Overførsel til tredjelande

Når man laver overførsel af persondata til tredjelande, er det altid nødvendigt, at der sker i overensstemmelse med databeskyttelsesforordningen.

Især når man skal overføre personoplysninger til et tredjeland, er der en række love og regler i forbindelse med GDPR, man skal være opmærksom på.

Hvornår er der tale om en overførsel til et tredjeland?

En overførsel kan f.eks. bestå i en overførsel af persondata via internettet, via en USB nøgle eller i at personer i et tredjeland får adgang til ”at se” personoplysninger, der fysisk befinder sig i EU.

Begrebet ”overførsel af data” er således mere vidtrækkende end begrebet ”behandling af data”.

Den blotte ”kigge-adgang” er nemlig ikke en behandling i forordningens forstand. Har man alene ”kigge adgang” er man som regel heller ikke databehandler.

Ved tredjeland skal forstås som et land, der ikke er medlem af EU eller EØS (Island, Liechtenstein og Norge).

Vil man f.eks. i forbindelse med outsourcing af it-systemer overføre personoplysninger til eksempelvis Ukraine, skal man derfor følge de særlige regler for overførsler til tredjelande.

Er der tale om et sikkert eller usikkert tredjeland?

I forordningen skelnes der mellem ”sikre” og ”usikre” tredjelande. Er der tale om sikre tredjelande eller organisationer, kan en overførsel som udgangspunkt ske uden videre.

Vurderingen er sket på baggrund af, at disse lande overholder EU’s´ fire essentielle behandlingsgarantier, der bl.a. skal sikre, at det pågældendes lands sikkerhedstjeneste ikke bare kan få adgang til europæiske persondata.

Det er kun Europa Kommissionen, der kan fastslå, om et tredjeland er sikkert og dermed har et beskyttelsesniveau, der svarer til det der gælder i EU. Det kan du bl.a. se på kommissionens hjemmeside.

Indtil videre er følgende lande godkendt: Andorra, Argentina, Canada, Færøerne, Guernsey, Israel, Isle of Man, Jersey, New Zealand, Schweiz, Uruguay og Japan. Men der vil løbende blive vurderet flere lande.

Overførsel til usikre tredjelande skal ske med en række hensyn

Som det ses, er USA ikke på listen over sikre tredjelande. Du kan dog overføre persondata til USA, hvis din kontraktpart havde tilsluttet sig den ”Transatlantiske  Privacy Framework” aftale , der er indgået mellem EU og USA.

Aftalen går i store træk ud på, at de amerikanske virksomheder, der har tilsluttet sig ordningen accepterer at ville overholde GDPR. Du kan se, hvilke amerikanske virksomheder der har tilsluttet sig ordningen her: Data Privacy Framework

Endvidere bør databehandleren sammen med sin kunde gøre sig nogle tanker omkring, hvorvidt der skal strammes op om sikkerheden på baggrund af en risikoanalyse.

EU’s standardblanketter

Overfører du regelmæssigt persondata til en samarbejdspartner i andre usikre 3.lande end USA (eks. Grønland, Ukraine, Indien, Egypten m.fl.), skal du som alt overvejende hovedregel have et overførselsgrundlag i form af en underskreven EU -standardblanket (SCC’er).

De nye EU-standardblanketter kan bruges fra den 27. juni 2021, og de eksisterende SCC’er ophæves med virkning fra den 27. september 2021.

Kontrakter, der er indgået på baggrund af de eksisterende SCC’er inden den 27. september 2021, kan anvendes i en overgangsperiode indtil den 27. december 2022.

Det er dog forudsat, at databehandlingen forbliver uændret, og forudsat at der allerede nu samlet set tilvejebringes en beskyttelse som grundlæggende er den samme som i EU. Inden for overgangsperioden skal dataeksportøren skifte til et nyt overførselsgrundlag, eksempelvis de nye SCC’er.

Er du databehandler for en dansk kunde og bruger en underdatabehandler i et usikkert tredjeland, skal din kunde (dataeksportøren) underskrive blanketten direkte med den udenlandske underdatabehandler (dataimportøren).

Du kan også underskrive blanketten for kunden, hvis du er blevet bemyndiget til dette. Du finder blanketterne her.

Ovenstående bemærkninger gælder som nævnt ved de mere permanente samarbejder. Der findes dog situationer, hvor du ikke behøver have en sådan udfyldt blanket.

Typisk for undtagelserne er, at de kun må benyttes i et begrænset omfang, og ikke må være strukturelle overførsler, repeterede overførsler, eller masseoverførsler.

Et eksempel kunne være en videregivelse af listen over de ansatte i virksomheden til egyptiske turoperatører, og som deltager i virksomhedens udflugt til Egypten.

Du kan læse mere i Datatilsynets vejledning for overførsel af personoplysninger til tredjelande.

OBS: Mange tror, at overførsel af persondata til 3.land kræver en databehandleraftale. Det gør det ikke! Det kommer an på, om modtageren er databehandler og det er som bekendt ikke altid tilfældet. Har modtageren alene kiggeadgang til data (Hermed forstås at it-konsulenten kun perifært får adgang til persondata, og behandling af samme ikke er hovedopgaven), er der som sådan ikke behov for en databehandleraftale, men mere en stram fortrolighedsaftale måske kombineret med andre anvisninger hvad modtageren må og ikke må.

Hvis du vil vide mere

Du kan altid få hjælp og finde svar på vores temaside om persondataforordningen eller deltage i en af vores arrangementer om emnet.

Er du generelt interesseret Etik, Privacy og sikkerhed, skal du måske være med i IT-Branchens it-sikkerhedsudvalg. Kontakt Martin Jensen Buch, hvis du vil høre mere om, hvad udvalget laver.