Overfører din virksomhed personoplysninger til såkaldte tredjelande uden for EU/EØS?

Som udgangspunkt er der tale om en overførsel til et tredjeland, når personoplysninger forlader EU/EØS eller gøres tilgængelige uden for EU/EØS.

Selv når oplysningerne ikke fysisk forlader EU/EØS, og der kun gives fjernadgang, som giver mulighed for at se oplysningerne, vil der være tale om en overførsel til et tredjeland, hvis det er muligt for dataimportøren i tredjelandet at tilgå oplysningerne uden for EU/EØS.

Hvis en virksomhed ønsker at overføre personoplysninger til tredjelande, skal særlige regler i databeskyttelsesforordningens iagttages. Der er flere metoder, man kan bruge for lovligt at overføre personoplysninger til tredjelande, men for de fleste virksomheder vil overførsler til tredjelande godkendt af EU-Kommissionen med en såkaldt tilstrækkelighedsafgørelse eller overførsler via standardbestemmelser vedtaget af EU-Kommissionen d. 4. juni 2021 være mest relevante.

Tilstrækkelighedsafgørelse

Når man vil overføre personoplysninger til et tredjeland, er det en god ide som det første at undersøge, om EU-Kommissionen har godkendt det pågældende tredjeland som sikkert ved en tilstrækkelighedsafgørelse. Er det tilfældet, kan der overføres til landet, forudsat at forordningens øvrige bestemmelser overholdes.

Følgende lande er p.t. godkendt af EU-Kommissionen som sikre tredjelande:

Andorra, Argentina, Færøerne, Guernsey, Isle of Man, Israel, Jersey, New Zealand, Schweiz, Storbritannien, Sydkorea og Uruguay.

USA er ikke godkendt p.t., men EU-Kommissionen og de amerikanske myndigheder er i dialog om at finde en erstatning for den tidligere gældende Privacy Shield-ordning, som i visse situationer gjorde det muligt at overføre personoplysninger til USA uden et overførselsgrundlag.

Nye standardbestemmelser

EU-Kommissionen vedtog den 4. juni 2021 et sæt nye standardbestemmelser til brug for overførsler til tredjelande. De nye standardbestemmelser består af flere særskilte moduler, som skal anvendes alt efter hvilken overførselssituation, man befinder sig i.

Når man benytter standardbestemmelserne, skal man sikre sig, at kontrakterne er korrekt indgået, samt at man i øvrigt kan leve op til de forpligtelser, som kontrakterne indeholder.

Hvis man i dag benytter standardbestemmelser vedtaget i henhold til det tidligere gældende persondatadirektiv, kan man fortsat benytte disse frem til den 27. december 2022 forudsat, at aftalen om overførsel af personoplysninger ved brug af disse gamle standardbestemmelser blev indgået inden den 27. september 2021, og at den behandling, der er genstand for aftalen, forbliver uændret, samt at anvendelsen af disse standardbestemmelser sikrer, at overførslen af personoplysninger er omfattet af de fornødne garantier.

Oplysningspligten

Når man som dataansvarlig vil overføre personoplysninger til et tredjeland, får det betydning for opfyldelse af oplysningspligten. Det gælder både, når oplysningerne er indsamlet direkte hos den registrerede, og når oplysningerne er indsamlet hos andre. Hvis EU-Kommissionen ikke har truffet en tilstrækkelighedsafgørelse, skal man oplyse den registrerede om, hvilke tredjelande personoplysningerne vil blive overført til, og hvilket overførselsgrundlag man anvender.