International dataoverførsel er et centralt element i den daglige drift af virksomheder, som opererer på tværs af grænser. Organisationer kan fx gemme personlige oplysninger om kunder i en sky-tjeneste, som hostes i udlandet eller gemme medarbejderes personlige oplysninger hos et udenlandsk datterselskab. Disse organisationer vil blive påvirket af den nye databeskyttelsesforordning (GDPR).

GDPR skelner mellem to typer af lande uden for det Europæiske Økonomiske Samarbejdsområde, de, som anses for at yde et tilstrækkeligt beskyttelsesniveau for personlige oplysninger, og de, som ikke gør. En dataoverførsel til et ”sikkert” land er tilladt i henhold til GDPR og overførsler kræver ikke forhåndsgodkendelse fra en tilsynsmyndighed, hvorfor organisationer ikke behøver at foretage sig yderligere.

Hagen er dog, at det kun er Kommissionen, som kan bestemme, om sikkerheden er tilstrækkelig. Det er altså ikke en selvevaluering. Her kan du se listen over sikre lande: https://ec.europa.eu/justice/data-protection/international-transfers/adequacy/index_en.html

Hvordan forholder man sig så, når der er tale om et ikke-sikkert land?

Da der ikke findes en afgørelse fra Kommissionen om, hvilket beskyttelsesniveau som er tilstrækkeligt, kan internationale dataoverførsler kun finde sted, hvis organisationer iværksætter passende beskyttelsesforanstaltninger, som ikke underminerer GDPR’s beskyttelse. GDPR opstiller en række mulige beskyttelsesforanstaltninger, man kan iværksætte – de to mest kendte er: Bindende virksomhedsregler og standardkontraktbestemmelser.

Bindende virksomhedsregler
Bindende virksomhedsregler, BCR, er en mekanisme, der gør, at en organisation kan fastlægge deres globale retningslinjer for international overførsel af personlige oplysninger inden for koncernen. BCR gælder kun for koncerner og skaber ikke grundlag for overførsel til virksomheder uden for koncernen. Selv om begrebet ”bindende virksomhedsregler” ikke er nyt (det fandtes også før GDPR), så forventes det, at GDPR giver større retssikkerhed for organisationer, som indfører dem. Det skyldes dels, at bindende virksomhedsregler er anerkendt som en passende sikkerhedsforanstaltning og dels, at de skal opfylde nogle præcise krav til indhold. Organisationer er nu bedre i stand til at forstå, hvad der forventes af dem, og hvilke krav der skal opfyldes for at opnå godkendelse. Derudover er bindende virksomhedsregler genstand for en ny strømlinet godkendelsesproces, hvor godkendelsen koordineres af én databeskyttelsesmyndighed i Europa, som skal behandle den inden for fastsatte tidsfrister. Derfor er det ikke længere nødvendigt at indhente godkendelser fra flere databeskyttelsesmyndigheder, ligesom fristen for godkendelse bør blive mere strømlinet.

Godkendelsen er omkostningskrævende set fra et både økonomisk og tidsmæssigt perspektiv, men der kan være store fordele forbundet med det for store organisationer. Bindende virksomhedsregler skal eksempelvis sikre compliance gennem mekanismer så som databeskyttelsesrevisioner, og de skal sikre databeskyttelsesuddannelse for medarbejdere, som har adgang til personlige oplysninger. Den type krav kan bidrage til at stimulere en kultur, hvor man er bevidst om beskyttelsen af privatlivets fred, som kan hjælpe med at flytte organisationen mod GDPR-compliance. Når godkendelsen af bindende virksomhedsregler er modtaget, kræver dataoverførsler, som er overført i overensstemmelse med reglerne, ikke yderligere godkendelse, og dermed begrænses den administrative byrde.

Derudover er det vigtigt at bemærke, at bindende virksomhedsregler ikke løser problematikken med internationale overførsler af personlige oplysninger til tredjeparter. Bindende virksomhedsregler dækker kun koncerninterne overførsler og bør ikke betragtes som en hensigtsmæssig beskyttelsesforanstaltning for internationale overførsler uden for koncernen. Bindende virksomhedsregler er bedre egnet til organisationer med et komplekst spind af interne behandlingsaktiviteter. At opnå godkendelse er en kompliceret proces, som kræver en betydelig investering, og det kan være svært at omsætte virksomhedsreglernes bestemmelser til anvendelige krav. Denne investering kan muligvis ikke betale sig for mindre organisationer, hvorfor de muligvis vil være mere interesserede i at indføre standardkontraktbestemmelser.

Standardkontraktbestemmelser
Standardkontraktbestemmelser, der er godkendt af Kommissionen, er hovedsageligt kontrakter, som kan bruges i forbindelse med overførsel af personlige oplysninger uden for EØS. Standardkontraktbestemmelser findes allerede i dag, men Kommissionen forventes at udarbejde et nyt sæt klausuler, som følger GDPR-standarderne. GDPR gør det også muligt for lokale databeskyttelsesmyndigheder at udarbejde standardkontrakter. Standardkontrakter anses for at give passende beskyttelse, og de er således blevet brugt i vid udstrækning.

Kontraktbestemmelser er populære hos små og mellemstore virksomheder i forbindelse med overførslen af enkle, strukturerede data, men denne mekanisme kan også være interessant for både private såvel som offentlige virksomheder uanset størrelse. Kontaktbestemmelser kræver blot en underskrift fra den organisation, som sender data (dataeksportøren), og den organisation som modtager den (dataimportøren), på betingelse af, at dataimportøren kan overholde de bestemmelser, der er fastsat i aftalen. Af den grund anbefales det ikke, at store organisationer med komplekse behandlingsaktiviteter bruger kontraktbestemmelser, da denne løsning vil indebære en tung administrativ byrde og ringe fleksibilitet, eftersom nye behandlingsaktiviteter vil kræve nye underskrevne kontraktbestemmelser.

På det sidste er der udtrykt bekymring for, om kontraktbestemmelser i tilstrækkelig grad beskytter overførsler af personlige oplysninger til lande uden for Europa. Som følge heraf er en række spørgsmål vedrørende gyldigheden af kontaktbestemmelser blevet forelagt den Europæiske Unions Domstol (EU-domstolen). Organisationer, som anvender kontraktbestemmelser, bør derfor være opmærksomme på, at spillereglerne kan ændre sig i fremtiden. I dette miljø, som er under hastig forandring, bør organisationer forberede sig på alternative løsninger eller være klar til at tilpasse sig, hvis det bliver nødvendigt. Ind til videre betragtes kontraktbestemmelser dog stadig som en brugbar løsning, som man ikke bør se bort fra.

Virkningen er positiv
Selv om reglerne om internationale dataoverførsler ved første øjekast synes komplicerede og vanskelige at finde rundt i, så forventes GDPR at få en positiv virkning for organisationer. GDPR giver en passende løsning for forskellige organisationstyper. Store organisationer med et komplekst spind af behandlingsaktiviteter er mere tilbøjelige til at vælge bindende virksomhedsregler pga. deres større retssikkerhed og globale virkning, hvorimod organisationer med et mindre netværk af internationale overførsler kan vælge at bruge kontraktbestemmelser.

Bindende virksomhedsregler og kontraktbestemmelser er de vigtigste beskyttelsesforanstaltninger for internationale overførsler, men det er vigtigt at bemærke, at GDPR også giver mulighed for andre løsninger:

  • En godkendt certificeringsmekanisme, hvor overholdelsen af GDPR påvises gennem certificering, databeskyttelsesmærkninger og –mærker sammen med bindende tilsagn, som kan håndhæves
  • Et godkendt adfærdskodeks, som fastsætter international overførsel af personlige oplysninger, sammen med bindende tilsagn, der kan håndhæve, hvordan adfærdskodekset skal anvendes
  • Ad hoc-kontrakter”, som er godkendt af en kompetent tilsynsmyndighed
  • Undtagelser såsom et udtrykkeligt samtykke, at overførslen sker på grundlag af udførelsen af en kontrakt, eller at behandlingen er nødvendig i forbindelse med et retskrav mv. Undtagelsesbestemmelser bør kun anvendes i begrænset omfang og kun undtagelsesvist. Samtykke er et kompliceret juridisk grundlag (enkeltpersoner kan trække deres samtykke tilbage til enhver tid) og bør ikke bruges i forbindelse med internationale overførsler af oplysninger, der finder sted i stort omfang og/eller på struktureret vis.