Anbefalingerne har til formål at vejlede om, hvad man skal gøre, hvis man vil overføre personoplysninger til et tredjeland, hvor det valgte overførselsgrundlag på grund af forholdene i tredjelandet ikke sikrer et tilstrækkeligt beskyttelsesniveau, og der derfor – på baggrund af den såkaldte Schrems II-afgørelse fra EU-Domstolen – er behov for at iværksætte supplerende foranstaltninger.
Det Europæiske Databeskyttelsesråd sendte i 2020 et udkast til anbefalinger i offentlig høring, og på baggrund af de indkomne høringssvar har rådet foretaget ændringer i udkastet, som nu er endeligt vedtaget.
Du kan læse de endeligt vedtagne anbefalinger her (på engelsk).
Du kan også læse pressemeddelelsen fra Det Europæiske Databeskyttelsesråd om vedtagelsen af anbefalingerne her.
Hvad er nyt i de vedtagne anbefalinger?
Ændringerne i den endelige version af anbefalingerne skal især findes i afsnit 2.3. Afsnittet omhandler vurderingen af, om det valgte overførselsgrundlag i praksis vil sikre en effektiv beskyttelse af de overførte personoplysninger i tredjelandet.
I den endelige version af anbefalingerne følger det fortsat, at man som dataeksportør skal foretage en vurdering af lovgivningen i det tredjeland, man vil overføre personoplysninger til. Anbefalingerne fremhæver dog også vigtigheden af at se på tredjelandets myndigheders praksis.
Det vil især i følgende situationer være relevant at undersøge praksis:
- Når et tredjelands lovgivning formelt lever op til EU’s standarder, men i praksis ikke efterleves af myndighederne i tredjelandet.
- Når lovgivningen i et tredjeland er mangelfuld og praksis i tredjelandet er uforenelig med de forpligtelser, der er fastsat i det valgte overførselsgrundlag.
- Når overførslen eller dataimportøren er omfattet af problematisk lovgivning i tredjelande.
Ved undersøgelsen af praksis i et tredjeland har Det Europæiske Databeskyttelsesråd i den endelige version af anbefalingerne fastslået, at det vil være muligt til en vis grad at lægge vægt på dataimportøren i tredjelandets praktiske erfaringer.
Det Europæiske Databeskyttelsesråd har også i de endelige anbefalinger præciseret, at lovgivning i et tredjeland, som tillader myndighederne at få adgang til personoplysninger uden om dataimportøren, f.eks. muligheden for at tilgå data under transit, også påvirker effektiviteten af overførselsværktøjet.
Endelig har Det Europæiske Databeskyttelsesråd foretaget mindre ændringer med henblik på at præcisere teksten for at imødekomme de mange høringssvar, man har modtaget.
Er anbefalingerne relevante ved brug af de nye standardbestemmelser fra Europa-Kommissionen?
Den 4. juni 2021 vedtog Europa-Kommissionen nye standardbestemmelser til brug for overførsel til tredjelande. Selvom de nye standardbestemmelser er blevet opdateret i forhold til de standardbestemmelser, skal dataeksportører fortsat ved brug standardbestemmelserne vurdere, om de i praksis er effektive. Det betyder også, at hvis man vurderer, at standardbestemmelserne ikke i praksis kan sikre en tilstrækkelig beskyttelse af de overførte personoplysninger, så skal man sørge for at fastsætte supplerende foranstaltninger. Anbefalingerne om supplerende foranstaltninger vil således også kunne være relevante ved brug af de nye standardbestemmelser.
Hvad betyder anbefalingerne i praksis?
Det Europæiske Databeskyttelsesråds anbefalinger om supplerende foranstaltninger er opbygget som en ”køreplan”, der angiver, hvilke skridt man som dataeksportør skal foretage med henblik på at vurdere, om der er behov for at sørge for supplerende foranstaltninger, når man overfører personoplysninger til et tredjeland. Man skal således gøre følgende:
- Kortlægge (og dokumentere), hvilke tredjelande man overfører personoplysninger til.
- Identificere, hvilke overførselsværktøjer, man benytter/vil benytte sig af.
- Vurdere, om det valgte overførselsgrundlag er effektivt i lyset af omstændighederne ved den konkrete overførsel.
- Sørge for supplerende foranstaltninger, hvis overførselsværktøjet ikke vurderes at være effektivt.
- Overveje om der er behov for procedurer, som skal iagttages ved implementeringen af supplerende foranstaltninger.
- Genevaluere de øvrige punkter med jævne mellemrum
Det er dog ikke sikkert, at man i alle tilfælde kan fastsætte supplerende foranstaltninger, der gør det muligt lovligt at overføre personoplysninger til et tredjeland.
I den forbindelse er det relevant at gøre opmærksom på, at der også er iværksat andre initiativer på baggrund af Schrems II-afgørelsen.
F.eks. er Europa-Kommissionen i dialog med de amerikanske myndigheder om en ny ordning for overførsel af personoplysninger til USA. Ordningen skal afløse den såkaldte Privacy Shield-ordning, som blev erklæret ugyldig af EU-Domstolen i Schrems II-afgørelsen. Derudover kan det nævnes, at nogle private aktører tilbyder cloud-tjenester mv., som slet ikke indebærer overførsel af personoplysninger til tredjelande.
Har du spørgsmål?
Eventuelle spørgsmål kan rettes til Datatilsynet på telefonnummer 33 19 32 00.
Eventuelle pressehenvendelser kan rettes til kommunikationskonsulent Anders Due på 29 49 32 83.