EDPB's anbefalinger efter Schrems II

I kølvandet på EU-Domstolens afgørelse i Schrems II-sagen har Det Europæiske Databeskyttelsesråd ("EDPB") den 11. november 2020 udsendt to sæt anbefalinger til, hvordan organisationer skal opfylde de krav, som ifølge EU-Domstolen gælder ved overførsel af persondata til lande uden for EU/EØS ("tredjelande"). Plesner Persondata Team inviterer den 20. november 2020 til webinar om EDPB's anbefalinger.

Bemærk: Arrangementet er afholdt. Se oversigt over vores aktuelle seminarer.

Efter GDPR kap. V er det en forudsætning for lovlig overførsel af persondata til tredjelande, at dataeksportøren etablerer et såkaldt overførselsgrundlag.

Et meget vidt anvendt overførselsgrundlag er EU Kommissionens standardkontrakt ("SCCs"), som indgås mellem dataeksportøren i EU og dataimportøren i tredjelandet.

EU-Domstolen udtalte i sin afgørelse i Schrems II, at en dataeksportør - når eksportøren overfører persondata på baggrund af fx SCCs - skal vurdere niveauet af beskyttelse af persondata i tredjelandet for hver enkelt overførsel.

Hvis eksportørens vurdering viser, at SCCs ikke i sig selv vil være tilstrækkelige til at sikre, at persondata beskyttes i importlandet på et tilsvarende højt niveau som i EU, skal importøren træffe "supplerende foranstaltninger" for at bringe beskyttelsesniveauet op på europæisk standard.

EU-Domstolen præciserede ikke i sin afgørelse, hvori disse "supplerende foranstaltninger" kan bestå.

EDPB har den 11. november 2020 udsendt to sæt anbefalinger. Det første sæt anbefalinger, Recommendations 1/2020, vedrører disse "supplerende foranstaltninger" og indeholder to elementer.

Det første element vedrører overordnet set overførsel af persondata til tredjelande. Her fremkommer EDPB med en samlet stepplan og uddyber de skridt, som en organisation skal igennem for at sikre sig, at tredjelandsoverførsler sker lovligt. EDPB har i den forbindelse også udarbejdet en grafisk oversigt, som kan findes her.

Det andet element vedrører de "supplerende foranstaltninger", som dataeksportøren kan og skal implementere, inden persondata kan overføres til et tredjeland, hvor SCCs ikke kan sikre et tilstrækkeligt højt beskyttelsesniveau alene. EDPB giver her nogen forslag til tekniske, organisatoriske og kontraktmæssige foranstaltninger, som dataeksportøren - alt efter eksportørens vurdering af tredjelandets beskyttelsesniveau - kan implementere for at skabe et tilstrækkeligt beskyttelsesniveau. Dataeksportøren er ikke bundet til de forslag, som gives i anbefalingerne, og kan selv finde andre foranstaltninger til at komme i mål.

Ved valg af foranstaltninger er det afgørende, at beskyttelsen er "effektiv" - først dér er beskyttelsesniveauet opnået. Det er derfor vigtigt, at man vælger en eller flere foranstaltninger, som gør en reel forskel for beskyttelsen set fra de registreredes synsvinkel. Dette betyder også, at "papirtigre" ikke vil hjælpe dataeksportøren med at opfylde sine forpligtelser.

Det andet sæt anbefalinger, Recommendations 2/2020, udgør en opdatering af den tidligere Artikel 29-gruppes WP237 om de europæiske essentielle garantier. Disse anbefalinger tjener som rettesnor for dataeksportørens vurdering af niveauet af databeskyttelse af persondata i tredjelandet. Hvis beskyttelsesniveauet viser sig ikke i det væsentlige at svare til niveauet i EU, sætter vurderingen dataeksportøren i stand til at identificere præcist hvilke supplerende foranstaltninger, det er relevante at implementere.

Plesner Persondata Team vil nu nærmere analysere EDPB's anbefalinger om "supplerende foranstaltninger" og de opdaterede anbefalinger om Europæiske Essentielle Garantier.

Vi vil præsentere vores analyse på et åbent LegalHub webinar fredag d. 20. november 2020, hvor vi gennemgår EDPB's anbefalinger i detaljer.

Deltagelse i denne type faglige webinarer er normalt forbeholdt abonnenter på LegalHub, men dette webinar er åbent for alle.

Tilmelding

Tilmeld dig webinaret.

LegalHub

Hvis du har behov for en opdatering på Schrems II og konsekvenserne heraf, har Plesner Persondata Team tidligere afholdt en række webinarer, som er tilgængelige på LegalHub. Læs mere om LegalHub og kontakt os gerne, hvis du ønsker flere oplysninger.

Seneste nyt om Persondata

Persondata