruger en underdatabehandler i et usikkert tredjeland, skal din kunde (dataeksportøren) underskrive blanketten direkte med den udenlandske underdatabehandler (dataimportøren).

Du kan også underskrive blanketten for kunden, hvis du er blevet bemyndiget til dette. Du finder blanketterne her.

Ovenstående bemærkninger gælder som nævnt ved de mere permanente samarbejder.

Der findes dog situationer, hvor du ikke behøver have en sådan udfyldt blanket.

Typisk for undtagelserne er, at de kun må benyttes i et begrænset omfang, og ikke må være strukturelle overførsler, repeterede overførsler, eller masseoverførsler.

Et eksempel kunne være en videregivelse af listen over de ansatte i virksomheden til egyptiske turoperatører, og som deltager i virksomhedens udflugt til Egypten.

Du kan læse mere i Datatilsynets vejledning for overførsel af personoplysninger til tredjelande.

OBS: Mange tror, at overførsel af persondata til 3.land kræver en databehandleraftale. Det gør det ikke ! Det kommer an på, om modtageren er databehandler og det er som bekendt ikke altid tilfældet. Har modtageren alene kigge adgang til data, er der som sådan ikke behov for en databehandleraftale, men mere en stram fortrolighedsaftale måske kombineret med andre anvisninger hvad modtageren må og ikke må.

Hvis du vil vide mere

Du kan altid få hjælp og finde svar på vores temaside om persondataforordningen eller deltage i en af vores arrangementer om emnet.

Er du generelt interesseret Etik, Privacy og sikkerhed, skal du måske være med i IT-Branchens it-sikkerhedsudvalg. Kontakt Martin Jensen Buch, hvis du vil høre mere om, hvad udvalget laver.