De sidste 3 år med GDPR har vist, at persondataforordningen er en dynamisk størrelse, hvor der tilføjes ekstra lag. Der kommer hele tiden ny viden om GDPR i form af flere vejledninger og afgørelser, som gør os klogere. Et godt eksempel er konsekvenserne, som er kommet i kølvandet på Schrems II-sagen.
Denne foranderlige GDPR-verden efterlader mange med spørgsmål. For at give dig lidt hjælp med på vejen, har vi med hjælp fra advokat og director Peter Østerby Mønsted fra Plesner Advokatpartnerselskab samlet 5 ofte stillede spørgsmål og givet svar herpå.
Brug af databehandlere
Q: Skal jeg altid undersøge mine databehandlere, før jeg indgår en aftale med vedkommende, eller kan jeg bare stole på, at alt nok er, som det skal være?
A: Ja, du er nødt til at undersøge dine databehandlere, før du indgår en aftale med dem. Du er som dataansvarlig forpligtet til at sikre, at du kun anvender databehandlere, som kan stille tilstrækkelige garantier for, at de kan og vil gennemføre nødvendige tekniske og organisatoriske foranstaltninger. Dermed sikrer du som dataansvarlig, at den behandling, som databehandleren foretager på dine vegne, opfylder kravene efter GDPR samt sikrer beskyttelse af de registreredes rettigheder.
Afhængigt af den enkelte databehandler og den/de behandling(er) databehandleren skal udføre på dine vegne, kan du skrue op og ned på detaljeringsniveauet for disse undersøgelser. Du skal dog altid sikre overholdelse af de grundlæggende krav, herunder de krav der fx kan læses ud af GDPR, art. 28.
RISMAs GDPR-løsning sikrer, at du kommer hele vejen rundt. Du har mulighed for at foretage en indledende risikoscreening af dine databehandlere. Derefter kan du ved hjælp af de indbyggede spørgeskemaer og juridiske analyseværktøjer afdække og vurdere, om dine databehandlere lever op til de krav, der følger af GDPR.
Q: Hvordan sikrer jeg mig, at min databehandleraftale lever op til alle krav og regler, og at mine databehandlere kan leve op til de forpligtelser, der fremgår af databehandleraftalen?
A: De grundlæggende krav til en databehandleraftale fremgår af GDPR, art. 28. Disse krav er blandt blevet fortolket i vejledninger samt godkendte databehandleraftaler, fx Datatilsynets standard-aftale.
Der stilles ganske store krav til detaljeringsgraden af den instruks, som skal fremgå af databehandleraftalen. Det skal blandt andet beskrives, hvilke behandlingsaktiviteter, der skal foretages, hvor behandling må foretages (herunder fsva. tredjelandsoverførsler), og hvilke sikkerhedsforanstaltninger databehandleren skal implementere.
RISMAs GDPR-løsning giver ved hjælp af de indbyggede spørgeskemaer og juridiske analyseværktøjer mulighed for at afdække og vurdere, om databehandleraftalen lever op til de krav, der følger af GDPR, herunder om databehandleraftalens instruks er tilstrækkeligt detaljeret.
Q: Hvordan fører jeg tilsyn med min databehandlere?
A: Du kan føre tilsyn med dine databehandlere på flere forskellige måder. Det kan være ved skriftlige tilsyn, fysiske tilsyn, fremsendelse og gennemgang af revisionsrapporter m.v.
Helt grundlæggende skal dit tilsyn med dine databehandlere sikre, at databehandleren (fortsat) gennemfører passende tekniske og organisatoriske foranstaltninger på en sådan måde, at den behandling, databehandleren foretager på dine vegne opfylder kravene efter GDPR samt sikrer beskyttelse af de registreredes rettigheder.
Kompleksiteten af den outsourcede behandling afgør, hvor dybdegående dit tilsyn skal være, men formålet med tilsynet vil altid være det samme.
RISMAs GDPR-løsning giver dig mulighed for at foretage et simpelt eller detaljeret skriftligt tilsyn direkte i løsningen. Du kan indhente input direkte fra dine databehandlere. Løsningen giver dig også mulighed for at vurdere, om der evt. er behov for at foretage et fysisk tilsyn eller stille krav om udarbejdelse af revisionsrapport. Du kan også dokumentere de handlingsplaner og tilbagevendende kontroller, du har implementeret for hver enkelt databehandler.
Læs også: 9 krav du bør stille til din leverandør af en GDPR-løsning
Tredjelandsoverførsler
Q: Hvad er en Transfer Impact Assessment (TIA), og hvornår er jeg forpligtet til at udarbejde den?
A: En Transfer Impact Assessment (TIA) dækker på dansk over den vurdering, man som især dataansvarlig er forpligtet til at foretage, når man ønsker at overføre persondata til et land udenfor EU/EØS.
Begrebet udspringer fra EU Domstolens afgørelse i Schrems II-sagen og er blevet præciseret gennem EDPBs anbefalinger om supplerende foranstaltninger ved overførsel af personoplysninger til tredjelande.
En TIA skal foretages for hver enkelt overførsel af persondata til et land udenfor EU/EØS, medmindre der er tale om et land, som EU-Kommissionen har godkendt som et "sikkert tredjeland", eller der er tale om en overførsel på grundlag af de særlige undtagelser, der er oplistet i GDPR, art. 49.
Kravet gælder, uanset om overførslen sker til en dataansvarlig (fx moderselskab i USA) eller til en databehandler (fx databehandler i Indien). TIA'en skal sikre, at dataeksportøren i EU og dataimportøren i tredjelandet giver oplysningerne et beskyttelsesniveau, som i det væsentligste svarer til niveauet i EU.
Q: Hvad skal jeg gøre, hvis min Transfer Impact Assessment (TIA) viser, at overførselsgrundlaget ikke giver et tilstrækkeligt beskyttelsesniveau grundet problematisk lovgivning i det pågældende tredjeland?
A: Hvis dette er tilfældet, skal du vurdere, om denne problematiske lovgivning er uden praktisk betydning for den pågældende overførsel. Der er tale om en snæver sandsynlighedsvurdering. Hvis du ikke kan afvise en sådan praktisk betydning, så skal du vurdere, om det er muligt at implementere effektive supplerende foranstaltninger for at lukke hullerne og dermed alligevel sikre et tilstrækkeligt beskyttelsesniveau.
Hvis det i sidste ende ikke er muligt at sikre et tilstrækkeligt beskyttelsesniveau, må du ikke påbegynde overførslen, ligesom du for igangværende overførsler skal suspendere eller afslutte sådanne overførsler.
RISMAs GDPR-løsning giver dig mulighed for at foretage og dokumentere TIA'er direkte i systemet. Du kan også dokumentere din vurdering af den praktiske betydning af problematisk lovgivning i importlandet, og de supplerende foranstaltninger, som du har valgt at implementere for at sikre et tilstrækkeligt beskyttelsesniveau.
Læs også: Schrems II-sagen: Fokus på opfølgning med databehandlere og opbevaring af data
