Mere om overførsel af personoplysninger til usikre tredjelande

Overførsel til usikre tredjelande

Vi skrev i et tidligere nyhedsbrev (nummer 2, juni 2021) om nye standardbestemmelser til brug for overførsel af personoplysninger til usikre tredjelande.

Overførsel af personoplysninger til et usikkert tredjeland skal ske på et korrekt overførselsgrundlag. Det betyder først og fremmest, at man skal anvende EU´s standardblanketter ved overførsel.

Som dataansvarlig skal men tillige tage stilling til, om man bør iværksætte andre tiltag ved overførsel til usikre tredjelande udover standardblanketterne.

Du finder standardblanketterne i bilagene 1-3 i Kommissionens gennemførelsesafgørelse (EU) 2021/914 af 4. juni 2021 om standardkontraktbestemmelser for overførsel af personoplysninger til tredjelande i henhold til Europa-Parlamentets og Rådets forordning (EU) 2016/679 her.

Hvad betyder anbefalingerne i praksis?

Anbefalingerne om supplerende foranstaltninger er opbygget som en ”køreplan”, der angiver, hvad man blandt andet kan kigge på, når man skal vurdere, om der er behov for at iværksætte supplerende tiltag.

Hvis du overfører persondata til et usikkert tredjeland – det kunne fx være USA – skal du:

• Kortlægge hvilke tredjelande, virksomheden overfører personoplysninger til. Husk at dokumentere din kortlægning og gem dokumentationen.
• Identificere hvilke overførselsværktøjer, man benytter eller vil benytte sig af. Altså er det mails, interne systemer, GDS’er m.m.
• Vurdere, om det valgte overførselsgrundlag er effektivt i lyset af omstændighederne ved den konkrete overførsel
• Sørge for supplerende foranstaltninger, hvis overførselsværktøjet ikke vurderes at være effektivt.
• Overveje om der er behov for procedurer, som skal iagttages ved implementeringen af supplerende foranstaltninger.
• Genevaluere de øvrige punkter med jævne mellemrum