Bech-Bruun samarbejde

Det Europæiske Databeskyttelsesråd har den 10. november 2020 vedtaget de længe ventede anbefalinger om europæiske essentielle garantier og iværksættelse af supplerende foranstaltninger i kølvandet på Schrems II-afgørelsen.

Den 16. juli 2020 afsagde EU-domstolen afgørelse i den såkaldte Schrems II-sag. Med afgørelsen blev der stillet nye krav til overførsler af personoplysninger til lande uden for EU/EØS. Afgørelsen understreger, at eksportører af personoplysninger (stadig) skal foretage en konkret vurdering af, om beskyttelsesniveauet i det land, personoplysningerne overføres til, svarer til beskyttelsesniveauet i EU/EØS (såkaldte essentielle garantier, jf. yderligere nedenfor). Er det ikke tilfældet, kan overførslen ikke ske lovligt, medmindre der iværksættes ”passende supplerende foranstaltninger”. Den beskyttelse, personoplysninger er underlagt i EU/EØS skal med andre ord følge oplysningerne, uanset hvor de føres hen, og overførsel af personoplysninger til tredjelande må derfor ikke medføre underminering af beskyttelsen i EU/EØS.

Med det formål at hjælpe dataansvarlige med at foretage en vurdering af, om det er nødvendigt at implementere supplerende foranstaltninger, og hvilke foranstaltninger der i givet fald er passende, har Det Europæiske Databeskyttelsesråd i sine anbefalinger inkluderet en trin for trin guide:

  • Trin 1: Få styr på dine overførsler – hvilke personoplysninger overføres hvornår, hvortil og til hvilke formål? Det er afgørende, at overførslerne er tilstrækkelige, relevante og begrænsede til, hvad der er nødvendigt under hensyntagen til formålet med overførslen.
  • Trin 2: Identificér dit overførselsgrundlag. Er overførslen baseret på Kommissionens standardkontraktbestemmelser eller et andet overførselsgrundlag?
  • Trin 3: Er der lov eller anden praksis i importørens land, der medfører, at de beskyttelsesforanstaltninger, overførselsgrundlaget indeholder, forringes? I forbindelse med denne vurdering inddrages de europæiske essentielle garantier, som Det Europæiske Databeskyttelsesråd har vedtaget. Hvis ikke der er lovgivning eller praksis i importørens land, der påvirker overførselsgrundlagets beskyttelsesforanstaltninger i negativ retning, kan overførselsgrundlaget benyttes til overførsel af personoplysninger, uden yderligere foranstaltninger skal foretages. I modsat fald er det nødvendigt at fortsætte til guidens trin 4.
  • Trin 4: Identifikation og implementering af supplerende foranstaltninger. Det Europæiske Databeskyttelsesråd har vedtaget anbefalinger indeholdende eksempler på supplerede foranstaltninger (se eksempler nedenfor), men det er nødvendigt at foretage en konkret vurdering af, hvilke foranstaltninger der er passende.
  • Trin 5: Tag de nødvendige formelle processuelle skridt, som implementeringen af de passende supplerende foranstaltninger kræver. Det kan fx i visse tilfælde være nødvendigt at indhente Datatilsynets godkendelse. 
  • Trin 6: De supplerende foranstaltninger skal revurderes med passende intervaller, så det sikres, at de modsvarer det aktuelle beskyttelsesniveau i det land, som oplysningerne overføres til.

 

data

Essentielle garantier
Med vedtagelsen af de europæiske essentielle garantier har Det Europæiske Databeskyttelsesråd opdateret de tidligere vedtagne europæiske garantier. Formålet med de vedtagne garantier er at give nogle elementer, der kan indgå i vurderingen af, om lovgivningen eller anden praksis i importørens land medfører, at overførselsgrundlagets beskyttelsesforanstaltninger forringes.

De fire vedtagne europæiske essentielle garantier er:

  • Behandlingen skal være baseret på klare, præcise og tilgængelige regler
  • De legitime interesser, der forfølges, skal være nødvendige og proportionelle 
  • Der skal eksistere en uafhængig tilsynsmekanisme
  • Der skal være effektive retsmidler tilgængelige for de registrerede.

Supplerende foranstaltninger
Det Europæiske Databeskyttelsesråd har vedtaget en række anbefalinger for at hjælpe eksportører af personoplysninger med at identificere de passende supplerende foranstaltninger, der kan sikre, at overførsler kan ske på baggrund af Kommissionens Standardkontraktbestemmelser, selvom importørens land ikke lever op til de europæiske essentielle garantier.

Hvilke supplerende foranstaltninger, der er tilstrækkelige, skal vurderes konkret fra sag til sag. Det Europæiske Databeskyttelsesråds anbefalinger indeholder dog en række eksempler på supplerende foranstaltninger. Der gives således både eksempler på tekniske, organisatoriske og kontraktuelle supplerende foranstaltninger. Blandt andet angives stærk kryptering, pseudonymisering, organisatoriske foranstaltninger der sikrer transparens, og kontraktuelle forpligtelser, der muliggør, at registrerede kan udøve sine rettigheder over for importøren. Listen er ikke udtømmende, og det betyder, at andre foranstaltninger, end dem der er oplistet i anbefalingen, kan være ”passende”.

Bech-Bruuns kommentar
Det Europæiske Databeskyttelsesråds anbefalinger er et bidrag til dataansvarliges arbejde med vurderingen af, om det er nødvendigt at implementere supplerende foranstaltninger i forbindelse med overførsel af personoplysninger til tredjelande, og hvilke supplerende foranstaltninger der i givet fald skal implementeres. Det er særligt aktuelt i lande, hvor national overvågningslovgivning eller -praksis medfører, at offentlige myndigheder kan tilgå personoplysninger eller kræve personoplysninger udleveret, men kan også være aktuelt i andre tilfælde, fx hvis et lands retssystem ikke giver registrerede adgang til effektive retsmidler i forbindelse med behandling af personoplysninger.

Kravet om, at dataansvarlige skal foretage konkrete vurderinger i relation til hver enkelt overførsel, indebærer, at der stilles endnu større krav til overførselsgrundlaget end hidtil. Det må i den forbindelse understreges, at det er afgørende, at dataansvarlige, der fører oplysninger ud af EU/EØS sørger for grundig dokumentation af vurderinger af, om hver enkelt overførsel kræver implementering af supplerende foranstaltninger, og hvilke supplerende foranstaltninger der i givet fald er fundet passende. For at sikre, at de nødvendige og tilstrækkelige vurderinger foretages rettidigt (inden overførslen iværksættes), er det afgørende, at dataansvarlige sikrer, at nye potentielle overførsler identificeres og vurderes, fx i relation til nye overførsler til koncernselskaber eller databehandlere udenfor EU. Herefter skal der implementeres og dokumenteres interne procedurer for, hvordan der implementeres supplerende foranstaltninger i forbindelse med overførsler af personoplysninger. Dataansvarlige skal også være opmærksomme i forhold til databehandleres brug af underdatabehandlere, så det både i forbindelse med indgåelse af aftalen og ved efterfølgende udskiftning/ udpegning af underdatabehandlere sikres, at databehandleren foretager og dokumenterer ovenstående vurdering.

Det Europæiske Databeskyttelsesråds anbefalinger uddyber og nuancerer den vurdering, dataansvarlige skal foretage i forbindelse med overførsler til tredjelande. Anbefalingerne er dog ikke så tilstrækkeligt konkretiserede, at de sætter dataansvarlige uden dybdegående teknisk og juridisk kendskab i stand til egenhændigt at gennemføre den påkrævede vurdering.

Hos Bech-Bruun er vi specialiserede i de databeskyttelsesretlige regler, herunder overførsel af personoplysninger til tredjelande. Har I behov for rådgivning om overførsel af personoplysninger til tredjelande og de krav, som stilles i den forbindelse, er I meget velkomne til at kontakte én af vores specialister på området.