Overførsel af personoplysninger til tredjelande: Transfer Impact Assessment
Virksomheder står løbende over for beslutninger relateret til håndtering af persondata. Særligt overførsel af personoplysninger til tredjelande har skabt en del forvirring. Det giver anledning til mange spørgsmål – eksempelvis ”Hvordan udarbejder virksomheder Transfer Impact Assessments (TIA)?
Det grundlæggende problem ved anvendelse af databehandlere i et usikkert tredjeland er, at tredjelandets lovgivning ikke nødvendigvis har det samme beskyttelsesniveau af de registreredes personoplysninger som dét, vi har i EU.
Derfor er der en række forhold, som skal være på plads inden overførslen. F.eks. er det et krav, at virksomheden sikrer et tilstrækkeligt beskyttelsesniveau over for de registrerede ved brug af en leverandør i et usikkert tredjeland. Derudover skal virksomheden indledningsvist sikre et lovligt overførselsgrundlag, før der kan overføres personoplysninger til en leverandør i et usikkert tredjeland.
I denne artikel tager vi udgangspunkt i, at virksomheden har valg at bruge EU-Kommissionens standardkontraktsbestemmelser - bedre kendt som ”SCC” - som overførselsgrundlag.
SCC’erne kan desværre ikke stå alene i arbejdet med at sikre en lovlig tredjelandsoverførsel. Det er et krav, at der skal foretages en risikovurdering ved tredjelandsoverførslen. I denne risikovurdering skal der foretages en vurdering af alle forhold, der gør sig gældende for den pågældende tredjelandsoverførsel, herunder især en vurdering af hvorvidt myndigheder i modtagerlandet har mulighed for at tilgå de omfattede personoplysninger. Denne risikovurdering kaldes for en Transfer Impact Assessment (bedre kendt som ”TIA”), og det kan være en tidskrævende og omfattende opgave.
Vi har lavet en step-by-step til udarbejdelse af en TIA. Den kan bruges til inspiration og hjælpe virksomheder på vej i forhold til, hvilke vigtige momenter der bør inddrages i risikovurderingen.
Udarbejdelse af en Transfer Impact Assessment (TIA): Step-by-step
STEP 1: Beskriv overførslen
Som det allerførste skal det undersøges, hvad overførslen handler om og går ud på.
Det skal først og fremmest fastslås, hvem der er dataeksportør (sender data til tredjeland) og dataimportør (modtager data i et usikkert tredjeland).
Hertil er det f.eks. relevant at beskrive:
- hvilket land data overføres til,
- hvilke behandlinger foretages,
- formålet med behandlingerne og overførslerne,
- hvilke typer af personlysninger og kategorier af registrerede, der overføres til tredjelandet,
- hvorvidt oplysningerne sendes videre til andre leverandører.
STEP 2: Definér grundlæggende parametre for overførslen
I dette step handler det om at fastlægge en række parametre for overførslen.
Her er det f.eks. relevant at undersøge, hvor længe overførelsen påregnes at finde sted, i hvilke tilfælde overførsel af data sker mv. Derudover kan det være relevant at slå fast, om det alene er en ”se adgang”, og såfremt dette er tilfældet, om denne ”se adgang” er undtagelsesvist eller fast praksis.
STEP 3: Definér implementerede sikkerhedsforanstaltninger
Som tidligere anført er det et krav, at virksomheden sikrer et tilstrækkeligt beskyttelsesniveau over for de registrerede ved brug af en leverandør i et usikkert tredjeland.
For at sikre et tilstrækkeligt beskyttelsesniveau skal de fire europæiske essentielle garantier inddrages i risikovurderingen. Disse garantier kan bidrage med elementer til vurderingen af, om lovgivningen eller praksis i modtagerlandet medfører, at overførselsgrundlagets beskyttelsesforanstaltninger forringes.
De fire europæiske essentielle garantier:
- Behandling skal være baseret på klare, præcise og tilgængelige regler
- Nødvendighed og proportionalitet hvad angår de legitime mål, der forfølges, skal godtgøres
- Der skal findes en uafhængig tilsynsmekanisme
- Der skal være effektive retsmidler til rådighed for de enkelte personer
Efter en nærmere undersøgelse af de fire europæiske garantier kan det vise sig, at det forinden tredjelandsoverførselen er nødvendigt at implementere supplerende sikkerhedsforanstaltninger.
Sikkerhedsforanstaltninger kan opdeles i tre kategorier.
1) Tekniske sikkerhedsforanstaltninger:
Det er vores vurdering, at særligt de tekniske sikkerhedsforanstaltninger bør være i fokus. Tekniske sikkerhedsforanstaltninger kan f.eks. være krav til krypteringsalgoritme, opbevaring af krypterings- og identifikationsnøgler i EU, pseudonymisering mv.
Spørgsmål som f.eks. ”hvor opbevares data?” og ”kan data opbevares inden for EU?” er særlige relevante i forhold til TIA’en og vurderingen af supplerende sikkerhedsforanstaltninger. Hvis f.eks. en dansk virksomhed anvender en cloud-løsning, hvor personoplysningerne bliver lageret i et datacenter inden for EU, men hvor udbyderen foretager fejlretning og vedligehold via sit kontor uden for EU, sker der fortsat en overførsel af personoplysninger til et usikkert tredjeland. Hertil vil det f.eks. ikke være et acceptabelt beskyttelsesniveau, såfremt modtageren uden for EU selv kan hente data. Men hvis modtageren uden for EU kun har en ”se adgang” og ikke selv kan hente data, må dette anses som en formildende omstændighed. Her ville beskyttelsesniveauet kunne suppleres med f.eks. krypteringsnøgler inden for EU for at opnå et acceptabelt beskyttelsesniveau.
2) Kontraktuelle sikkerhedsforanstaltninger:
Kontraktuelle sikkerhedsforanstaltninger kan f.eks. være interne retningslinjer, audits, informationspligt ift. ændringer i lov/praksis, pligt til at udfordre anmodninger ved domstolene, specifikke tekniske krav mv.
Det vil være særligt relevant at overveje eventuelle certificeringsordninger og/eller erklæringer, hvor parterne f.eks. kan aftale, at leverandøren i modtagerlandet skal have udarbejdet en SOC 2-erklæring.
3) Organisatoriske sikkerhedsforanstaltninger:
Organisatoriske sikkerhedsforanstaltninger kan være politikker, procedurer, undervisning af medarbejdere, udvalg af medarbejdere, som håndterer anmodninger fra myndighederne, begrænsning i videre overførsel mv.
STEP 4: Vurdér modtagerlandets lovgivning
I dette step skal det undersøges, om modtagerlandet er en demokratisk retsstat med samme beskyttelsesniveau som i EU.
Det følger af Det Europæiske Databeskyttelsesråds anbefalinger, at denne vurdering skal baseres på offentlig tilgængelige information. Disse kilder skal være relevante, objektive, pålidelige og verificerbare.
Vurderingen bør foretages i samarbejde mellem dataeksportøren og dataimportøren. Som dataimportør har man et medansvar for at fremskaffe relevante kilder og oplysninger om modtagerlandets lovgivning og praksis.
Der skal indsamles viden om relevante love i modtagerlandet, hvad sandsynligheden er for at myndighederne overholder/overskrider relevant lovgivning og praksis mv. Derudover er det relevant at tage stilling til, hvad sandsynligheden er for, at en ulovlig indsamling finder sted i modtagerlandet.
Risikovurdering kan f.eks. lægge vægt på:
- om offentlige myndigheder kan søge adgang til data med eller uden dataimportørens viden
- om dataimportøren har forbud mod at informere dataimportøren om en specifik myndigheds anmodning om oplysninger,
- eller om landets praksis eller rapporter fra tilsynsmyndigheder (eller andre aktører) viser, at andre dataimportører har modtaget anmodninger fra modtagerlandets myndigheder.
Hvis landets beskyttelsesniveau ikke kan leve op til det europæiske, skal det undersøges, hvordan din virksomhed i praksis kan nedbringe risikoen for misbrug. Denne risiko kan nedbringes ved brug af supplerende sikkerhedsforanstaltninger, som beskrevet ovenfor.
STEP 5: Konklusion
Til sidst skal der udarbejdes en samlet konklusion over de ovennævnte steps. Ud fra denne konklusion skal det nærmere vurderes, om tredjelandsoverførsel lovligt kan finde sted, og i hvilket omfang der skal implementeres supplerende sikkerhedsforanstaltninger.
Vil du vide mere?
Hos DAHL gør vi brug af faste metoder til at udarbejde Transfer Impact Assessments.
Hvis du har spørgsmål til din virksomheds udarbejdelse af TIA’er, tredjelandsoverførsler eller til persondata generelt, er du velkommen til at kontakte DAHLs persondatateam, der står klar med råd og vejledning.