GDPR-reglerne skal sikre, at EU-borgeres persondata er tilstrækkeligt beskyttet – også når de overføres til tredjelande. Disse opdeles i sikre og ikke-sikre lande, hvor fx USA vurderes som ikke-sikker, da de amerikanske myndighederne har adgang til alle persondata.
Hvad handler det om?
Før Schrems II-dommen var det nok at bruge EU-Kommissionens standardkontrakter SCC (Standard Contract Clauses) eller Privacy Shield – en liste over amerikanske virksomheder godkendt til at behandle persondata fra EU/EØS. Men dommen underkendte Privacy Shield.
Standardkontrakterne er stadig gyldige, men de kræver dels en række garantier fra et tredjeland, dels en række supplerende foranstaltninger. Garantierne blev vedtaget i november 2020, og er tidligere beskrevet her på blog’en.
Men de supplerende foranstaltninger har i løbet af efteråret 2020 været i offentlig høring, og blev senest behandlet på et møde i det Europæiske Databeskyttelsesråd den 13. april 2021. Nu foreligger der så et udkast, selvom det ikke er endeligt vedtaget. Men hvor stiller det dig?
Der er ingen enkle svar, men én ting står fast: Ikke at gøre noget er ikke et valg!
Derfor er vores anbefaling indtil videre…
Vurdér risiko og stil krav
Hvis I benytter en databehandler i tredjeland som fx USA er det vigtigste at gennemgå risikoen ved at benytte pågældende – og hvis I vurderer, at risikoen er høj, så overvej, hvis muligt, at skifte til en databehandler i EU eller et godkendt tredjeland.
Hvis det ikke er muligt, skal I benytte supplerende foranstaltninger til at sikre jer. Disse er ofte individuelle og afhænger af fx branche, kontekst samt hvilke persondata, der er omfattet.
Nedenfor er et eksempel, der indeholder tre supplerende foranstaltninger:
- At den amerikanske databehandler overfor jer garanterer, at de krypterer alle data – ikke alene på transportlaget, men også meget gerne under opbevaring
- At den amerikanske databehandler anvender krypteringsversion2 eller højere på transportlaget (TLS)
- At den amerikanske databehandler logger, hvis tredjemand (som fx de amerikanske myndigheder) bryder ind og henter persondata: Så kan de nemlig underrette jer som kunde, så I igen kan underrette de registrerede personer
Får amerikanske virksomheder forbud mod at underrette de registrerede personer, må databehandlerne selvfølgelig ikke underrette. Men det må de heller ikke i EU/EØS, og derfor vil retstilstanden være den samme i både EU/EØS og USA.
Almindelige eller følsomme persondata?
Indtil vi hører mere fra Det Europæiske Databeskyttelsesråd og/eller det danske Datatilsyn, vurderer vi hos Lexoforms, at ovenstående eksempel på supplerende foranstaltninger er tilstrækkeligt. Vel at mærke under forudsætning af, at der kun behandles helt almindelige personoplysninger.
Overføres der derimod følsomme personoplysninger, er det nødvendigt at overveje yderligere supplerende foranstaltninger, som den amerikanske databehandler i givet fald må dokumentere på forespørgsel. Det skal ikke være let…
God dataudveksling!
Denne artikel er skrevet af advokat Wivi H. Larsen (H), partner og bestyrelsesformand i Lexoforms A/S.