Håndtering af transfer impact assessments i praksis
Mange virksomheder overser, at overførselsmekanismer som standardkontrakter ikke kan stå alene. Før personoplysninger kan sendes til et land uden for EU, skal der laves en transfer impact assessment (TIA). Afhængigt af resultatet kan det være nødvendigt at indføre supplerende foranstaltninger for at støtte overførslen.
I 2020 understregede EU-Domstolen, at beskyttelsesniveauet efter GDPR følger personoplysningerne, også ved en tredjelandsoverførsel. Det betyder, at overførslen ikke må svække beskyttelsesniveauet. Personoplysningerne skal sikres et niveau, der ”i det væsentligste” svarer til det, der gælder inden for EU.
Derfor kan standardkontrakter og andre overførselsmekanismer ikke bruges alene.
Først skal dataimportøren undersøge, om regler og praksis i modtagerlandet kan påvirke effektiviteten af overførselsmekanismens garantier. Det skal gøres gennem en TIA, som består af fire dele:
- Kortlæg din overførsel
- Fastlæg din overførselsmekanisme
- Vurder modtagerlandets love og praksis
- Identificér og implementér supplerende foranstaltninger, hvis relevant
Hvis vurderingen viser, at beskyttelsesniveauet i det væsentligste ikke kan overholdes, kan overførslen ikke ske. Først skal der indføres supplerende foranstaltninger – og hvis det viser sig stadig ikke at være nok, skal overførslen undgås, suspenderes eller ophøre.
IUNO mener
Det kan være svært at navigere rundt i et andet lands regler og praksis. Derfor bør din virksomhed involvere dataimportøren aktivt i at vurdere beskyttelsesniveauet. Dataimportøren kan hjælpe med at finde relevante retskilder, praksis, eksempler og statistik over relevant erfaring.
Supplerende foranstaltninger kan have forskellige former. Det bedste er at kombinere tekniske, kontraktuelle og organisatoriske tiltag. Tekniske tiltag kan være kryptering, pseudonymisering eller delt behandling. Organisatoriske og kontraktuelle tiltag kan være interne politikker, gennemsigtighedstiltag, eller en krav til importøren om at opliste al relevant lovgivning.
[EU-Domstolens dom af 16. juli 2020 i sag C-311/18]
I 2020 understregede EU-Domstolen, at beskyttelsesniveauet efter GDPR følger personoplysningerne, også ved en tredjelandsoverførsel. Det betyder, at overførslen ikke må svække beskyttelsesniveauet. Personoplysningerne skal sikres et niveau, der ”i det væsentligste” svarer til det, der gælder inden for EU.
Derfor kan standardkontrakter og andre overførselsmekanismer ikke bruges alene.
Først skal dataimportøren undersøge, om regler og praksis i modtagerlandet kan påvirke effektiviteten af overførselsmekanismens garantier. Det skal gøres gennem en TIA, som består af fire dele:
- Kortlæg din overførsel
- Fastlæg din overførselsmekanisme
- Vurder modtagerlandets love og praksis
- Identificér og implementér supplerende foranstaltninger, hvis relevant
Hvis vurderingen viser, at beskyttelsesniveauet i det væsentligste ikke kan overholdes, kan overførslen ikke ske. Først skal der indføres supplerende foranstaltninger – og hvis det viser sig stadig ikke at være nok, skal overførslen undgås, suspenderes eller ophøre.
IUNO mener
Det kan være svært at navigere rundt i et andet lands regler og praksis. Derfor bør din virksomhed involvere dataimportøren aktivt i at vurdere beskyttelsesniveauet. Dataimportøren kan hjælpe med at finde relevante retskilder, praksis, eksempler og statistik over relevant erfaring.
Supplerende foranstaltninger kan have forskellige former. Det bedste er at kombinere tekniske, kontraktuelle og organisatoriske tiltag. Tekniske tiltag kan være kryptering, pseudonymisering eller delt behandling. Organisatoriske og kontraktuelle tiltag kan være interne politikker, gennemsigtighedstiltag, eller en krav til importøren om at opliste al relevant lovgivning.
[EU-Domstolens dom af 16. juli 2020 i sag C-311/18]
