Når man laver overførsel af persondata til tredjelande, er det altid nødvendigt, at der sker i overensstemmelse med databeskyttelsesforordningen.
Især når man skal overføre personoplysninger til et tredjeland, er der en række love og regler i forbindelse med GDPR, man skal være opmærksom på.
Hvornår er der tale om en overførsel til et tredjeland?
En overførsel kan f.eks. bestå i en overførsel af persondata via internettet, via en USB nøgle eller i at personer i et tredjeland får adgang til ”at se” personoplysninger, der fysisk befinder sig i EU.
Begrebet ”overførsel af data” er således mere vidtrækkende end begrebet ”behandling af data”.
Den blotte ”kigge-adgang” er nemlig ikke en behandling i forordningens forstand. Har man alene ”kigge adgang” er man som regel heller ikke databehandler.
Ved tredjeland skal forstås som et land, der ikke er medlem af EU eller EØS (Island, Liechtenstein og Norge).
Vil man f.eks. i forbindelse med outsourcing af it-systemer overføre personoplysninger til eksempelvis Ukraine, skal man derfor følge de særlige regler for overførsler til tredjelande.
Er der tale om et sikkert eller usikkert tredjeland?
I forordningen skelnes der mellem ”sikre” og ”usikre” tredjelande. Er der tale om sikre tredjelande eller organisationer, kan en overførsel som udgangspunkt ske uden videre.
Vurderingen er sket på baggrund af, at disse lande overholder EU’s´ fire essentielle behandlingsgarantier, der bl.a. skal sikre, at det pågældendes lands sikkerhedstjeneste ikke bare kan få adgang til europæiske persondata.
Det er kun Europa Kommissionen, der kan fastslå, om et tredjeland er sikkert og dermed har et beskyttelsesniveau, der svarer til det der gælder i EU. Det kan du bl.a. se på kommissionens hjemmeside.
Indtil videre er følgende lande godkendt: Andorra, Argentina, Canada, Færøerne, Guernsey, Israel, Isle of Man, Jersey, New Zealand, Schweiz, Uruguay og Japan. Men der vil løbende blive vurderet flere lande.
Overførsel til usikre tredjelande skal ske med en række hensyn
Som det ses, er USA ikke på listen over sikre tredjelande. Du kan dog overføre persondata til USA, hvis din kontraktpart havde tilsluttet sig den ”Transatlantiske Privacy Framework” aftale , der er indgået mellem EU og USA.
Aftalen går i store træk ud på, at de amerikanske virksomheder, der har tilsluttet sig ordningen accepterer at ville overholde GDPR. Du kan se, hvilke amerikanske virksomheder der har tilsluttet sig ordningen her: Data Privacy Framework.
Endvidere bør databehandleren sammen med sin kunde gøre sig nogle tanker omkring, hvorvidt der skal strammes op om sikkerheden på baggrund af en risikoanalyse.
EU’s standardblanketter
Overfører du regelmæssigt persondata til en samarbejdspartner i andre usikre 3.lande end USA (eks. Grønland, Ukraine, Indien, Egypten m.fl.), skal du som alt overvejende hovedregel have et overførselsgrundlag i form af en underskreven EU -standardblanket (SCC’er).
Ovenstående bemærkninger gælder som nævnt ved de mere permanente samarbejder. Der findes dog situationer, hvor du ikke behøver have en sådan udfyldt blanket.
Typisk for undtagelserne er, at de kun må benyttes i et begrænset omfang, og ikke må være strukturelle overførsler, repeterede overførsler, eller masseoverførsler.
Et eksempel kunne være en videregivelse af listen over de ansatte i virksomheden til egyptiske turoperatører, og som deltager i virksomhedens udflugt til Egypten.
Du kan læse mere i Datatilsynets vejledning for overførsel af personoplysninger til tredjelande.
OBS: Mange tror, at overførsel af persondata til 3.land kræver en databehandleraftale ud over eller ved siden af EU´s standardblanket. Det gør det som sådan ikke! Det kommer for det første an på, om modtageren overhovedet er databehandler og det er som bekendt ikke altid tilfældet. Har modtageren alene kiggeadgang til data (Hermed forstås at it-konsulenten kun perifært får adgang til persondata, og behandling af samme ikke er hovedopgaven), er der som sådan ikke behov for en databehandleraftale, men mere en stram fortrolighedsaftale måske kombineret med andre anvisninger hvad modtageren må og ikke må. For det andet ligestilles EU´s standardblanket allerede med en databehandleraftale. Dog mangler der en nærmere beskrivelse af behandlingen og behandlingssikkerheden, som man selv skal sørge for er til stede.
Hvis du vil vide mere
Du kan altid få hjælp og finde svar på vores temaside om persondataforordningen eller deltage i en af vores arrangementer om emnet.
Er du generelt interesseret Etik, Privacy og sikkerhed, skal du måske være med i IT-Branchens it-sikkerhedsudvalg. Kontakt Martin Jensen Buch, hvis du vil høre mere om, hvad udvalget laver.
- Erhvervsjuridisk fagchef, advokat, LLM, Handel
Sven Petersen
- Email: svp@danskerhverv.dk
- Telefon: 33 74 61 09
- Mobil: 40 98 41 71