Vejledning om tredjelandsoverførsler: Hvornår er disse tilladt i henhold til Persondataforordningen?

04 oktober 2017

Justitsministeriet har i samarbejde med Datatilsynet, Digitaliseringsstyrelsen og Erhvervsstyrelsen netop offentliggjort en vejledning om overførsel af personoplysninger til tredjelande. Vejledningen har til formål at give private virksomheder og offentlige myndigheder et overblik over reglerne, så de er bedre klædt på til at vurdere, hvornår en tredjelandsoverførsel er lovlig.

Først og fremmest er det værd at bemærke, at Persondataforordningen ikke introducerer væsentlige nye regler om overførsler til tredjelande, og at der i vidt omfang er tale om en videreførelse af gældende ret. På den baggrund bringer vejledningen ikke meget nyt, men giver en kort introduktion til reglerne om tredjelandsoverførsler i Forordningen.

F.eks. fremhæves det, at virksomheder og organisationer skal være opmærksomme på, at tredjelandsoverførsler er underlagt særlige regler. Det betyder, at organisationen både skal iagttage de almindelige behandlingsregler i Forordningens kapitel II og de særlige regler i kapitel V.

Udgangspunktet er, at der kan ske fri overførsel af personoplysninger mellem organisationer inden for EU, idet alle organisationer inden for EU har pligt til at overholde reglerne i Forordningen og dermed pligt til at sikre et tilstrækkeligt databeskyttelsesniveau. Samme tiltro til lande uden for EU er der dog ikke. Dette nødvendiggør strengere regler i tilfælde af videregivelse af personoplysninger fra f.eks. et datterselskab i Danmark til et moderselskab beliggende i USA.

I den forbindelse skal man overveje, hvornår der er tale om en overførsel. Vidste du f.eks., at der – udover ved "fysiske" overførsler – er tale om en overførsel, når et moderselskab i USA kan tilgå personoplysninger opbevaret af et dansk selskab? Idet der er tale om en videregivelse (behandling) af personoplysninger, er det altså ikke uden videre tilladt at give koncernselskaber uden for EU "læse-adgang" til oplysninger, som et dansk selskab opbevarer om f.eks. deres kunder – medmindre der er stillet de fornødne garantier for et tilstrækkeligt beskyttelsesniveau hos det pågældende koncernselskab.

Sikre vs. usikre tredjelande

I Forordningen sondres der mellem sikre og usikre tredjelande. Overførsler til tredjelande, som EU-Kommissionen vurderer har et tilstrækkeligt højt beskyttelsesniveau (altså "sikre" tredjelande), kan som udgangspunkt ske uden videre. Som noget nyt i Forordningen er det alene EU-Kommissionen, der kan vurdere og fastslå, at et tredjeland sikrer et tilstrækkeligt beskyttelsesniveau. Dette har dataansvarlige også haft mulighed for i henhold til gældende regler, selvom det sjældent er sket i praksis. Derudover er det nyt, at internationale organisationer eller specifikke sektorer i en international organisation kan sikre et tilstrækkeligt beskyttelsesniveau. Det betyder, at hvis f.eks. UNICEF vurderes af Kommissionen til at udgøre en "sikker" international organisation, kan der ske fri overførsel af personoplysninger til denne.

Sikre tredjelande og sikre områder/sektorer i tredjelande

I henhold til vejledningen har Kommissionen på nuværende tidspunkt vurderet, at Færøerne, Schweiz, Israel, Argentina, New Zealand og Uruguay m.fl. er "sikre" tredjelande. Herudover er følgende områder/sektorer i tredjelande vurderet som sikre: Australien og USA, når det kommer til overførsel af personoplysninger om flypassagerer, og Canada, når modtageren (dataimportøren) er underlagt den canadiske Personal Information Protection and Electronic Documents Act (PIPED ACT). Endvidere er overførsel af oplysninger til organisationer, der har tilsluttet sig EU-U.S. Privacy Shield, tilladt. Det forventes også, at Kommissionen i fremtiden vil fastslå, at visse internationale organisationer er sikre.

I henhold til Forordningen er det tilladt at overføre personoplysninger til disse "sikre" tredjelande eller områder/sektorer, uden at det kræver forudgående tilladelse fra Datatilsynet. Dette er også noget nyt i forhold til gældende ret, idet man ifølge den nugældende persondatalov skal indhente tilladelse fra Datatilsynet, inden man overfører personoplysninger til et "sikkert" tredjeland.

Usikre tredjelande

Hvornår er det så lovligt at videregive oplysninger til "usikre" tredjelande? Dette forudsætter, at dataeksportøren (f.eks. et dansk selskab) kan give de fornødne garantier for databeskyttelse i form af:

  1. Retligt bindende instrumenter (aftaler m.v.) mellem offentlige myndigheder eller organer
  2. Binding Corporate Rules (relevant lovligt behandlingsgrundlag ved koncernoverførsler)
  3. Adfærdskodekser og certificeringsordninger
  4. Standardkontraktbestemmelser (f.eks. SCC)
  5. Ad hoc-aftaler

Kvikguide

Vejledningen indeholder også en kvikguide til tredjelandsoverførsler, som giver et hurtigt overblik over de forhold, en organisation skal være opmærksom på, inden de videregiver personoplysninger til tredjelande. Hvis du ønsker at se denne og læse mere om vejledningens indhold, kan du finde den her.

Bird & Bird kommentar

Vejledningen om tredjelandsoverførsler er blot en af flere, der vil blive offentliggjort i løbet af efteråret 2017. Bird & Bird følger udviklingen tæt og vil løbende holde dig opdateret på indholdet af disse samt kommende ny persondatelovgivning.