Dataoverførsel indenfor og udenfor EU

Dataoverførsel

I dag behandles meget data uden for EU og dermed udenfor forordningens virkeområde. Der er imidlertid indsat mekanismer i forordningen, som skal sikre, at man hverken med vilje eller ved et uheld omgår reglerne ved at overføre til såkaldte 3. lande, som er lande uden for EU og EØS lande (Island, Liechtenstein og Norge). Indenfor EU og EØS kan data overføres frit såfremt forordningen overholdes. Målet med bestemmelserne i forordningen er at sikre, at data beskyttes på samme niveau i 3. lande, som de vil blive i Europa.

Overførsel til 3. lande

Der er en række muligheder for at overføre data til 3. lande. Bemærk, at overførsel også dækker over, at personer eller virksomheder i 3. lande har adgang til data, selvom disse er i Europa. Hvis man eksempelvis benytter sig af et indisk selskab til at håndtere sine it-systemer og dette medfører, at de indiske medarbejdere har adgang til persondata i systemet, så er dette en overførsel til 3. land. Det skal også bemærkes, at i situationen, hvor der videreføres data til en virksomhed i et 3. land og dette firma så viderefører data til et andet 3. land, der gælder regler og krav stadig. Man kan altså ikke snige sig uden om at skulle overholde forordningen.

 

Sikre 3. lande

Data kan som sagt uden tilladelse overføres til såkaldt sikre 3. lande. Disse lande bliver udvalgt af EU-Kommissionen og kan findes på Kommissionens hjemmeside. Listen er meget kort og dækker Andorra, Argentina, Canada, Færøerne, Guernsey, Isle of Man, Israel, Jersey, New Zealand, Schweiz og Uruguay. Ud fra eksperternes vurdering forventes det ikke umiddelbart, at flere lande vil blive tilføjet listen. Kommissionen kan endvidere udpege bestemte geografiske regioner eller sektorer i ellers usikre 3. lande, og betegne disse som sikre, fx en provins eller by i Indien eller en bestemt erhvervssektor i Thailand. Kommissionen kan ligeledes anføre internationale organisationer som sikre, fx Unicef, så på den måde kan kredsen af usikre 3. parter udvides.

 

USA og Privacy Shield

Alle andre lande end de ovennævnte (EU, EØS og sikre 3. lande) er at betragte som såkaldt usikre 3. lande, og i den sammenhæng skal der opfyldes bestemte krav for at måtte overføre persondata. USA har imidlertid en særordning kaldet Privacy Shield. Under denne ordning kan amerikanske virksomheder tilmelde sig et selvcertificeringssystem, der gør, at europæiske virksomheder frit kan sende persondata til dem. De amerikanske virksomheder under certificeringsordningen bliver så kontrolleret af de amerikanske myndigheder for at sikre, at deres databeskyttelse lever op til de europæiske standarder. Danske virksomheder skal huske at sikre sig, at relevante amerikanske firmaer er certificeret under Privacy Shield-ordningen, før der udveksles persondata. – og igen husk det skal kunne bevises, at der er indgået en Privacy Shieldaftale.

Usikre 3. lande

For alle andre usikre 3. lande end USA gælder en række muligheder for (hjemler til) overførsel. Persondata kan overføres, hvis der 1) er givet fornødne garantier, 2) med garantier plus godkendelse af myndighederne eller 3) i særlige situationer.

Fornødne garantier kan gives på en række forskellige måder. Offentlige myndigheder kan benytte indbyrdes retligt bindende instrumenter, mens virksomheder kan bruge Binding Corporate Rules (BCR), standardkontraktbestemmelser (SCC) eller adfærdskodeks og certificeringsordninger.

 

Binding Corporate Rules (BCR)

Binding Corporate Rules (BCR) eller bindende virksomhedsregler er relevante for virksomheder, som har datterselskaber eller afdelinger i usikre 3. lande. En BCR kan sikre, at der frit kan overføre persondata mellem de forskellige juridiske enheder i koncernen, og der kan dermed med indgåelsen af én aftale håndteres persondataoverførsel i hele koncernen. Reglerne vil dog kun være gældende internt i koncernen, og der kan med en BCR ikke overføres persondata til udenforstående virksomheder i 3. lande.

 

BCR’en skal godkendes af myndighederne for at træde i kraft, i Danmark er det Datatilsynet, der skal godkende en sådan aftale. Prisen for kun at skulle have én godkendelse er, at kravene til en BCR er omfattende. Udover at aftalen skal være bindende for alle involverede selskaber i koncernen, skal det sikres, at de registreredes rettigheder kan håndhæves. Derudover skal BCR’en indeholde følgende:

  • Hvilke overførsler af hvilke oplysninger, der overføres til hvilke lande
  • Hvordan de registreredes rettigheder håndhæves, herunder oplysningspligt og erstatningsmulighed
  • Den retligt bindende karakter af BCR’en
  • At det europæiske moderselskab påtager sig ansvaret
  • Anvendelsen af databeskyttelsesprincipper som dataminimering og privacy by design og default
  • Hvordan det kontrolleres, at BCR’en overholdes
  • DPO’ens opgaver og klagehåndtering
  • Databeskyttelsesuddannelse til personer, som behandler persondata

 

Det er en omfattende opgave, men det kan godt betale sig i det lange løb i stedet for hele tiden at skulle indgå individuelle aftaler.

 

Standard Contractual Clauses (SCC)

Alternativet til en BCR er en SCC, Kommissionens standardkontraktbestemmelse, som ligeledes sikrer, at der frit kan overføres data mellem de parter, der har indgået aftalen. Dette er i dag den mest anvendte kontraktform til overførsel og er stadig meget relevant, hvis der skal overføres persondata udenfor en koncern, altså mellem en virksomhed og en fremmed virksomhed. SCC’en kan endvidere anvendes internt i en koncern, men kun som en specifik enhed-til-enhed-aftale. Der kan altså samlet set blive tale om et stort antal SCC’er på tværs af en koncern. SCC’en kræver langt mindre arbejde af de involverede virksomheder i forhold til en BCR. Kontrakten kan findes på Kommissionens hjemmeside under Working Paper 133

 

Hvis du vil vide mere om overførsler til 3.lande eller udarbejdelse af kontrakter, kan du henvende dig til os hos Persondatasupports partner Per Løkken på 23315014 eller kontakt@pds.dk og få kyndig hjælp og vejledning.