Nyheder

Overførsel af personoplysninger til tredjelande - hvilke muligheder har du?

Virksomheder står løbende overfor beslutninger relateret til håndtering af persondata. Særligt overførsel af personoplysninger til tredjeland har skabt en del forvirring. Det giver anledning til mange spørgsmål - eksempelvis om man må bruge leverandører uden for EU, og om vi må overføre persondata til leverandøren? I dette indlæg giver vi dig svaret.

Må man bruge leverandører uden for EU til håndtering af persondata? 

Svaret er 'ja': Vi må gerne bruge leverandører uden for EU.

Det grundlæggende problem ved anvendelse af databehandlere i et usikkert tredjeland er, at tredjelandets lovgivning muligvis ikke har det samme beskyttelsesniveau af de registreredes personoplysninger som det, vi har i EU. 

Derfor er det et krav, at virksomheden sikrer et tilstrækkeligt beskyttelsesniveau overfor de registrerede ved brug af en leverandør i et usikkert tredjeland.

Så hvad skal der til?

For at anvende databehandlere i usikre tredjelande er der forskellige ting, som skal være på plads, før det er lovligt at bruge databehandlere. I det følgende tager jeg dig igennem tre step, der skal afklares:

STEP 1: Valg af overførselsgrundlag 

Inden virksomheden må overføre personoplysninger til en leverandør i et usikkert tredjeland, skal I sikre et lovligt overførselsgrundlag. 

Der findes forskellige overførselsgrundlag som for eksempel bindende virksomhedsregler, standardkontraktsbestemmelser med videre.

I denne artikel har vi fokus på EU-Kommissionens standardkontraktsbestemmelserne, der er bedre kendt under betegnelsen SCC, da vi erfaringsmæssigt oplever, at dette overførelsesgrundlag kan anvendes til de fleste overførelsessituationer. 

STEP 2: Indgåelse af en SCC 

EU-Kommissionen har for nyligt udarbejdet nye SCC’er. De nye SCC’er skal bruges på alle kontrakter indgået efter den 27. september 2021. Det betyder, at hvis din virksomhed ønsker at anvende en SCC som overførselsgrundlag, skal de nye SCC’er anvendes for fremtiden. 

SCC’erne er opbygget i fire moduler. Ved udarbejdelsen af en SCC skal I derfor tage stilling til, hvilket modul der er korrekt at vælge i forhold til den faktiske tredjelandsoverførsel. Modulerne er følgende: 

  • M1: Dataansvarlig til dataansvarlig
  • M2: Dataansvarlig til databehandler
  • M3: Databehandler til databehandler
  • M4: Databehandler til dataansvarlig  

For at vælge det rigtige modul skal I tage stilling til: 

  1. Hvem er dataeksportør? 
  2. Hvem er dataimportør? 
  3. Hvor sker tredjelandsoverførslen – altså mellem hvilke parter i databehandlerkæden overføres personoplysningerne til tredjelandet?  

Ligeledes skal din virksomhed være opmærksom på, at kontrakter, der er indgået på baggrund af de tidligere gældende SCC’er fra før den 27. september 2021, kan anvendes i overgangsperioden indtil den 27. december 2022, dog forudsat at databehandlingen forbliver uændret. Det anbefales, at din virksomhed hurtigst muligt påbegynder arbejdet med at komme over på de nye SCC’er, da det kan være en tidskrævende opgave. 

STEP 3: Udarbejdelse af en Transfer Impact Assessment (TIA) 

SCC’erne kan - desværre - ikke stå alene. I virksomheden skal I derfor også foretage en vurdering af alle forhold, der gør sig gældende for den pågældende tredjelandsoverførsel, herunder især en vurdering af hvorvidt myndigheder i modtagerlandet har mulighed for at tilgå de omfattede personoplysninger. Denne risikovurdering kaldes for en Transfer Impact Assessment (TIA), og det kan også være en tidskrævende og omfattende opgave. 

Reelt set er der tale om to vurderinger, hvor det først og fremmest skal undersøges, om modtagerlandet er en demokratisk retsstat med samme beskyttelsesniveau som i EU. Hvis landets beskyttelsesniveau ikke kan leve op til det europæiske, skal det undersøges, hvordan din virksomhed i praksis kan nedbringe risikoen for misbrug. Denne risiko kan nedbringes ved brug af supplerende sikkerhedsforanstaltninger. 

Spørgsmål som eksempelvis ”hvor opbevares data?” og ”kan data opbevares indenfor EU?” er særlige relevante i forhold til TIA’en og vurderingen af supplerende sikkerhedsforanstaltninger. Hvis for eksempel en dansk virksomhed anvender en cloud-løsning, hvor personoplysningerne bliver lageret i et datacenter indenfor EU, men hvor udbyderen foretager fejlretning og vedligehold via sit kontor udenfor EU, sker der fortsat en overførsel af personoplysninger til et usikkert tredjeland. Hertil vil det for eksempel ikke være et acceptabelt beskyttelsesniveau, såfremt modtageren udenfor EU selv kan hente data. Men hvis modtageren udenfor EU kun har en ”se adgang” og ikke selv kan hente data, må dette anses som en formildende omstændighed. Her ville beskyttelsesniveauet kunne suppleres med eksempelvis krypteringsnøgler indenfor EU for at opnå et acceptabelt beskyttelsesniveau. 

Disse supplerende sikkerhedsforanstaltninger kan opdeles i tekniske, kontraktuelle og organisatoriske sikkerhedsforanstaltninger. Det er vores vurdering, at det nok særligt er de tekniske sikkerhedsforanstaltninger, som bør være i fokus i forbindelse med udarbejdelsen af TIA’en.

Har du spørgsmål, er du altid velkommen til at kontakte en af vores specialister med indgående viden om persondata og GDPR.

Tilmeld dig nyhedsbrevet DAHL Nyt

Modtag vores nyhedsbrev pr. e-mail og bliv opdateret på juridiske emner og nye kurser.

Læs betingelser

Betingelse for modtagelse af nyhedsbrevet DAHL Nyt

Hvem udsender nyhedsbrevet?

Nyhedsbrevet er en service, der udbydes af DAHL Advokatpartnerselskab. Vores fulde kontaktoplysninger er:

DAHL Advokatpartnerselskab
Lundborgvej 18
8800 Viborg
CVR. nr.: 37 31 00 85

Du vil kun modtage markedsføringsmateriale fra DAHL Advokatpartnerselskab.

Hvilke oplysninger indsamles om mig?

DAHL Advokatpartnerselskab behandler din oplyste e-mailadresse og dit navn – dette er alt, vi behøver for at kunne sende dig nyhedsbreve. Når du via nyhedsbrevet tilmelder dig et af vores arrangementer, vil vi i nogle tilfælde ligeledes behandle oplysninger om firmanavn og telefonnummer.

Vi indsamler desuden oplysninger om din adfærd i forbindelse med din brug af nyhedsbrevet – herunder oplysninger om om vores nyhedsbrev bliver åbnet, hvor lang tid e-mailen er åben, og om der klikkes på links i nyhedsbrevet. Du skal herudover være opmærksom på, at hvis du klikker på links i nyhedsbrevet til vores hjemmeside, kan vi indsamle yderligere oplysninger om dig, hvis du accepterer, at vores hjemmeside bruger cookies. Du kan finde yderligere information om vores brug af cookies i vores cookiepolitik.

Hvad bruger vi dine oplysninger til?

Når du tilmelder dig vores nyhedsbrev, bruger vi dine oplysninger til at udsende faglige nyheder, kursus- og øvrige arrangementstilbud samt andet markedsføringsmateriale til dig. Vi kan endvidere bruge dine oplysninger til at udsende orienterende e-mails om DAHL Advokatpartnerselskab eller om vores nyhedsbrev. Vores udsendelse af nyhedsbrevet sker på grundlag af dit samtykke.

De oplysninger, vi indsamler om dig og din adfærd i forbindelse med din brug af nyhedsbrevet, anvender vi til at forbedre vores service og indhold, så vi i fremtiden kan blive endnu bedre til at målrette og tilpasse indholdet i vores nyhedsbreve efter dine interesser. Vi behandler dine personoplysninger til disse formål efter reglen i databeskyttelsesforordningens artikel 6, stk. 1, litra f. Hvis du ikke ønsker, at vi behandler dine oplysninger til disse formål, har du til enhver tid ret til at gøre indsigelse mod behandlingen.

Oplysninger om din brug af nyhedsbrevet anvender vi herudover til statistiske formål i anonymiseret form.

Dine oplysninger behandles fortroligt og sikkert

Vi opbevarer dine oplysninger fortroligt og sikkert. Vi har implementeret de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger, der sikrer, at dine oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med persondatalovgivningen.

Vi bruger en underleverandør til vores drift af IT. Vi har sikret, at vores IT-udbyder er underlagt samme forpligtelse, og at de alene handler på vores instruks.

Hvor ofte udsendes nyhedsbreve?

Vi udsender vores nyhedsbrev, når vi mener, at vi har noget vigtigt eller nyt at fortælle dig. Nyhedsbrevet udkommer ikke med faste intervaller. Det er derfor forskelligt, hvor ofte du kan forvente at modtage nyhedsbreve fra os. Vi bestræber os dog på at begrænse antallet, så vores nyhedsbreve ikke fylder hele din indbakke.

Vi videregiver ikke dine oplysninger

Vi videregiver ikke dine oplysninger til andre i kommerciel henseende. Vi videregiver kun oplysninger, hvis vi er forpligtet til det efter loven, eller hvis vi forpligtet til det efter en retskendelse.

Du kan altid rette eller ændre dine kontaktoplysninger

Du kan til enhver tid ændre eller rette i dine kontaktoplysninger (din e-mailadresse og navn) ved at afmelde dig nyhedsbrevet, og derefter tilmelde dig igen eller ved at sende en e-mail til tvc@dahllaw.dk, hvori du angiver ændringsønsker.

Det er beskrevet nedenfor, hvordan du framelder dig vores nyhedsbrev.

Du kan altid afmelde dig yderligere henvendelser

Du kan til enhver tid trække dit samtykke tilbage og framelde dig nyhedsbrevet. Når du har frameldt dig nyhedsbrevet, modtager du ikke yderligere fra os, medmindre du har givet andet samtykke til, at vi må henvende os til dig. Vi sender dig dog en bekræftelse på, at vi sletter dig fra modtagerlisten for vores nyhedsbrev, og vi sletter derefter dine oplysninger på vores modtagerliste.

Nyhedsbrevet kan afmeldes ved at klikke på linket ”afmeld nyhedsbrev”, som er indeholdt i hvert nyhedsbrev, du modtager fra os. Du kan også afmelde nyhedsbrevet ved at sende en e-mail til tvc@dahllaw.dk, hvori du oplyser dit navn og din e-mailadresse.

Hvor længe opbevarer I oplysningerne om mig?

Vi opbevarer og behandler dine oplysninger lige så længe, som du er tilmeldt vores nyhedsbrev. Hvis du afmelder dig fra nyhedsbrevet, sletter vi dine oplysninger.

Hvis du framelder dig vores nyhedsbrev, anonymiseres alle statistiske data om din brug af nyhedsbrevet. Anonymiseringen sker på en sådan måde, at det ikke efterfølgende er muligt at deanonymisere oplysningerne igen.

Dine øvrige rettigheder efter persondatalovgivningen

Du har til enhver tid mulighed for at gøre brug dine rettigheder efter persondatalovgivningen.

Du kan bl.a. anmode om indsigt i de personoplysninger, som vi behandler, samt gøre indsigelse mod behandlingen af oplysningerne. Du kan desuden anmode om berigtigelse eller sletning af eventuelle ukorrekte oplysninger om dig selv, trække et samtykke til behandling af dine personoplysninger tilbage samt gøre din ret til dataportabilitet gældende. I visse tilfælde kan du endvidere have ret til at få behandlingen af dine personoplysninger begrænset.

Hvis du ønsker at gøre brug af én eller flere af dine rettigheder, kan du kontakte cbm@dahllaw.dk.

Hvis du er uenig, i den måde vi behandler oplysninger om dig på, kan du klage til Datatilsynet.

Du modtager nu DAHL Nyt

Forretningsområder du ønsker info om:

  • Intet valgt

Din information

Du kan altid trække dit samtykke tilbage og afmelde dig vores nyhedsbrev

Accepter betingelserne