Overførsel til tredjelande

Overførsel til tredjelande er, når persondata sendes fra EU/EØS til et land uden for dette område. GDPR kapitel V kræver et gyldigt overførselsgrundlag, der sikrer, at data beskyttes på et niveau, der i det væsentlige svarer til EU's.

Tilbage til ordbog

Hvad er overførsel til tredjelande?

Et tredjeland er ethvert land uden for EU og EØS. Når du sender persondata til et tredjeland, eller giver en leverandør i et tredjeland adgang til data, foretager du en overførsel i GDPR-forstand.

Overførsler sker oftere, end mange organisationer er klar over. Bruger du en amerikansk cloudtjeneste, sender nyhedsbreve via en global platform eller har support i Indien, overfører du sandsynligvis persondata til tredjelande.

GDPR kapitel V (artikel 44-49) regulerer disse overførsler. Formålet er at sikre, at det høje beskyttelsesniveau i EU ikke undergraves ved overførsel til lande med svagere databeskyttelse.

Overførselsgrundlag

Du har flere muligheder for at lovliggøre en overførsel:

Tilstrækkelighedsafgørelse (artikel 45): EU-Kommissionen har vurderet, at modtagerlandet har et tilstrækkeligt beskyttelsesniveau. Overførsel kan ske frit. Eksempler: Japan, Sydkorea, Storbritannien, USA (via EU-US Data Privacy Framework).
Standardkontraktbestemmelser (artikel 46, stk. 2, litra c): Kontraktklausuler vedtaget af EU-Kommissionen. Den mest brugte mekanisme.
Bindende virksomhedsregler (artikel 47): Interne regler for koncerner, godkendt af tilsynsmyndigheder.
Undtagelser (artikel 49): I specifikke situationer, fx udtrykkeligt samtykke eller opfyldelse af kontrakt. Kun til lejlighedsvise overførsler.

Ud over selve overførselsgrundlaget skal du stadig have et gyldigt behandlingsgrundlag i artikel 6. De to krav gælder parallelt.

Standardkontraktbestemmelser

Standardkontraktbestemmelser (SCC) er det mest brugte overførselsgrundlag. EU-Kommissionen vedtog nye SCC i juni 2021, der dækker fire scenarier:

Dataansvarlig til dataansvarlig (C2C)
Dataansvarlig til databehandler (C2P)
Databehandler til databehandler (P2P)
Databehandler til dataansvarlig (P2C)

Når du bruger SCC, skal du foretage en Transfer Impact Assessment (TIA): en vurdering af, om lovgivningen i modtagerlandet i praksis respekterer de garantier, SCC giver. Viser TIA\’en, at modtagerlandets lovgivning undergraver beskyttelsen, skal du implementere supplerende foranstaltninger (fx kryptering) eller ophøre med overførslen.

Overførsler i praksis

For de fleste danske organisationer handler tredjelandsoverførsler primært om amerikanske cloudtjenester og SaaS-løsninger. Sådan håndterer du det:

Kortlæg alle leverandører og underdatabehandlere, der har adgang til data fra tredjelande
Identificér overførselsgrundlaget for hver leverandør
Foretag en TIA for overførsler baseret på SCC
Sørg for, at overførsler fremgår af din fortegnelse
Informér de registrerede via din privatlivspolitik (oplysningspligt)
Sørg for, at dine databehandleraftaler adresserer overførsler

Manglende gyldigt overførselsgrundlag kan medføre påbud om at stoppe overførslen og betydelige bøder.

Ofte stillede spørgsmål om overførsel til tredjelande

Hvad er overførsel til tredjelande?

Overførsel til tredjelande er, når persondata sendes fra EU/EØS til et land uden for dette område. GDPR kapitel V kræver, at overførslen har et gyldigt grundlag, fx en tilstrækkelighedsafgørelse, standardkontraktbestemmelser eller bindende virksomhedsregler.

Hvad er en tilstrækkelighedsafgørelse?

En tilstrækkelighedsafgørelse er EU-Kommissionens vurdering af, at et tredjeland har et beskyttelsesniveau, der i det væsentlige svarer til EU's. Data kan overføres til disse lande uden yderligere garantier. Eksempler er Japan, Sydkorea, Storbritannien og USA (via EU-US Data Privacy Framework).

Hvornår skal man bruge standardkontraktbestemmelser?

Standardkontraktbestemmelser (SCC) bruges, når du overfører data til et tredjeland, der ikke har en tilstrækkelighedsafgørelse. De er kontraktklausuler vedtaget af EU-Kommissionen, der sikrer passende garantier for beskyttelse af persondata.

Hvad er en Transfer Impact Assessment?

En Transfer Impact Assessment (TIA) er en vurdering af, om lovgivningen i modtagerlandet i praksis respekterer de garantier, der er givet i overførselsgrundlaget. Du skal foretage en TIA, inden du overfører data baseret på standardkontraktbestemmelser eller andre garantier.