Datatilsynets direktør, Christina Gulisano, på et møde med it-sikkerhedsudvalget i marts måned 2018, gjorde det meget klart, at der også efter 25. maj, eksisterer fire lovlige juridiske grundlag at overføre data på:

  • Binding Corporate Rules
  • Privacy Shield (overfor USA)
  • De fire essentielle garantier og
  • EU kommissionens Standardkontrakter (EU modelclauses)

Hvornår er der tale om en overførsel til et tredjeland?

En overførsel kan f.eks. bestå i en overførsel af persondata via internettet, via en USB nøgle eller i at personer i et tredjeland får adgang til til at se personoplysninger, der fysisk befinder sig i EU.

Ved tredjeland skal forstås som et land, der ikke er medlem af EU eller EØS (Island, Liechtenstein og Norge).

Vil man f.eks. i forbindelse med outsourcing af it-systemer overføre personoplysninger til USA, skal man derfor følge særlige regler for overførsler til tredjelande.

Samtidig stiller EU som krav, at det pågældende land overholder fire garantier, der skal sikre, at det pågældendes lands sikkerhedstjeneste ikke bare kan få adgang til europæiske persondata.

EU sikrer dette ved at f.eks. at indgå en Privacy Shield aftale med USA eller at lave såkaldte adequate decisions, hvor de blåstempler de lande, som det er ok at lave dataoverførsler til.

Indtil videre er følgende lande godkendt: Andorra, Argentina, Canada, Færøerne, Guernsey, Israel, Isle of Man, Jersey, New Zealand, Schweiz, Uruguay og USA. Men der vil løbende blive vurderet flere lande.

Er der tale om et sikkert eller usikkert tredjeland?

I forordningen skelnes der mellem ”sikre” og ”usikre” tredjelande. Er der tale om sikre tredjelande eller organisationer, kan en overførsel som udgangspunkt ske uden videre.

Det er kun Europa Kommissionen, der kan fastslå, om et tredjeland er sikkert og dermed har et beskyttelsesniveau, der svarer til det der gælder i EU. Det kan du bl.a. se på kommissionens hjemmeside.

Er der derimod tale om en overførsel til et usikkert tredjeland, kræves der fornødne garantier, eller at man benytter sig af de særlige undtagelser.

Overførsel til usikre tredjelande skal ske med en række hensyn

Skal man overføre data til et såkaldt usikkert tredjeland, skal man som udgangspunkt sørge for at have en databehandleraftale.

Der findes dog også en række undtagelser, der gør det muligt at overføre persondata til usikre tredjelande uden en databehandleraftale. Typisk for undtagelserne er, at de kun må benyttes i et begrænset omfang, og ikke må være strukturelle overførsler, repeterede overførsler, eller masseoverførsler.

Fra Datatilsynets vejledning for overførsel af personoplysninger til tredjelande, kan man på side 8 læse mere om hvilke muligheder man som dataeksportør har, for at give de nødvendige garantier i forbindelse med overførsel af personoplysninger til et usikkert tredjeland, og om hvilke undtagelser der gælder.