Hvad er en tredjelandsoverførsel?

En tredjelandsoverførsel betyder flytning eller deling af personoplysninger fra Det Europæiske Økonomiske Samarbejdsområde (EØS) til et andet lovområde. Deler jeres virksomhed persondata med partnere, fjernmedarbejdere, leverandører eller andre uden for EØS? Hvis ja, så har GDPR strenge regler for, hvordan virksomheder indsamler, bruger og deler persondata. Disse regler har det formål at forhindre EU-borgeres persondata i at havne i lande eller virksomheder, der ikke er omfattet af tilsvarende krav til compliance.

Denne guide handler om hvad I skal være opmærksom på, hvis I laver tredjelandsoverførsler med følsomme data.

Dataoverførsler på tværs af grænser er almindelige. Outsourcer eller bruger I tjenester fra udlandet i jeres kundeservice, markedsføring, løn-system eller IT? I så fald overfører I sandsynligvis personoplysninger uden for EU. For at præcisere, tæller indsamling af personoplysninger direkte fra en bruger registreret i et andet land ikke som en tredjelandsoverførsel. Men at dele det med en tredjepart i et andet land gør.

Hvis for eksempel en webshop indsamler personoplysninger fra en person uden for EØS – indtil videre behøver webshopejeren ikke at bekymre sig om regler for tredjelandsoverførsel. Senere ønsker webshoppen at overføre disse kundedata til en leverandør eller et kundeservicebureau uden for EU/EØS. Nu tæller det som en tredjelandsoverførsel.

GDPR har etableret følgende juridiske mekanismer til overførsel af personoplysninger uden for EU:

• Tilstrækkeligheds-beslutninger (forhåndsgodkendte lande)
• Standardkontrakt-klausuler (SCC’er)
• Bindende virksomhedsregler (BCR’er)

Når I forstår jeres muligheder for lovligt at dele data i udlandet, kan I vurdere hver enkelt overførsel fra sag til sag. Det første I skal se på er det land I flytter data til. Tjek, om EU har besluttet, om dets love giver tilstrækkelig beskyttelse af personoplysninger.

Det er op til Europa-Kommissionen at beslutte, om et land tilbyder et passende niveau af databeskyttelse. Dette kaldes en tilstrækkelighedsbeslutning. Når først et land har en beslutning om tilstrækkelighed fra Kommissionen, kan I overføre personoplysninger dertil uden yderligere sikkerhedsforanstaltninger.

Lande, der søger en beslutning om tilstrækkelighed, skal vise, at:

• Landets nationale lovgivning er i overensstemmelse med GDPR-principperne for databehandling
• Databeskyttelse er reguleret af en uafhængig offentlig myndighed
• Efterfølgende overførsler af EU-borgeres personoplysninger til lande uden deres egen beslutning om tilstrækkelighed vil ikke finde sted uden samtykke

På nuværende tidspunkt anerkender Kommissionen, at følgende ikke-EØS-lande har tilstrækkelig databeskyttelse til tredjelandsoverførsel:

• Andorra
• Argentina
• Canada (private organisationer, der falder ind under PIPEDA)
• Færøerne
• Guernsey
• Israel
• Isle of Man
• Japan
• Jersey
• New Zealand
• Republikken Korea
• Schweiz
• Storbritannien under GDPR og LED
• USA (private organisationer, der følger EU-US Data Privacy Framework)
• Uruguay

Nogle gange gælder tilstrækkelighedsbeslutninger kun for specifikke territorier eller specifikke sektorer i et land. Bemærk f.eks., at beslutningerne om Canada og USA er delvise tilstrækkelighedsbeslutninger. Ifølge EU’s beslutning er det kun virksomheder, der overholder PIPEDA i Canada og Privacy Shield i USA, der er tilstrækkelige.

Grundlæggende er lande, territorier og sektorer med beslutninger om tilstrækkelighed forhåndsgodkendt af EU som sikre for dataoverførsel. I kan overføre til regioner med beslutninger om tilstrækkelighed på samme måde, som I ville overføre data inden for EØS. Som altid skal overførslen være i overensstemmelse med GDPR, og I bør beskytte personlige data i transit. Derudover bør I overvåge situationen i tredjelandet og være klar til at træffe passende foranstaltninger, hvis deres niveau for beskyttelse af personoplysninger ændres.

Men hvad hvis I vil dele data med en person i et andet land, der ikke er på denne liste? Hvis ikke der er truffet en beslutning om tilstrækkelighed, kan I muligvis stadig foretage dataoverførslen med passende sikkerhedsforanstaltninger. Her er nogle af jeres muligheder for at lave tredjelandsoverførsel til lande uden tilstrækkelighedsbeslutninger.

Standardkontraktklausuler eller SCC’er er et sæt forudskrevne kontraktklausuler, der skal garantere, at data, der deles i udlandet, opretholder et beskyttelsesniveau svarende til det, der leveres af GDPR. Alle kan bruge dem, selv små virksomheder. I kan skræddersy dem til jeres specifikke situation samt typen af jeres dataoverførsler og derefter indsætte dem i jeres kontrakter.

Klausulerne opstiller specifikke krav til beskyttelse af personoplysninger. For eksempel datasikkerhedsforanstaltninger, registreredes rettigheder, forpligtelser i tilfælde af databrud og mekanismer til håndtering af tredjepartsanmodninger om dataadgang. I mellemtiden sørger de for løsning af uoverensstemmelser og håndhævelse af kontraktvilkårene.

En multinational virksomhed eller organisation kan fastsætte sine egne regler for beskyttelse af personoplysninger, når de deler dem med tredjelande. Derefter kan de indsende disse regler til godkendelse til databeskyttelsesmyndighederne i EØS. Sådanne interne regler kaldes BCR’er (Binding Corporate Rules).

For at få EU-godkendelse bør BCR’erne give tilstrækkelig beskyttelse af personoplysninger og være i overensstemmelse med principperne i den generelle databeskyttelsesforordning (GDPR). Det betyder, at de bør dække registreredes rettigheder, datasikkerhedsforanstaltninger, hvordan man håndterer databrud og procedurer for internationale dataoverførsler. Virksomheden bør forpligte sig til at acceptere ansvar og betale kompensation, hvis de overtræder deres egne BCR’er.

Bemærk, at BCR’er er for store koncerner eller multinationale virksomheder til at dele personlige data mellem deres egne datterselskaber, franchiseselskaber og/eller datterselskaber baseret i tredjelande.

Visse dataoverførsler uden for EU kan tillades uden en tilstrækkelighedsbeslutning, SCC’er eller BCR’er. De mest almindelige undtagelser/undtagelser i GDPR for at sende data uden for EU er:

1. Eksplicit samtykke fra den registrerede. Fik I personens specifikke samtykke til overførsel til udlandet? Sørg for at fortælle personen om overførselsrisici. Fortæl dem, at GDPR ikke vil beskytte deres personlige data på samme måde, som det ville være inden for Den Europæiske Union (EU).
2. Vitale interesser for den registrerede. Er dataoverførslen nødvendig for at beskytte en persons liv eller vitale interesser? Brug kun denne undtagelse under særlige omstændigheder.
3. Udførelse af en kontrakt. Skal I overføre data for at opfylde en kontrakt? Brug kun denne undtagelse, hvis den registrerede er part i kontrakten, og der ikke er nogen anden måde at opfylde kontrakten på.
4. Offentlig interesse. Er overførslen nødvendig af vigtige almene hensyn? For eksempel til beskyttelse af den nationale sikkerhed eller efterforskning af en strafbar handling?

Hvis I overfører personlige data til et land uden en beslutning om tilstrækkelighed, uden at bruge SCC’er, uden BCR’er, skal I svare ja til et af spørgsmålene ovenfor.

Hvis I stadig ikke er sikker på, du skal foretage den internationale overførsel, skal I søge juridisk rådgivning. Når alt kommer til alt, kan GDPR-bøder for overtrædelser af Tredjelandsoverførsler være høje, op til €20 millioner eller 4 % af ens årlige globale omsætning.

Ifølge GDPR, skal I, hvis I planlægger at sende data uden for EU regelmæssigt, angive det i jeres privatlivspolitik. Angiv alle lande, I sender personlige data til, og hvorfor. Forklar, om disse lande er forhåndsgodkendt af EU-Kommissionen. Hvis de ikke er det, bør I beskrive de sikkerhedsforanstaltninger, I vil bruge for at sikre, at data bliver beskyttet. Hold sproget enkelt, klart og let at forstå.

EU er ikke den eneste region med strenge regler for internationale dataoverførsler. Nogle af dataforordningerne med deres egne dataregler for Tredjelandsoverførsler:

• APP Australiens privatlivsprincipper
• APPI Japans lov om beskyttelse af personlige oplysninger
• FADP Schweiz’ føderale lov om databeskyttelse
• PIPL Kinas lov om beskyttelse af personlige oplysninger
• PIPEDA Canadas lov om beskyttelse af personlige oplysninger og elektroniske dokumenter

Det er klart, at lande med strenge databeskyttelseslove ikke ønsker, at deres borgeres data ender i udlandet uden beskyttelse. Tjek jeres lands love. Sørg for, at de tredjelande og virksomheder, I deler folks data med, har et højt niveau af databeskyttelse, der kan sammenlignes med lovene i jeres lovområde.

Husk, at selvom en tredjelandsoverførsel er lovlig, er I stadig ansvarlig for at holde data sikre, når det overføres. ShareSimple er en sikker Outlook-tilføjelse, som gør det nemt at sende data sikkert, uanset hvor den anden person er i verden. Data, der sendes med ShareSimple, opbevares i en sikker mappe på EU-servere.

Lær mere om ShareSimple.