Dette indlæg er alene udtryk for skribentens egen holdning.

Overførsel af personoplysninger til tredjelande: Hvad er muligt?

3 kommentarer.  Hop til debatten
GDPR, Persondata, EU
Illustration: Tanaonte/Bigstock.
Virksomheder står løbende overfor beslutninger relateret til håndtering af persondata. Særligt overførsel af personoplysninger til tredjeland har skabt en del forvirring. Det giver anledning til mange spørgsmål - eksempelvis om man må bruge leverandører uden for EU, og om vi må overføre persondata til leverandøren? I følgende indlæg giver Frans Skovholm, der er juniorpartner i DAHL Advokatpartnerselskab, dig svaret.
Vidensindlæg18. januar kl. 05:00
errorÆldre end 30 dage

Svaret er 'ja': Vi må gerne bruge leverandører uden for EU.

Det grundlæggende problem ved anvendelse af databehandlere i et usikkert tredjeland er, at tredjelandets lovgivning muligvis ikke har det samme beskyttelsesniveau af de registreredes personoplysninger som det, vi har i EU. 

Derfor er det et krav, at virksomheden sikrer et tilstrækkeligt beskyttelsesniveau overfor de registrerede ved brug af en leverandør i et usikkert tredjeland.

Så hvad skal der til?

Artiklen fortsætter efter annoncen

For at anvende databehandlere i usikre tredjelande er der forskellige ting, som skal være på plads, før det er lovligt at bruge databehandlere. I det følgende tager jeg dig igennem tre step, der skal afklares:

STEP 1: Valg af overførselsgrundlag 

Inden virksomheden må overføre personoplysninger til en leverandør i et usikkert tredjeland, skal I sikre et lovligt overførselsgrundlag. 

Der findes forskellige overførselsgrundlag som for eksempel bindende virksomhedsregler, standardkontraktsbestemmelser med videre.

I denne artikel har vi fokus på EU-Kommissionens standardkontraktsbestemmelserne, der er bedre kendt under betegnelsen SCC, da vi erfaringsmæssigt oplever, at dette overførelsesgrundlag kan anvendes til de fleste overførelsessituationer. 

STEP 2: Indgåelse af en SCC 

EU-Kommissionen har for nyligt udarbejdet nye SCC’er. De nye SCC’er skal bruges på alle kontrakter indgået efter den 27. september 2021. Det betyder, at hvis din virksomhed ønsker at anvende en SCC som overførselsgrundlag, skal de nye SCC’er anvendes for fremtiden. 

Artiklen fortsætter efter annoncen

SCC’erne er opbygget i fire moduler. Ved udarbejdelsen af en SCC skal I derfor tage stilling til, hvilket modul der er korrekt at vælge i forhold til den faktiske tredjelandsoverførsel. Modulerne er følgende: 

  • M1: Dataansvarlig til dataansvarlig
  • M2: Dataansvarlig til databehandler
  • M3: Databehandler til databehandler
  • M4: Databehandler til dataansvarlig  

For at vælge det rigtige modul skal I tage stilling til: 

  1. Hvem er dataeksportør? 
  2. Hvem er dataimportør? 
  3. Hvor sker tredjelandsoverførslen – altså mellem hvilke parter i databehandlerkæden overføres personoplysningerne til tredjelandet?  

Ligeledes skal din virksomhed være opmærksom på, at kontrakter, der er indgået på baggrund af de tidligere gældende SCC’er fra før den 27. september 2021, kan anvendes i overgangsperioden indtil den 27. december 2022, dog forudsat at databehandlingen forbliver uændret. Det anbefales, at din virksomhed hurtigst muligt påbegynder arbejdet med at komme over på de nye SCC’er, da det kan være en tidskrævende opgave. 

STEP 3: Udarbejdelse af en Transfer Impact Assessment (TIA) 

SCC’erne kan - desværre - ikke stå alene. I virksomheden skal I derfor også foretage en vurdering af alle forhold, der gør sig gældende for den pågældende tredjelandsoverførsel, herunder især en vurdering af hvorvidt myndigheder i modtagerlandet har mulighed for at tilgå de omfattede personoplysninger. Denne risikovurdering kaldes for en Transfer Impact Assessment (TIA), og det kan også være en tidskrævende og omfattende opgave. 

Reelt set er der tale om to vurderinger, hvor det først og fremmest skal undersøges, om modtagerlandet er en demokratisk retsstat med samme beskyttelsesniveau som i EU. Hvis landets beskyttelsesniveau ikke kan leve op til det europæiske, skal det undersøges, hvordan din virksomhed i praksis kan nedbringe risikoen for misbrug. Denne risiko kan nedbringes ved brug af supplerende sikkerhedsforanstaltninger. 

Spørgsmål som eksempelvis ”hvor opbevares data?” og ”kan data opbevares indenfor EU?” er særlige relevante i forhold til TIA’en og vurderingen af supplerende sikkerhedsforanstaltninger. Hvis for eksempel en dansk virksomhed anvender en cloud-løsning, hvor personoplysningerne bliver lageret i et datacenter indenfor EU, men hvor udbyderen foretager fejlretning og vedligehold via sit kontor udenfor EU, sker der fortsat en overførsel af personoplysninger til et usikkert tredjeland. Hertil vil det for eksempel ikke være et acceptabelt beskyttelsesniveau, såfremt modtageren udenfor EU selv kan hente data. Men hvis modtageren udenfor EU kun har en ”se adgang” og ikke selv kan hente data, må dette anses som en formildende omstændighed. Her ville beskyttelsesniveauet kunne suppleres med eksempelvis krypteringsnøgler indenfor EU for at opnå et acceptabelt beskyttelsesniveau. 

Disse supplerende sikkerhedsforanstaltninger kan opdeles i tekniske, kontraktuelle og organisatoriske sikkerhedsforanstaltninger. Det er vores vurdering, at det nok særligt er de tekniske sikkerhedsforanstaltninger, som bør være i fokus i forbindelse med udarbejdelsen af TIA’en.

Vil du bidrage til debatten med et synspunkt eller et vidensindlæg til et af Ingeniørens PRO-Medier? Send dit udkast til redaktionen på pro-sekretariat@ing.dk.

3 kommentarer.  Hop til debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
3
18. januar kl. 15:10

Det er helt korrekt, at det er et komplekst område, hvor særligt tredjelandsoverførsler til USA er i fokus.

Vi er meget enige i, at udarbejdelse af SCC, herunder særligt TIA’en er en kompleks og tidskrævende opgave. I artiklen deler vi denne opgave op i bider for at gøre en ellers kompliceret opgave mere spiselig.

Der er fortsat ikke meget praksis på området, hvorfor vi må afvente og se hvad praksis bliver fremover.

2
18. januar kl. 11:51

(ovenstående gælder selvfølgelig mest for cloud-tjenester i USA, jf. use case 6 i EDPB Recommendations 01/2020 (endelig version efter høring))

1
18. januar kl. 08:49

Dette er ikke en fyldestgørende beskrivelse af, hvordan man kan overføre data til usikre tredjelande. Der mangler de mest væsentlige punkter, dvs. det, som giver hovedpine derude: hvilke tekniske sikkerhedsforanstaltninger kan tilvejebringe samme beskyttelsesniveau som i EU?

Ifm. USA har EDPB f.eks. for længst fastslået, at der ikke rigtig er nogen form for tekniske eller andre former for sikkerhedsforanstaltninger, som kan give samme beskyttelsesniveau. I andre lande med hemmelig overvågning el. lign. vil udfaldet være lignende. Der kan selvfølgelig være undtagelser, hvor der godt kan findes tekniske eller organisatoriske foranstaltninger - men vi ved alle, at hovedproblemer et USA, ikke et eller andet mindre afrikansk land f.eks.

Så det her er ret nyttesløst, og giver et forkert billede af, hvad der er vigtigt. Ikke indgåelse af SCC/BCR samt en hurtig TIA - det er blot papirstigre til at sætte det i gang, som burde være i fokus i den her artikel: at opnå samme beskyttelsesniveau... hvilket viser sig umuligt.

Så er der mange, der fremhæver, at der jf. EDPBs vejledning skal udarbejdes en subjektiv vurdering af, hvorvidt de data, man sidder inde med, førhen har været genstand for interesse af usikre tredjelandes myndigheder eller andre (eks. hackere), og at man ved denne subjektive vurdering ville kunne udlede i nogle tilfælde, at der er "no reason to believe" at disse vil være interessant for nogen. Lad mig sige det som det er: det er også - pænt sagt - groft tvivlsomt, hvorvidt det faktisk løser problemet. (Det bliver derudover pt. afgjort i en sag hos Datatilsynet, om denne forklaring og udlægning af EDPBs vejledning er brugbart - nærmere bestemt er det Helsingør Kommune, der pt. bruger denne forklaring, omend med en ret naiv og rodet udregning af interesse fra USAs myndigheder)