Seks sikre råd om overførelse til USA

Del opslaget

Det Europæiske Databeskyttelsesråd er kommet med en fremgangsmåde til, hvordan du kan beskytte overførelsen af persondata til tredjelande, selvom landet ikke lever op til EU-standarden for GDPR-beskyttelse. Det er opsummeret i 6 punkter, som herunder er samlet i en ‘How-to-guide’

I vores globaliserede verden er det svært at undgå, at persondataoplysninger overføres til tredjelande. Under overførelsen følger EU’s regler for GDPR-beskyttelse med. Det betyder, at GDPR-reglerne for beskyttelse af persondata stadig gælder, uanset hvor oplysningerne ender – også selvom landet befinder sig uden for EU’s grænser.

Men nogle af tredjelandene lever ikke op til EU-reglerne. Derfor kan denne ‘How to guide’ komme med trin til, hvordan tredjelandsoverførelsen beskyttes, så den bliver lovlig.

How to guide

1. Få et overblik over tredjelandsoverførelsen ved at identificere alle de aktiviteter, der indebærer overførelse af persondata til tredjelande.

2. Undersøg, om overførelsesgrundlaget gør brug af Standard Contractual Clauses (SCC), Binding Corporate Rules (BCR) eller et andet grundlag for overførelsen af persondata til et tredjeland.

3. Undersøg modtagelandets lovgivning for at finde ud af, om det overholder EU-standarden for beskyttelse af persondata. Hvis det ikke er tilfældet, så undersøg specifikt, hvor tredjelandet ikke lever op til reglerne for GDPR-beskyttelse.

4. Identificer og implementer de foranstaltninger, der er nødvendige for at bringe niveauet af persondatabeskyttelse op til EU-standarden. Dette step er kun nødvendigt, hvis undersøgelsen af modtagelandets lovgivning viser, at det ikke lever op til reglerne for GDPR-beskyttelse.

5. Få styr på formalia – Kræver foranstaltningerne godkendelse?

6. Undersøg løbende beskyttelsesniveauet for de data, der overføres til tredjelande. Vurdér, om beskyttelsen stadig er i overensstemmelse med EU-lovgivningen, herunder ændringer i modtagelandets lovgivning eller syn på privatbeskyttelse, og om de supplerende foranstaltninger stadig er tilstrækkeligt effektive.

Forslag til foranstaltninger

Vejledningen fra Det Europæiske Databeskyttelsesråd kommer med forslag til tekniske, kontraktmæssige og organisatoriske foranstaltninger, som kan implementeres for at bringe tredjelandets niveau af persondatabeskyttelse op til EU-standarden.

HUSK: Det skal understreges, at der vil være situationer, hvor ingen foranstaltninger kan retfærdiggøre overførelsen af persondata til et tredjeland. I disse situationer afbrydes overførelsen.

Tak fordi du læste med!