DA
Teknologi

Ny vejledning for hvornår der er tale om internationale overførsler af persondata

logo
Juranyt
calendar 10. marts 2022
globus Danmark

Mange virksomheder kan fra tid til anden risikere at foretage internationale overførsler af persondata, uden at være helt klar over det. Det skyldes, at virksomheder kan have svært ved at gennemskue præcis hvornår der er tale om en international overførsel. Nu har det Europæiske Databeskyttelsesråd offentliggjort en ny vejledning, der fastsætter tre kriterier for, hvornår der helt præcist skal være et overførselsgrundlag.

Virksomheder skal have et overførselsgrundlag på plads, når der er tale om en international overførsel under persondatareglerne. Reglernes formål er at sørge for, at overførte persondata fortsat har en tilstrækkelig beskyttelse i tredjelandet, som overførslen sker til.

Alt afhængigt af, hvilken type overførsel der er tale om og hvilken destination persondata overføres til, findes der forskellige overførselsgrundlag. Overførsler kan eksempelvis let ske til anerkendte tredjelande, såsom Storbritannien, Canada eller Sydkorea, mens overførsler til andre tredjelande kræver mere forberedelse. Årsagen er, at overførsler til andre lande skal ske på baggrund af en overførselsmekanisme. Det har vi tidligere skrevet lidt mere om, her.

Tre kriterier afgør om et overførselsgrundlag skal på plads

Det Europæiske Databeskyttelsesråd har etableret tre kriterier, som virksomheder kan gennemgå for at tjekke, om en overførsel af persondata er international. De tre kumulative kriterier er, at:

  • Den dataansvarlige eller databehandlerens behandling er omfattet af persondatareglerne
  • Persondata, der behandles, gøres tilgængelige for en anden dataansvarlig eller databehandler
  • Modtageren af persondata er i et tredjeland, uanset om persondatareglerne finder anvendelse

Den første betingelse er lige til, og er som udgangspunkt allerede opfyldt, når virksomheden, der behandler persondata, er etableret i EU. Betingelsen kan dog efter omstændighederne også være opfyldt, selvom virksomheden ikke er etableret i EU.

Den anden betingelse kræver, at virksomheden i sin rolle som dataansvarlig eller databehandler gør persondata tilgængeligt, via transmission eller anden videregivelse, for en anden dataansvarlig eller databehandler. Det betyder eksempelvis, at hvis en forbruger i Danmark videregiver egne persondata som led i et køb af tøj og andre produkter fra et firma i Singapore, gælder reglerne ikke. Modsat gælder reglerne eksempelvis, hvis en dansk virksomhed som dataansvarlig sender persondata på kunder og ansatte til en virksomhed i Chile, som herefter behandler oplysningerne.

Den sidste betingelse betyder, at modtageren af persondata geografisk er i et tredjeland, eller er en international organisation, uanset om persondatareglerne gælder for den pågældende virksomhed. Eksempelvis betyder det, at hvis en dansk virksomhed behandler persondata for en virksomhed i USA, som udbyder tjenesteydelser i EU, gælder reglerne, når den danske virksomhed sender persondata til virksomheden i USA.

IUNO mener

Vejledningen gør det lettere for virksomheder at opsætte klare rammer for at vurdere, hvornår behandling af persondata kræver et overførselsgrundlag. Når der er en international overførsel, kan virksomheder eksempelvis bruge de godkendte standardkontrakter, bindende virksomhedsregler (BCR) eller vurdere om én af undtagelserne under overførselsreglerne finder anvendelse.

IUNO anbefaler, at virksomheder er opmærksomme på, at overførselsmekanismerne vil afhænge af den konkrete situation. Den rette overførselsmekanisme kan afhænge af mange ting, herunder eksempelvis om virksomheden, der skal overføre persondata, har rollen som dataansvarlig eller databehandler, mængden af data og årsagen til overførslen. Det kan nemlig udløse store bøder, hvis reglerne bliver tilsidesat.

[Retningslinjer 05/2021 om samspillet mellem anvendelsen af artikel 3 og bestemmelserne om internationale overførsler i kapitel V i databeskyttelsesforordningen]

Virksomheder skal have et overførselsgrundlag på plads, når der er tale om en international overførsel under persondatareglerne. Reglernes formål er at sørge for, at overførte persondata fortsat har en tilstrækkelig beskyttelse i tredjelandet, som overførslen sker til.

Alt afhængigt af, hvilken type overførsel der er tale om og hvilken destination persondata overføres til, findes der forskellige overførselsgrundlag. Overførsler kan eksempelvis let ske til anerkendte tredjelande, såsom Storbritannien, Canada eller Sydkorea, mens overførsler til andre tredjelande kræver mere forberedelse. Årsagen er, at overførsler til andre lande skal ske på baggrund af en overførselsmekanisme. Det har vi tidligere skrevet lidt mere om, her.

Tre kriterier afgør om et overførselsgrundlag skal på plads

Det Europæiske Databeskyttelsesråd har etableret tre kriterier, som virksomheder kan gennemgå for at tjekke, om en overførsel af persondata er international. De tre kumulative kriterier er, at:

  • Den dataansvarlige eller databehandlerens behandling er omfattet af persondatareglerne
  • Persondata, der behandles, gøres tilgængelige for en anden dataansvarlig eller databehandler
  • Modtageren af persondata er i et tredjeland, uanset om persondatareglerne finder anvendelse

Den første betingelse er lige til, og er som udgangspunkt allerede opfyldt, når virksomheden, der behandler persondata, er etableret i EU. Betingelsen kan dog efter omstændighederne også være opfyldt, selvom virksomheden ikke er etableret i EU.

Den anden betingelse kræver, at virksomheden i sin rolle som dataansvarlig eller databehandler gør persondata tilgængeligt, via transmission eller anden videregivelse, for en anden dataansvarlig eller databehandler. Det betyder eksempelvis, at hvis en forbruger i Danmark videregiver egne persondata som led i et køb af tøj og andre produkter fra et firma i Singapore, gælder reglerne ikke. Modsat gælder reglerne eksempelvis, hvis en dansk virksomhed som dataansvarlig sender persondata på kunder og ansatte til en virksomhed i Chile, som herefter behandler oplysningerne.

Den sidste betingelse betyder, at modtageren af persondata geografisk er i et tredjeland, eller er en international organisation, uanset om persondatareglerne gælder for den pågældende virksomhed. Eksempelvis betyder det, at hvis en dansk virksomhed behandler persondata for en virksomhed i USA, som udbyder tjenesteydelser i EU, gælder reglerne, når den danske virksomhed sender persondata til virksomheden i USA.

IUNO mener

Vejledningen gør det lettere for virksomheder at opsætte klare rammer for at vurdere, hvornår behandling af persondata kræver et overførselsgrundlag. Når der er en international overførsel, kan virksomheder eksempelvis bruge de godkendte standardkontrakter, bindende virksomhedsregler (BCR) eller vurdere om én af undtagelserne under overførselsreglerne finder anvendelse.

IUNO anbefaler, at virksomheder er opmærksomme på, at overførselsmekanismerne vil afhænge af den konkrete situation. Den rette overførselsmekanisme kan afhænge af mange ting, herunder eksempelvis om virksomheden, der skal overføre persondata, har rollen som dataansvarlig eller databehandler, mængden af data og årsagen til overførslen. Det kan nemlig udløse store bøder, hvis reglerne bliver tilsidesat.

[Retningslinjer 05/2021 om samspillet mellem anvendelsen af artikel 3 og bestemmelserne om internationale overførsler i kapitel V i databeskyttelsesforordningen]

Modtag vores nyhedsbrev

Anders

Etgen Reitz

Partner

Kirsten

Astrup

Managing associate (orlov)

Lignende

logo
HR-jura Litigation Teknologi

11. marts 2024

Flere medarbejdere indberetter psykisk arbejdsmiljø til Datatilsynet

logo
Teknologi

16. februar 2024

Varehus fik millionbøde for kontrol med medarbejdere

logo
Teknologi

28. september 2023

Syv bud til når arbejdsmailen skal lukkes

logo
Teknologi

14. september 2023

Åbne personalefiler var databrud

logo
Teknologi

14. september 2023

Frist for at etablere whistleblowerordninger for mellemstore virksomheder nærmer sig

logo
Teknologi

31. august 2023

Ny vejledning fra Datatilsynet om direkte markedsføring

Holdet

Anders

Etgen Reitz

Partner

Kirsten

Astrup

Managing associate (orlov)