Schrems II er en omfattende sag, der blandt andet konkluderede, at den såkaldte "Privacy Shield"-ordning ikke gav den fornødne beskyttelse af persondata, når disse overføres fra EU til USA. Derudover konkluderes det også, at man ved anvendelse af Europa-Kommissionens standardkontraktbestemmelser (Model Clauses) altid skal foretage en vurdering af, om de i praksis sikrer et tilstrækkeligt og effektivt overførselsgrundlag henset til et givent tredjelands lovgivning m.v.
Som opfølgning på Schrems II er der både kommet vejledninger fra det Europæiske Databeskyttelsesråd (EDPB), Datatilsynet og andre nationale tilsynsmyndigheder, hvoraf det nu klart fremgår, at offentlige myndigheder og private organisationer som dataansvarlige skal vurdere de tredjelandsoverførsler, man ønsker at foretage. Her kommer TIA ind i billedet med det formål at sikre, at beskyttelsen af persondata "følger med" over landegrænserne, når persondata overføres ud af EU/EØS.
Hvad er TIA?
TIA står for Transfer Impact Assessment. I praksis er det en vurdering, der skal foretages af parterne til en overførsel af persondata fra et land indenfor EU/EØS til et land udenfor EU/EØS. Parterne kaldes dataimportør og dataeksportør.
En sådan vurdering kan foretages på flere måder, men håndteres bedst og mest struktueret via brugen af spørgeskemaer, som sikrer, at man kommer hele vejen rundt, når man som organisation vurderer, om en given overførsel af persondata kan finde sted. Denne tilgang giver mulighed for at undersøge hver enkelt overførsel af persondata i modsætning til blot at give en generaliseret vurdering af om overførsel af persondata over en bred kam kan finde sted til et givent tredjeland udenfor EU/EØS.
En TIA skal udføres for alle overførsler af persondata til tredjelande udenfor EU/EØS, medmindre det pågældende land er vurderet som et sikkert tredjeland af Europa-Kommissionen (dette er blandt andet tilfældet for UK). Vurderingen skal dokumentere, at beskyttelsesniveauet i det tredjeland, organisationen overfører/ønsker at overføre persondata til, er "essentially equivalent" med det beskyttelsesniveau, der findes i EU.
LÆS OGSÅ: 6 gode grunde til ikke at bruge Excel, når du skal skabe overblik over GDPR
Hvad er LIA?
LIA står for Legitimate Interests Assessment. En LIA udføres for at dokumentere den afvejning, man som organisation er forpligtet til at foretage, når man ønsker at behandle persondata på baggrund af interesseafvejningsreglen.
Udarbejdelsen af en fyldestgørende LIA tager udgangspunkt i, at man som organisation skal kunne dokumentere, at det formål, man ønsker at forfølge, isoleret set udgør en legitim interesse for at foretage den pågældende behandling af persondata.
Dernæst skal det vurderes, om behandlingen er nødvendig for at forfølge det identificere formål (den legitime interesse).
Slutteligt skal behandlingens indvirken på de registreredes, rettigheder og frihedsrettigheder (fx ens kunders interesser eller en borgers interesser og rettigheder) vurderes, ligesom det skal vurderes, om disse overstiger ens (organisationens) interesse i at foretage behandlingen. Dette step udgør den endelige interesseafvejning.
Hvordan kommer jeg videre med mit arbejde med TIA og LIA?
Overførsler af persondata til tredjelande udenfor EU/EØS sker hver eneste dag, ligesom langt de fleste organisationer (med undtagelse af offentlige myndigheder) behandler persondata på baggrund af interesseafvejningsreglen. Arbejdet med at holde styr på ens dokumentation i overensstemmelse med det generelle ansvarlighedsprincip (accountability) kan virke, men der er ingen grund til at gøre det sværere, end det er.
De fleste organisationer har allerede foretaget en stor del af grundarbejdet for at skabe et solidt fundament for fremtidig GDPR-compliance, herunder kortlægning af systemer, leverandører (databehandlere) og behandlingsaktiviteter, hvilket er det arbejde, der skal bygges videre på, når TIA og LIA også skal integreres.
RISMA tilbyder en brugervenlig og gennemtestet løsning til brug for udarbejdelse og dokumentation af din organisations arbejde med TIA og LIA, hvor det juridiske fundament for disse vurderinger er udarbejdet af vores videnspartner Plesner Advokatpartnerselskab, så I er sikre på, at I kommer hele vejen rundt.
