GDPR og Privacy Overblik over dine tredjelandsoverførsler

For at overføre personoplysninger til tredjelande, skal landet sikre et tilstrækkeligt databeskyttelsesniveau. Dette betyder, at landet skal have lovgivning eller andre bestemmelser, der sikrer et beskyttelsesniveau svarende til det, der findes inden for EU.

Europakommissionen kan afgøre, om et tredjeland opfylder dette krav, og dermed skabe retssikkerhed for virksomheder og organisationer, der ønsker at overføre personoplysninger.

Hvis et tredjeland ikke er vurderet til at have et tilstrækkeligt beskyttelsesniveau, kan overførsel af personoplysninger stadig finde sted ved hjælp af særlige værktøjer. Disse inkluderer bindende virksomhedsregler (BCR) og standardkontraktbestemmelser (SCC).

BCR er interne regler, som en multinational virksomhed eller koncern udarbejder for at sikre, at personoplysninger behandles i overensstemmelse med GDPR, mens de overføres mellem forskellige enheder inden for virksomheden.

SCC er kontraktlige bestemmelser, som er godkendt af Europakommissionen, og som kan indgås mellem den dataansvarlige og databehandleren for at sikre, at personoplysninger beskyttes under overførslen.

Som virksomhed er det vigtigt, at du dokumenterer alle dine tredjelandsoverførsler af personoplysninger, og at du løbende vurderer risiciene forbundet med disse overførsler. Dette kan indebære at identificere de relevante databehandlere, opdatere dine databehandleraftaler og informere de registrerede om eventuelle overførsler til tredjelande.

Derudover skal du føre et løbende tilsyn med dine databehandlere, for at sikre at de fortsat lever op til det beskyttelsesniveau, I har aftalt i jeres databehandleraftale.