17.11.20 DI Digital Nyheder

Webinar: Nye retningslinjer om tredjelandsoverførsler af persondata fra EDPB

Databeskyttelsesrådet (EDPB) har udgivet ’Retningslinjer om supplerende foranstaltninger’. DI inviterer derfor til webinar om retningslinjerne d. 24. november kl. 13:00-14:00, der afholdes i samarbejde med advokatfirmaet Bruun & Hjejle.

Efter EU domstolens afgørelse i Schrems II-sagen, har danske og europæiske virksomheder manglet konkrete retningslinjer for, hvordan dommens krav skulle efterleves. Med dommen statuerede EU-domstolen to overordnede krav, som virksomheder skal overholde, når de overfører persondata til lande uden for EU. Virksomhederne skal nu både vurdere nationale myndigheders adgang til persondata i det land, der overføres data til, og derefter, om nødvendigt, iværksætte supplerende foranstaltninger for at sikre et beskyttelsesniveau, der væsentligt tilsvarer det, vi har i EU.

Dommen har i praksis gjort det særdeles vanskeligt for virksomhederne lovligt at overføre persondata til lande uden for EU, da der har været en betydelig usikkerhed om, hvordan de to krav skulle overholdes.

De nyligt præsenterede retningslinjer, skal hjælpe virksomhederne med at skabe klarhed om tredjelandsoverførsler ved brug af fornødne garantier, hvilket særligt er Standardkontrakterne (SCC’erne) og Binding Corporate Rules (BCR). Retningslinjerne har fokus på de supplerende foranstaltninger som virksomhederne kan være nødt til at iværksætte, såfremt beskyttelsesniveauet for deres tredjelandsoverførsler ikke er væsentligt tilsvarende det, der gælder, når data behandles i EU.

’’Med vejledningen er der taget et første skridt til at hjælpe  virksomhederne efter dommens afsigelse. Det er en  konkret juridisk ramme som virksomhederne kan arbejde videre med i praksis, når de skal sikre en lovlig overførsel af persondata til usikre tredjelande. Men der er stadig brug for konkret hjælp til at håndtere  den nye situation, som Schrems II-afgørelsen har skabt for virksomhederne.’’, siger Emil Fink-Jensen, konsulent i Erhvervsjura, DI.

DI afholder webinar om retningslinjerne
Databeskyttelsesreglerne ses af mange virksomheder som vanskelige at efterleve og særdeles omkostningstunge. I midten af den kritik står de udfordringer, der opstår, når virksomhederne skal overføre persondata til usikre tredjelande. Med de nye retningslinjer skabes der en større grad af klarhed, selvom mange spørgsmål endnu mangler at blive besvaret.

Konkret tager retningslinjerne afsæt i 6 ’steps’, som virksomhederne skal gennemgå for at sikre, at deres tredjelandsoverførsler fortsat er lovlige. Det omfatter følgende:

  1. Kend dine tredjelandsoverførsler.
  2. Identificér hvilke fornødne garantier overførslerne gør brug af.
  3. Vurder om de fornødne garantier, du benytter dig af, er effektive set i lyset af alle overførslens omstændigheder.
  4. Foretag supplerende foranstaltninger.
  5. Procedureskridt, såfremt du har identificeret effektive supplerende foranstaltninger.
  6. Reevaluer dine tredjelandsoverførsler med passende intervaller.

På webinaret gennemgås retningslinjerne af Pia Kirstine Voldmester fra Bruun & Hjejle, hvor fokus vil være på en praktisk udlæggelse. Webinaret afholdes tirsdag d. 24. november kl. 13:00-14:00. Tilmelding til webinaret foregår ved at klikke på dette link.

EDPB modtager feedback på retningslinjerne indtil d. 30 november. DI afgiver i den forbindelse svar til EDPB baseret på virksomhedernes oplevelse af den praktiske anvendelighed af retningslinjerne, og modtager i den forbindelse gerne input. Bidrag kan sendes til DI på JURpersondata@di.dk.

Skrevet af:

Morten Rosted Vang