Nyheder

Overførsel af personoplysninger til tredjelande: Transfer Impact Assessment

Virksomheder står løbende over for beslutninger relateret til håndtering af persondata. Særligt overførsel af personoplysninger til tredjelande har skabt en del forvirring. Det giver anledning til mange spørgsmål – eksempelvis ”Hvordan udarbejder virksomheder Transfer Impact Assessments (TIA)?

Det grundlæggende problem ved anvendelse af databehandlere i et usikkert tredjeland er, at tredjelandets lovgivning ikke nødvendigvis har det samme beskyttelsesniveau af de registreredes personoplysninger som dét, vi har i EU.

Derfor er der en række forhold, som skal være på plads inden overførslen. F.eks. er det et krav, at virksomheden sikrer et tilstrækkeligt beskyttelsesniveau over for de registrerede ved brug af en leverandør i et usikkert tredjeland. Derudover skal virksomheden indledningsvist sikre et lovligt overførselsgrundlag, før der kan overføres personoplysninger til en leverandør i et usikkert tredjeland.

I denne artikel tager vi udgangspunkt i, at virksomheden har valg at bruge EU-Kommissionens standardkontraktsbestemmelser - bedre kendt som ”SCC” - som overførselsgrundlag.

SCC’erne kan desværre ikke stå alene i arbejdet med at sikre en lovlig tredjelandsoverførsel. Det er et krav, at der skal foretages en risikovurdering ved tredjelandsoverførslen. I denne risikovurdering skal der foretages en vurdering af alle forhold, der gør sig gældende for den pågældende tredjelandsoverførsel, herunder især en vurdering af hvorvidt myndigheder i modtagerlandet har mulighed for at tilgå de omfattede personoplysninger. Denne risikovurdering kaldes for en Transfer Impact Assessment (bedre kendt som ”TIA”), og det kan være en tidskrævende og omfattende opgave.

Vi har lavet en step-by-step til udarbejdelse af en TIA. Den kan bruges til inspiration og hjælpe virksomheder på vej i forhold til, hvilke vigtige momenter der bør inddrages i risikovurderingen.

Udarbejdelse af en Transfer Impact Assessment (TIA): Step-by-step

STEP 1: Beskriv overførslen

Som det allerførste skal det undersøges, hvad overførslen handler om og går ud på.

Det skal først og fremmest fastslås, hvem der er dataeksportør (sender data til tredjeland) og dataimportør (modtager data i et usikkert tredjeland).

Hertil er det f.eks. relevant at beskrive:

  • hvilket land data overføres til,
  • hvilke behandlinger foretages,
  • formålet med behandlingerne og overførslerne,
  • hvilke typer af personlysninger og kategorier af registrerede, der overføres til tredjelandet,
  • hvorvidt oplysningerne sendes videre til andre leverandører.

STEP 2: Definér grundlæggende parametre for overførslen

I dette step handler det om at fastlægge en række parametre for overførslen.

Her er det f.eks. relevant at undersøge, hvor længe overførelsen påregnes at finde sted, i hvilke tilfælde overførsel af data sker mv. Derudover kan det være relevant at slå fast, om det alene er en ”se adgang”, og såfremt dette er tilfældet, om denne ”se adgang” er undtagelsesvist eller fast praksis.

STEP 3: Definér implementerede sikkerhedsforanstaltninger

Som tidligere anført er det et krav, at virksomheden sikrer et tilstrækkeligt beskyttelsesniveau over for de registrerede ved brug af en leverandør i et usikkert tredjeland.

For at sikre et tilstrækkeligt beskyttelsesniveau skal de fire europæiske essentielle garantier inddrages i risikovurderingen. Disse garantier kan bidrage med elementer til vurderingen af, om lovgivningen eller praksis i modtagerlandet medfører, at overførselsgrundlagets beskyttelsesforanstaltninger forringes.

De fire europæiske essentielle garantier:

  • Behandling skal være baseret på klare, præcise og tilgængelige regler
  • Nødvendighed og proportionalitet hvad angår de legitime mål, der forfølges, skal godtgøres
  • Der skal findes en uafhængig tilsynsmekanisme
  • Der skal være effektive retsmidler til rådighed for de enkelte personer

Efter en nærmere undersøgelse af de fire europæiske garantier kan det vise sig, at det forinden tredjelandsoverførselen er nødvendigt at implementere supplerende sikkerhedsforanstaltninger.

Sikkerhedsforanstaltninger kan opdeles i tre kategorier.

1) Tekniske sikkerhedsforanstaltninger:

Det er vores vurdering, at særligt de tekniske sikkerhedsforanstaltninger bør være i fokus. Tekniske sikkerhedsforanstaltninger kan f.eks. være krav til krypteringsalgoritme, opbevaring af krypterings- og identifikationsnøgler i EU, pseudonymisering mv.

Spørgsmål som f.eks. ”hvor opbevares data?” og ”kan data opbevares inden for EU?” er særlige relevante i forhold til TIA’en og vurderingen af supplerende sikkerhedsforanstaltninger. Hvis f.eks. en dansk virksomhed anvender en cloud-løsning, hvor personoplysningerne bliver lageret i et datacenter inden for EU, men hvor udbyderen foretager fejlretning og vedligehold via sit kontor uden for EU, sker der fortsat en overførsel af personoplysninger til et usikkert tredjeland. Hertil vil det f.eks. ikke være et acceptabelt beskyttelsesniveau, såfremt modtageren uden for EU selv kan hente data. Men hvis modtageren uden for EU kun har en ”se adgang” og ikke selv kan hente data, må dette anses som en formildende omstændighed. Her ville beskyttelsesniveauet kunne suppleres med f.eks. krypteringsnøgler inden for EU for at opnå et acceptabelt beskyttelsesniveau.

2) Kontraktuelle sikkerhedsforanstaltninger:

Kontraktuelle sikkerhedsforanstaltninger kan f.eks. være interne retningslinjer, audits, informationspligt ift. ændringer i lov/praksis, pligt til at udfordre anmodninger ved domstolene, specifikke tekniske krav mv.

Det vil være særligt relevant at overveje eventuelle certificeringsordninger og/eller erklæringer, hvor parterne f.eks. kan aftale, at leverandøren i modtagerlandet skal have udarbejdet en SOC 2-erklæring.

3) Organisatoriske sikkerhedsforanstaltninger:

Organisatoriske sikkerhedsforanstaltninger kan være politikker, procedurer, undervisning af medarbejdere, udvalg af medarbejdere, som håndterer anmodninger fra myndighederne, begrænsning i videre overførsel mv.

STEP 4:  Vurdér modtagerlandets lovgivning

I dette step skal det undersøges, om modtagerlandet er en demokratisk retsstat med samme beskyttelsesniveau som i EU.

Det følger af Det Europæiske Databeskyttelsesråds anbefalinger, at denne vurdering skal baseres på offentlig tilgængelige information. Disse kilder skal være relevante, objektive, pålidelige og verificerbare.

Vurderingen bør foretages i samarbejde mellem dataeksportøren og dataimportøren. Som dataimportør har man et medansvar for at fremskaffe relevante kilder og oplysninger om modtagerlandets lovgivning og praksis.  

Der skal indsamles viden om relevante love i modtagerlandet, hvad sandsynligheden er for at myndighederne overholder/overskrider relevant lovgivning og praksis mv. Derudover er det relevant at tage stilling til, hvad sandsynligheden er for, at en ulovlig indsamling finder sted i modtagerlandet.

Risikovurdering kan f.eks. lægge vægt på:

  • om offentlige myndigheder kan søge adgang til data med eller uden dataimportørens viden
  • om dataimportøren har forbud mod at informere dataimportøren om en specifik myndigheds anmodning om oplysninger,
  • eller om landets praksis eller rapporter fra tilsynsmyndigheder (eller andre aktører) viser, at andre dataimportører har modtaget anmodninger fra modtagerlandets myndigheder.

Hvis landets beskyttelsesniveau ikke kan leve op til det europæiske, skal det undersøges, hvordan din virksomhed i praksis kan nedbringe risikoen for misbrug. Denne risiko kan nedbringes ved brug af supplerende sikkerhedsforanstaltninger, som beskrevet ovenfor.

STEP 5: Konklusion

Til sidst skal der udarbejdes en samlet konklusion over de ovennævnte steps. Ud fra denne konklusion skal det nærmere vurderes, om tredjelandsoverførsel lovligt kan finde sted, og i hvilket omfang der skal implementeres supplerende sikkerhedsforanstaltninger.  

Vil du vide mere?

Hos DAHL gør vi brug af faste metoder til at udarbejde Transfer Impact Assessments.

Hvis du har spørgsmål til din virksomheds udarbejdelse af TIA’er, tredjelandsoverførsler eller til persondata generelt, er du velkommen til at kontakte DAHLs persondatateam, der står klar med råd og vejledning.

Tilmeld dig nyhedsbrevet DAHL Nyt

Modtag vores nyhedsbrev pr. e-mail og bliv opdateret på juridiske emner og nye kurser.

Læs betingelser

Betingelse for modtagelse af nyhedsbrevet DAHL Nyt

Hvem udsender nyhedsbrevet?

Nyhedsbrevet er en service, der udbydes af DAHL Advokatpartnerselskab. Vores fulde kontaktoplysninger er:

DAHL Advokatpartnerselskab
Lundborgvej 18
8800 Viborg
CVR. nr.: 37 31 00 85

Du vil kun modtage markedsføringsmateriale fra DAHL Advokatpartnerselskab.

Hvilke oplysninger indsamles om mig?

DAHL Advokatpartnerselskab behandler din oplyste e-mailadresse og dit navn – dette er alt, vi behøver for at kunne sende dig nyhedsbreve. Når du via nyhedsbrevet tilmelder dig et af vores arrangementer, vil vi i nogle tilfælde ligeledes behandle oplysninger om firmanavn og telefonnummer.

Vi indsamler desuden oplysninger om din adfærd i forbindelse med din brug af nyhedsbrevet – herunder oplysninger om om vores nyhedsbrev bliver åbnet, hvor lang tid e-mailen er åben, og om der klikkes på links i nyhedsbrevet. Du skal herudover være opmærksom på, at hvis du klikker på links i nyhedsbrevet til vores hjemmeside, kan vi indsamle yderligere oplysninger om dig, hvis du accepterer, at vores hjemmeside bruger cookies. Du kan finde yderligere information om vores brug af cookies i vores cookiepolitik.

Hvad bruger vi dine oplysninger til?

Når du tilmelder dig vores nyhedsbrev, bruger vi dine oplysninger til at udsende faglige nyheder, kursus- og øvrige arrangementstilbud samt andet markedsføringsmateriale til dig. Vi kan endvidere bruge dine oplysninger til at udsende orienterende e-mails om DAHL Advokatpartnerselskab eller om vores nyhedsbrev. Vores udsendelse af nyhedsbrevet sker på grundlag af dit samtykke.

De oplysninger, vi indsamler om dig og din adfærd i forbindelse med din brug af nyhedsbrevet, anvender vi til at forbedre vores service og indhold, så vi i fremtiden kan blive endnu bedre til at målrette og tilpasse indholdet i vores nyhedsbreve efter dine interesser. Vi behandler dine personoplysninger til disse formål efter reglen i databeskyttelsesforordningens artikel 6, stk. 1, litra f. Hvis du ikke ønsker, at vi behandler dine oplysninger til disse formål, har du til enhver tid ret til at gøre indsigelse mod behandlingen.

Oplysninger om din brug af nyhedsbrevet anvender vi herudover til statistiske formål i anonymiseret form.

Dine oplysninger behandles fortroligt og sikkert

Vi opbevarer dine oplysninger fortroligt og sikkert. Vi har implementeret de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger, der sikrer, at dine oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med persondatalovgivningen.

Vi bruger en underleverandør til vores drift af IT. Vi har sikret, at vores IT-udbyder er underlagt samme forpligtelse, og at de alene handler på vores instruks.

Hvor ofte udsendes nyhedsbreve?

Vi udsender vores nyhedsbrev, når vi mener, at vi har noget vigtigt eller nyt at fortælle dig. Nyhedsbrevet udkommer ikke med faste intervaller. Det er derfor forskelligt, hvor ofte du kan forvente at modtage nyhedsbreve fra os. Vi bestræber os dog på at begrænse antallet, så vores nyhedsbreve ikke fylder hele din indbakke.

Vi videregiver ikke dine oplysninger

Vi videregiver ikke dine oplysninger til andre i kommerciel henseende. Vi videregiver kun oplysninger, hvis vi er forpligtet til det efter loven, eller hvis vi forpligtet til det efter en retskendelse.

Du kan altid rette eller ændre dine kontaktoplysninger

Du kan til enhver tid ændre eller rette i dine kontaktoplysninger (din e-mailadresse og navn) ved at afmelde dig nyhedsbrevet, og derefter tilmelde dig igen eller ved at sende en e-mail til tvc@dahllaw.dk, hvori du angiver ændringsønsker.

Det er beskrevet nedenfor, hvordan du framelder dig vores nyhedsbrev.

Du kan altid afmelde dig yderligere henvendelser

Du kan til enhver tid trække dit samtykke tilbage og framelde dig nyhedsbrevet. Når du har frameldt dig nyhedsbrevet, modtager du ikke yderligere fra os, medmindre du har givet andet samtykke til, at vi må henvende os til dig. Vi sender dig dog en bekræftelse på, at vi sletter dig fra modtagerlisten for vores nyhedsbrev, og vi sletter derefter dine oplysninger på vores modtagerliste.

Nyhedsbrevet kan afmeldes ved at klikke på linket ”afmeld nyhedsbrev”, som er indeholdt i hvert nyhedsbrev, du modtager fra os. Du kan også afmelde nyhedsbrevet ved at sende en e-mail til tvc@dahllaw.dk, hvori du oplyser dit navn og din e-mailadresse.

Hvor længe opbevarer I oplysningerne om mig?

Vi opbevarer og behandler dine oplysninger lige så længe, som du er tilmeldt vores nyhedsbrev. Hvis du afmelder dig fra nyhedsbrevet, sletter vi dine oplysninger.

Hvis du framelder dig vores nyhedsbrev, anonymiseres alle statistiske data om din brug af nyhedsbrevet. Anonymiseringen sker på en sådan måde, at det ikke efterfølgende er muligt at deanonymisere oplysningerne igen.

Dine øvrige rettigheder efter persondatalovgivningen

Du har til enhver tid mulighed for at gøre brug dine rettigheder efter persondatalovgivningen.

Du kan bl.a. anmode om indsigt i de personoplysninger, som vi behandler, samt gøre indsigelse mod behandlingen af oplysningerne. Du kan desuden anmode om berigtigelse eller sletning af eventuelle ukorrekte oplysninger om dig selv, trække et samtykke til behandling af dine personoplysninger tilbage samt gøre din ret til dataportabilitet gældende. I visse tilfælde kan du endvidere have ret til at få behandlingen af dine personoplysninger begrænset.

Hvis du ønsker at gøre brug af én eller flere af dine rettigheder, kan du kontakte cbm@dahllaw.dk.

Hvis du er uenig, i den måde vi behandler oplysninger om dig på, kan du klage til Datatilsynet.

Du modtager nu DAHL Nyt

Forretningsområder du ønsker info om:

  • Intet valgt

Din information

Du kan altid trække dit samtykke tilbage og afmelde dig vores nyhedsbrev

Accepter betingelserne