Anbefalinger om supplerende foranstaltninger vedtaget af EDPB i lyset af Schrems II​

I lyset af EU-Domstolens afgørelse i Schrems II-sagen har Det Europæiske Databeskyttelsesråd (EDPB) pr. 18. juni 2021 vedtaget endelige anbefalinger om supplerende foranstaltninger ved overførsel af personoplysninger til tredjelande. Det er noget, vi alle har ventet spændt på.

Ved overførsel af personoplysninger til tredjelande skal dataeksportøren efter Schrems II-dommen vurdere, hvorvidt databeskyttelsesniveauet i tredjelandet i det væsentlige svarer til det (”essentially equivalent”), der er sikret i EU. Såfremt konklusionen af vurderingen bliver, at dette ikke er tilfældet, kan dataeksportøren alligevel gennemføre overførslen, såfremt der kan implementeres supplerende foranstaltninger, som kan kompensere for det manglende beskyttelsesniveau. Anbefalingerne, der nu er vedtaget, giver jeres organisation vejledning i, hvordan og forslag til hvilke supplerende foranstaltninger som kan og skal implementeres.

Hvad er nyt i de vedtagne anbefalinger?

Anbefalingerne lægger særlig vægt på vurderingen af, om det valgte overførselsgrundlag i praksis også vil sikre en effektiv beskyttelse af de overførte personoplysninger i tredjelandet. Det påpeges i anbefalingerne, at dataeksportøren – ud over at vurdere lovgivningen i tredjelandet – også inddrager myndighedernes praksis i det pågældende tredjeland.

Det vil være særligt relevant at undersøge praksis i følgende situationer:

 

  • Når et tredjelands lovgivning formelt lever op til EU’s standarder, men i praksis ikke efterleves af myndighederne i tredjelandet.
  • Når lovgivningen i et tredjeland er mangelfuld og praksis i tredjelandet er uforenelig med de forpligtelser, der er fastsat i det valgte overførselsgrundlag.
  • Når overførslen eller dataimportøren er omfattet af problematisk lovgivning i tredjelande.

Betydningen af anbefalingerne i praksis

De nye anbefalinger fra Det Europæiske Databeskyttelsesråd følger en step-for-step plan, som for din organisation kan give overblik over, hvilke skridt der er vigtige i vurderingen af, om det er nødvendigt som dataeksportør at implementere supplerende foranstaltninger. EDPB anbefaler følgende:

 

  • Kortlægge (og dokumentere), hvilke tredjelande man overfører personoplysninger til.
  • Identificere, hvilke overførselsværktøjer (eksempelvis standardkontrakter), man benytter/vil benytte sig af.
  • Vurdere, om det valgte overførselsgrundlag er effektivt i lyset af omstændighederne ved den konkrete overførsel.
  • Sørge for supplerende foranstaltninger, hvis overførselsværktøjet ikke vurderes at være effektivt.
  • Overveje om der er behov for procedurer, som skal iagttages ved implementeringen af supplerende foranstaltninger.
  • Genvurder sikkerhedsniveauet for de overførte personoplysninger regelmæssigt.

 

Alt dette betyder, at det ikke bliver en nem opgave for din organisation at foretage tredjelandsoverførsler. Det er både en kompleks og omfattende proces, men med de nye og mere præciserede anbefalinger fra EDPB, kan din organisation få et overblik over, hvordan den kan sikre en lovlig overførsel af personoplysninger til tredjelande. Du kan finde de endeligt vedtagne anbefalinger fra EDPB lige her.

Nye standard kontraktbestemmelser

I løbet af de seneste uger har Kommissionen i øvrigt vedtaget nye standardkontraktbestemmelser (SCC’er). De gamle standardkontraktbestemmelser kan anvendes indtil d. 27. september 2021. Dette betyder, at din organisation har tre måneder, inden I skal begynde at anvende de nye SCC’er. Overfører I allerede personoplysninger til tredjelande på baggrund af de gamle standardkontraktbestemmelser skal disse flyttes til de nye standardkontraktbestemmelser senest den 27. december 2022. Er du kunde hos ComplyCloud, vil de nye SCC’er inden længe være en del af softwaren.

Vi kontakter dig snarest

Udfyld formularen