EDPB udsender endelige anbefalinger til supplerende foranstaltninger ved tredjelandsoverførsler

I forlængelse af EU-Domstolens dom i Schrems II-sagen har Det Europæiske Databeskyttelsesråd den 21. juni 2021 udsendt sine endelige anbefalinger til, hvordan organisationer skal opfylde de krav, som ifølge EU-Domstolen gælder ved overførsel af persondata til lande uden for EU.

Efter GDPR kap. V er det en forudsætning for lovlig overførsel af persondata til tredjelande, at dataeksportøren etablerer et såkaldt overførselsgrundlag. Der skal med andre ord etableres et særligt (juridisk) grundlag, hvis persondata skal forlade EU.

Et meget vidt anvendt overførselsgrundlag er EU-Kommissionens standardkontrakter ("SCCs"), som netop er blevet kommet i helt nye udgaver. Det kan man læse om her.

De nye SCC'er kan bruges fra 27. juni 2021, og fra 27. september 2021 kan de gamle SCC'er ikke længere bruges. Man har altså stadig tre måneder, hvor man kan bruge de gamle SCC'er og forberede brugen af de nye SCC'er.

Allerede indgåede SCC'er skal være flyttet over på de nye SCC'er senest 27. december 2022.

Selv om man bruger såvel de gamle eller de nye standardkontrakter, så skal man stadig opfylde kravene i Schrems II-dommen. Uanset indholdet af de nye SCC'er, så skal man altså stadig gennemføre den analyse, som følger af Schrems II-dommen, og man kan ikke nøjes med at anvende SCC'erne efter sin ordlyd.

Indledningsvist skal man være opmærksom på, at dommen blev afsagt i juli 2020, og at den ikke indeholder en overgangsperiode. Dommen har umiddelbar virkning og skal efterleves med det samme. Dette kan man bl.a. læse i den FAQ, som EDPB udsendte en uge efter dommen, og som kan læses her.

I FAQ'en fremgår det også, at tredjelandsoverførsler, som ikke sker lovligt, skal suspenderes eller helt afsluttes.

Dette rejser så spørgsmålet: Hvornår er en tredjelandsoverførsel på grundlag af SCC'er lovlig?

Med Schrems II-dommen blev det fastslået, at der ved overførsler på grundlag af SCC'er samlet set skal tilvejebringes et beskyttelsesniveau, som "essentially equivalent" med beskyttelsesniveauet inden for EU. Beskyttelsen skal i det væsentlige svare til den beskyttelse, som EU-retten, herunder EU's Charter for Grundlæggende Rettigheder, giver den registrerede.

Første led i tilvejebringelsen af denne beskyttelse består naturligvis i en korrekt indgåelse af SCC'er, herunder korrekt udfyldelse af bilagene til SCC'erne.

Andet led består i, at dataeksportøren for hver enkelt overførsel skal vurdere niveauet af beskyttelse af persondata i tredjelandet. Hvis vurdering viser, at SCC'erne ikke i sig selv vil være tilstrækkelige til at sikre, at persondata beskyttes i importlandet på et tilsvarende højt niveau som i EU, skal importøren træffe "supplerende foranstaltninger" for at bringe beskyttelsesniveauet op på EU's standard.

EU-Domstolen præciserede i sin afgørelse ikke, hvori denne analyse og disse "supplerende foranstaltninger" skal bestå, og hvornår der samlet set er opnået en beskyttelse, som er "essentially equivalent".

EDPB sendte den 11. november 2020 et udkast til anbefalinger om "supplerende foranstaltninger" i offentlig høring. Denne høring er nu afsluttet, og den 21. juni 2021 har EDPB udsendt de formelle anbefalinger, som kan læses her.

Anbefalingerne indeholder to elementer.

Det første element vedrører overordnet set overførsel af persondata til tredjelande. Her fremkommer EDPB med en samlet stepplan for analysen og uddyber de skridt, som en dataeksportøren skal gå igennem for at sikre sig, at tredjelandsoverførsler sker lovligt. EDPB har i den forbindelse tidligere udarbejdet en grafisk oversigt, som kan findes her.

Som led i analysen af tredjelandsoverførslen skal der foretages en analyse af tredjelandets forhold. Her giver EDPB en detaljeret vejledning til, hvilke faktorer, som kan tages i betragtning, under hvilke omstændigheder og med hvilken vægt. Bl.a. skal man se på, hvad myndighederne gør i praksis, og ikke blot på indholdet af tredjelandets lovgivning. Den væsentligste forskel på hørings-udgaven og den endelige udgave af anbefalingerne skal findes i delen vedrørende analysen af tredjelandets lovgivning. Der er tale om en omfattende og kompliceret beskrivelse, og det bliver desværre ikke nogen nem øvelse af foretage tredjelandsoverførsler til lande, som ikke er godkendt af EU-Kommissionen.

Det andet element vedrører de "supplerende foranstaltninger", som dataeksportøren kan og skal implementere, inden persondata kan overføres til et tredjeland, hvor SCCs alene ikke sikrer et tilstrækkeligt højt beskyttelsesniveau. EDPB giver her forslag til tekniske, organisatoriske og kontraktmæssige foranstaltninger, som dataeksportøren - alt efter eksportørens vurdering af tredjelandets beskyttelsesniveau - kan implementere for at skabe et tilstrækkeligt beskyttelsesniveau. Dataeksportøren er ikke bundet til de forslag, som gives i anbefalingerne, og kan selv finde andre foranstaltninger til at komme i mål.

Ved valg af foranstaltninger er det helt centrale, at foranstaltningerne giver en "effektiv" beskyttelse. Man kunne på dansk lige så vel bruge ordet "reel", for det afgørende er, at man vælger en eller flere foranstaltninger, som gør en reel forskel for beskyttelsen set fra de registreredes synsvinkel. Dette betyder også, at "papirtigre" ikke vil hjælpe dataeksportøren med at opfylde sine forpligtelser.

Hvis beskyttelsesniveauet tilvejebragt igennem SCCs, analysen af tredjelandsoverførslen og de valgte supplerende foranstaltninger samlet set ikke giver en beskyttelse, som i det væsentlige svarer til niveauet i EU, så skal overførslen straks bringes til ophør, og kan i tilfælde af nye overførsler ikke påbegyndes.

Plesner Persondata Team vil nu analysere EDPB's anbefalinger om "supplerende foranstaltninger" og bygge en værktøjskasse, som vores klienter kan bruge til at overholde kravene til tredjelandsoverførsler.

Den 29. juni 2021, kl. 9.00-16.00, afholder vi et online seminar, hvor vi kommer hele vejen rundt om tredjelandsoverførsler. Fokus vil være på de nye SCCs fra EU-Kommissionen og på fortolkningen og den praktiske anvendendelse af EDPB's anbefalinger.

Underviserne er Jesper Husmer Vang og Michael Hopp fra Plesner, sammen med IT-sikkerhedsspecialist & cand.jur, Allan Frank fra Datatilsynet. Allan Frank har deltaget i arbejdet med udarbejdelsen af EDPB's anbefalinger.

Du kan læse mere om seminaret på dette 
link.

Seneste nyt om Persondata

Persondata