Artikel i forbindelse med udsendelse af nyhedsmail den 17. april 2024.

Datatilsynet har opdateret deres vejledning til overførsler til usikre tredjelande. Generelt er der sket sproglige ændringer, som sikrer en præcisering af reglerne.

Nedenfor finder du de vigtigste opdateringer:

Tidligere fandtes ikke en definition af begrebet overførsel i databeskyttelsesforordningen.

Det Europæiske Databeskyttelsesråd har i en vejledning fra 2023 identificeret følgende tre kriterier, som alle skal være

opfyldt for at kvalificere en behandlingsaktivitet som en overførsel:

1) En dataansvarlig eller en databehandler (“dataeksportør”) er omfattet af databeskyttelsesforordningen for den pågældende behandling.

2) Dataeksportøren videregiver eller stiller på anden måde personoplysninger, der er omfattet af denne behandling, til rådighed for en anden dataansvarlig, fælles dataansvarlig eller databehandler (“dataimportør”).

3) Dataimportøren befinder sig i et tredjeland, uanset om denne dataimportør er omfattet af databeskyttelsesforordningen for den givne behandling, eller er en international organisation.

Hvis de tre kriterier er opfyldt, er der tale om en overførsel omfattet af kapitel V i databeskyttelsesforordningen. Det betyder, at overførslen kun kan finde sted på visse betingelser, f.eks. på grundlag af en tilstrækkelighedsafgørelse fra Europa-Kommissionen (artikel 45) eller ved at give de fornødne garantier (artikel 46). Der findes dertil en række undtagelser til brug for særlige situationer (artikel 49). Bestemmelserne i kapitel V har til formål at sikre en fortsat beskyttelse af personoplysninger, efter de er blevet overført til et tredjeland eller en international organisation. Reglerne gælder for både myndigheder og private virksomheder.

Hvis de tre kriterier ikke er opfyldt, vil der ikke være tale om en overførsel, og kapitel V i forordningen finder ikke anvendelse. Man skal dog være opmærksom på, at den dataansvarlige stadig skal overholde de øvrige bestemmelser i databeskyttelsesforordningen og fortsat er fuldt ansvarlig for sine behandlingsaktiviteter, uanset hvor i verden de finder sted.

Herudover er EU-U.S. Data Privacy Framework kommet på listen over sikre områder/sektorer i tredjelande. Hvis du trænger til at få genopfrisket reglerne omkring det nye overførselsgrundlag til USA, kan du læse vores artikel fra 9. august 2023 på vores hjemmeside – klik her

Datatilsynet har under afsnit 5.1 udpenslet den dataansvarliges pligt til at lave en TIA, hvis man benytter sig af et overførselsgrundlag i artikel 46 i GDPR. Hertil mindes der om i eksempel 11, at hvis man konkluderer at der i tredjelandet er lovgivning, som giver tredjelandets myndigheder adgang til de overførte personoplysninger i et meget videre omfang, end hvad der er tilladt i EU, så har man 2 valgmuligheder:

1. Sørge for passende supplerende foranstaltninger, der sammen med overførselsgrundlaget sikrer et beskyttelsesniveau, som i det væsentlige svarer til niveauet iEU/EØS
2. Undlade at overføre personoplysninger

Ydermere er der tilføjet et afsnit om hvorledes man skal forholde sig ved anmodninger fra myndigheder i tredjelande i afsnit 5.5 i vejledningen. Hvis du imødekommer en anmodning fra en myndighed i et tredjeland om at overføre personoplysninger, vil dette være en overførsel omfattet af databeskyttelsesforordningens regler. Der skal derfor findes hjemmel til behandlingen i forordningens artikel 6 og et overførselsgrundlag eller en relevant undtagelse i forordningens kapitel V, før du lovligt kan overføre oplysningerne. Vær opmærksom på, at der særlige regler i forbindelse med domme eller afgørelser fra tredjelands myndigheder. Her er det vigtigt at huske, at domme eller afgørelser fra tredjelandes myndigheder kun anerkendes og håndhæves i EU/EØS, hvis dette følger af en international aftale mellem tredjelandet og EU/EØS eller en medlemsstat.

Hvis du har spørgsmål til, hvordan du skal forholde dig til overførsler til lande uden for EU eller EØS, er du velkommen til at kontakte GapSolutions GDPR konsulenter.

Link til Datatilsynets opdaterede vejledning – klik her

Læs vejledningen fra EDBP – klik her