Den danske brancheforening for sikring og sikkerhed

Hvilke tredjelande er sikre / hvilke tredjelande er omfattet af Privacy Shield?

Privacy Shield er ugyldig, og der findes ikke længere sikre tredjelande. Aftalen mellem EU og USA om overførsel af persondata er pr. 16. juli 2020 ikke længere gældende jf. en dom fra EU-domstolen. Hvis man har en løsning, der baserer sig på Privacy Shield, er den derfor ulovlig.

Dommen gælder for overførsel af persondata til alle tredjelande, altså lande uden for EU/EØF. Retten har afgjort, at det er princippet om ”tilsvarende beskyttelse” (an essentially equivalent level of protection), der er afgørende for om data må eksporteres.

Der findes en del forskellige måder at kunne eksportere data til tredjelande udover at få tilladelse af tilsynsmyndigheden. Først og fremmest bindende virksomhedsregler i overensstemmelse med artikel 47 (gælder koncerner o.l., der opererer både i EU og i tredjeland), og i henhold til GDPR artikel 46 stk. 2 c) standardbestemmelser om databeskyttelse vedtaget af kommissionen (kendt som SCC (Standard Contract Clauses)). SCC kan bruges ved eksport til alle tredjelande, også USA. EF-Domstolen har i den forbindelse i sin afgørelse understreget, at det beskyttelsesniveau som gælder for overførsel af persondata til USA, og som ikke var overholdt i Privacy Shield, gælder for alle tredjelande.

Retten sagde at det er den dataansvarlige og databehandlerens ansvar at vurdere om beskyttelsesniveauet i det pågældende tredjeland lever op til det, der kræves i EU, når det skal vurderes om de garantier, der er fastlagt i SCC m.fl. kan efterleves i praksis. Hvis det ikke er tilfældet, skal man overveje om der kan indbygges supplerende beskyttelsesforanstaltninger i SCC. Her skal det naturligvis først og fremmest vurderes om et tilsvarende beskyttelsesniveau som i EU støder mod lovgivning i det pågældende tredjeland. Det var det, der var tilfældet i USA og grunden til at Privacy Shield ikke findes mere.

Som dataansvarlig tager du således den SCC, kommissionen har udarbejdet, og vurderer punkt for punkt og case by case om databehandleren i det pågældende tredjeland kan leve op til SCC. Efter en fælles vurdering foretaget af den dataansvarlige og databehandleren kan der være behov for at supplere beskyttelsesforanstaltningerne i SCC for at kunne eksportere data. Hvis det ikke kan lade sig gøre at opnå et tilsvarende beskyttelsesniveau som i EU/EØF, f.eks. pga. lovgivning i det pågældende tredjeland, må man ikke eksportere data, og hvis man allerede gør det, skal man ophøre med det omgående.