Baggrund og Problem
Når den dataansvarlige virksomhed (bevidst eller ubevidst) ”overfører” personoplysninger til tredjelande, finder reglerne i databeskyttelsesforordningens kapitel V anvendelse, således at overførsel kun kan ske, hvis der dokumenteres et lovligt såkaldt ”overførselsgrundlag”.
Om overførselsreglerne kan generelt siges, at de er komplicererede og ikke altid ganske klare, fleksible eller administrerbare.
Navnlig synes reglerne ikke at tage højde for, hvordan almindelige dagligdagssituationer/-ekspeditioner i en virksomhed, som potentielt indebærer en overførsel til såkaldte ”usikre tredjelande”, skal håndteres.
I den forbindelse skal huskes, at den dataansvarlige virksomhed i alle tilfælde skal kunne dokumentere, at hver enkelt overførsel er sket i overensstemmelse med databeskyttelsesreglerne.
Ved ”almindelige dagligdagssituationer/-ekspeditioner” i virksomheden tænkes f.eks. på. (ikke udtømmende):
- Medarbejderen sender ad-hoc – fra sin arbejdsplads i Danmark – e-mails indeholdende personoplysninger til personer i tredjelande (som ikke nødvendigvis er faste samarbejdspartnere). Eksempelvis:
- Korrespondance i forbindelse med mødebooking, der både indeholder medarbejderens egne kontaktoplysninger samt eventuelt tillige kontaktoplysninger på kollegaer i Danmark
- Fremsendelse af oplysninger om medarbejdere til tredjelande (såvel samarbejdspartner som myndigheder) ved ansøgning om visum ved forretningsrejser.
- Fremsendelse af oplysninger om medarbejdere til en kunde ved midlertidig udførsel af arbejde i udlandet.
- Medarbejderen sender – fra sin arbejdsplads i Danmark – e-mails indeholdende personoplysninger til forretningspartnere eller kollegaer, der uden medarbejderens kendskab, befinder sig i et tredjeland.
Anbefaling
Anbefaling
I databeskyttelsesforordningen findes i kapitel V (artikel 44-50) reglerne om ”overførsel” af personoplysninger til tredjelande. Reglerne er komplicerede og svære at have med at gøre i praksis. I forhold til almindelige dagligdagssituationer/-ekspeditioner i en virksomhed er der stor usikkerhed om, hvornår reglerne finder anvendelse, og (hvor dette er tilfældet) hvordan reglerne overholdes i samspil med at den daglige og naturlige virksomhedsdrift opretholdes.
Regelforum anbefaler for det første, at Datatilsynet i vejledningsform forholder sig til begrebet ”overførsel” set i relation til almindelige dagligdagssituationer/-ekspeditioner i en virksomhed.
Det bemærkes, at Datatilsynets beskrivelse af begrebet i tilsynets vejledning om overførsel af personoplysninger til tredjelande (2019), er forholdsvis sporadisk og ikke særlig konkret.
Regelforum anbefaler for det andet, at Datatilsynet i forlængelse heraf kommer med konkrete forslag til og eksempler på, hvordan sådanne tredjelandsoverførsler lovligt kan finde sted og dokumenteres, herunder både i forhold til reglerne om overførselsgrundlag (artikel 44.-50), oplysningspligt (artikel 13-14) og sikkerhed (artikel 32-36).
Datatilsynets førnævnte vejledning giver ingen retningslinjer i den henseende.
Potentiale
Alle brancher
Relevant regulering
Databeskyttelsesforordningen finder anvendelse, når der foretages elektronisk ”behandling” af personoplysninger.
Begrebet ”behandling” er meget bredt, og omfatter bl.a. såvel videregivelse til tredjemand som såkaldt ”intern anvendelse”.
”Intern anvendelse” dækker over tilfælde, at ”personer under den dataansvarliges direkte myndighed anvender personoplysningerne”, jf. Justitsministeriets betænkning nr. 1565/2018, bind II, side 629.
Dette betyder f.eks., at anvendelsen af lovligt indsamlede og registrerede oplysninger inden for en virksomhed i sig selv skal være i overensstemmelse reglerne i databeskyttelsesforordningen.
Blandt de mange regler i forordningen er bl.a. reglerne i kapitel V om overførsel af personoplysninger til tredjeland (dvs. et land uden for EU og EØS), herunder områder og sektorer i tredjelande.
Mens overførsler til såkaldte ”sikre tredjelande”, (f.eks. Argentina og Schweiz og konkrete virksomheder i USA, der har tilsluttet sig EU-U.S. Privacy Shield ordningen) ofte er uproblematisk, kan overførsler til såkaldte ”usikre tredjelande” efter omstændighederne give en række udfordringer, herunder ikke mindst administrative, i forhold til de muligheder, som databeskyttelsesforordningen giver for, at sådanne overførsler lovligt kan finde sted,
I den forbindelse fremhæves, at der ikke skal meget til, før der er tale om en overførsel, hvilket i Datatilsynets praksis har udmøntet sig i, at en overførsel f.eks. bestå i, at ”personer i et tredjeland blot gives »se-adgang« til oplysninger, der befinder sig i EU”, jf. Datatilsynets vejledning om overførsel af personoplysninger til tredjelande (2019), side 5, som flugter med tilsynets afgørelse med journalnummer 2007-214-004.
Udgangspunktet efter databeskyttelsesforordningen er, at overførsel til usikre tredjelande alene kan ske, hvis dataeksportøren (f.eks. virksomheden der ønsker at overføre oplysningerne) har givet ”de fornødne garantier” for databeskyttelse, hvilket ifølge databeskyttelsesforordningens artikel 46 kan ske gennem nogle – ikke ganske let administrerbare og ofte økonomisk tunge – instrumenter i form af bl.a. bindende virksomhedsregler, adfærdskodekser, certificeringsmekanismer og standardkontrakter om databeskyttelse.
Foreligger der ikke ”de fornødne garantier” vil overførsel til usikre tredjelande i henhold til forordningens artikel 49 kun kunne ske i ”særlige situationer”, herunder f.eks. hvis ”overførslen er nødvendig af hensyn til indgåelse eller opfyldelse af en kontrakt, der i den registreredes interesse indgås mellem den dataansvarlige og en anden fysisk eller juridisk person”.
Som det fremgår af Datatilsynets vejledning om overførsel af personoplysninger til tredjelande (2019), skal artikel 49 ”fortolkes restriktivt”.
Ved siden af reglerne om tredjelandsoverførsler vil også flere af databeskyttelsesforordningens andre regler – i tilfælde af en overførsel – kunne spille ind, herunder reglerne om oplysningspligt i artikel 13-14 og reglerne om sikkerhed i artikel 32-36.
Det er den dataansvarlige virksomhed, der i alle tilfælde skal kunne dokumentere, at hver enkelt overførsel er sket i overensstemmelse med databeskyttelsesreglerne, jf. princippet om accountability/ansvarlighed. Det er således op til den dataansvarlige at påvise over for henholdsvis tilsynsmyndigheder og de registrerede personer, at den gennemførte behandlingsaktivitet efterlever forordningens regler.
Regeringens svar
Svar til Regelforum
Datatilsynet vil opdatere tilsynets vejledning om overførsel til tredjelande i lyset af anbefalingen.
Tilsynet vil i den forbindelse bl.a. nærmere beskrive begrebet ”overførsel” og komme med konkrete forslag til og eksempler på, hvordan tredjelandsoverførsler lovligt kan finde sted og dokumenteres, herunder både i forhold til reglerne om overførselsgrundlag (artikel 44-50), oplysningspligt (artikel13-14) og sikkerhed (artikel 32-36). Datatilsynet vurderer det i øvrigt også relevant at opdatere tilsynets vejledning om overførsel til tredjelande allerede som følge af EU-Domstolens dom den 16. juli 2020 i den såkaldte Schrems IIsag.
Domstolen har erklæret ”Privacy Shield-afgørelsen” ugyldig, mens EU-Kommissionens standardkontrakter som udgangspunkt fortsat er gyldige. Dommen rejser en række spørgsmål, og i den kommende periode vil Datatilsynet i regi af Det Europæiske Databeskyttelsesråd foretage en nærmere analyse af dommen med henblik på at kunne give mere konkret vejledning om mulighederne for fremadrettet at overføre personoplysninger fra EU til tredjelande.
Datatilsynets opdaterede vejledning om overførsel til tredjelande forventes på denne baggrund at kunne offentliggøres i 1-2. kvartal af 2021
Regeringens afrapportering på anbefaling
Initiativet er gennemført stort set til tiden. En opdateret udgave af vejledningen om overførsel af personoplysninger til tredjelande er således blevet offentliggjort på Datatilsynets hjemmeside den 15. juli 2021.
Den mindre forsinkelse skyldes, at tilsynet bl.a. efter opfordring fra medlemmer af Datatilsynets kontaktudvalget for forbruger- og erhvervsorganisationer har sikret, at indholdet af den nye opdaterede vejledning tager højde for bl.a. Brexit og Europa-Kommissionens vedtagelse af de nye standardkontraktbestemmelser.
Vejledningen indeholder også et afsnit om anbefalinger om supplerende foranstaltninger, som blev vedtaget af Det Europæiske Databeskyttelsesråd efter afsigelsen af Schrems II-afgørelsen.
Vejledningen har fortsat et generelt sigte, der giver en grundlæggende introduktion til reglerne om overførsel til tredjelande. Datatilsynet har herudover arbejdet med selve opbygningen i ønsket om at gøre indholdet mere handlingsanvisende. De forskellige afsnit er opbygget, så de understøtter progressionen i den beslutningsproces, som en dataeksportør skal igennem, når eksportøren ønsker at overføre personoplysninger til et tredjeland. Der er endvidere tilført en række nye case-eksempler, der skal illustrere, hvornår der er tale om en overførsel til et tredjeland.