Håndtering af transfer impact assessments i praksis

Håndtering af transfer impact assessments i praksis

Compliance EU-ret Persondata og cybersikkerhed
GDPR kræver en konkret TIA før overførsel af personoplysninger til tredjelande. Standardkontraktbestemmelser er ikke nok; beskyttelsen skal være i det væsentlige tilsvarende. Virksomheder bør involvere dataimportøren og kombinere tekniske, kontraktuelle og organisatoriske tiltag – ellers må overførslen standses.
AR
Anders Etgen Reitz
KA
Kirsten Astrup

TIA ved tredjelandsoverførsler

Efter EU-Domstolens Schrems II skal GDPR’s beskyttelse følge personoplysninger ved overførsel til tredjelande. Standardkontraktbestemmelser kan ikke stå alene; den dataansvarlige skal dokumentere, at beskyttelsesniveauet i det væsentlige er tilsvarende. Det kræver en transfer impact assessment, der vurderer modtagerlandets lovgivning, praksis og effekten på garantierne.

Viser vurderingen, at garantierne ikke kan opretholdes, må overførslen ikke ske, før supplerende tekniske, kontraktuelle og organisatoriske foranstaltninger er implementeret. Hvis disse ikke reducerer risikoen til et acceptabelt niveau, skal overførslen undgås, suspenderes eller ophøre.

Praktisk tilgang og foranstaltninger

Involver dataimportøren aktivt i analysen. Importøren kan bidrage med retskilder, praksis og erfaring, som kvalificerer vurderingen af lokale myndighedsadgange og håndhævelse. Dokumentér metode og beslutninger, og genbesøg TIA’en løbende.

Kombinér foranstaltninger: Kryptering med nøglekontrol hos eksportøren, effektiv pseudonymisering eller delt behandling kan styrke beskyttelsen; supplér med klare kontraktvilkår og interne processer om gennemsigtighed og håndtering af myndighedsanmodninger.

En systematisk TIA kan struktureres i følgende trin:

  1. Kortlæg overførslen.
  2. Fastlæg overførselsmekanismen.
  3. Vurder modtagerlandets love og praksis.
  4. Identificér og implementér supplerende foranstaltninger.
Læs hele artiklen hos IUNO →
Søgeord
GDPR, Databehandleraftale, Gennemsigtighed, Risikovurdering, Tekniske foranstaltninger, Informationssikkerhed, Datatilsynet, Databeskyttelsesforordningen, Standardkontraktbestemmelser, Pseudonymisering, EU-Domstolen, Kryptering, EDPB, Proportionalitet, Behandlingssikkerhed, Tredjelandsoverførsel, Schrems II, Dokumentationspligt, Organisatoriske foranstaltninger, Ansvarlighedsprincippet, Bindende virksomhedsregler, GDPR art. 46, GDPR art. 49, SCC, BCR, Transfer impact assessment, Myndighedsadgang, GDPR art. 44, Tia, Dataeksportør, Dataimportør, Supplerende foranstaltninger, Overførselsmekanismer, C-311/18, Kontraktuelle foranstaltninger, Delt behandling, I det væsentlige tilsvarende, Nationale sikkerhedslove, EDPB anbefalinger om TIA, Suspendering af overførsel

Relaterede artikler

Atomkraft i Danmark: Ny rapport fra Energistyrelsen
Kromann Reumert

Atomkraft i Danmark: Ny rapport fra Energistyrelsen

Energistyrelsens SMR-analyse peger på, at atomkraft i Danmark kræver et nyt lovgrundlag, stærkt tilsyn og tydelige affaldsløsninger. Økonomien er presset af lave elpriser, så kraftvarme eller statslig støtte kan blive nødvendig, hvis idriftsættelse skal være realistisk efter 2040.
Manglende medvirken til tilsyn kan føre til frakendelse
Advokatsamfundet

Manglende medvirken til tilsyn kan føre til frakendelse

Advokatrådet skærper disciplinlinjen: Manglende medvirken til tilsyn udløser indbringelse for Advokatnævnet og kan i kombination med klientkontofejl føre til midlertidig eller endelig frakendelse. Fokus er rettidig dokumentation og forsvarlig håndtering af klientmidler.
EDPB iværksætter koordineret indsats om oplysningspligten
Datatilsynet

EDPB iværksætter koordineret indsats om oplysningspligten

EDPB samler 25 tilsyn om en koordineret kontrol af oplysningspligten efter GDPR art. 12–14. Datatilsynet melder snart dansk tilgang. Virksomheder bør sikre klare, lagdelte og rettidige privatlivsmeddelelser med dokumentation for efterlevelse før den fælles EU-opfølgning.
Advokatrådet ændrer proces for udstedelse af hvidvaskpåbud
Advokatsamfundet

Advokatrådet ændrer proces for udstedelse af hvidvaskpåbud

Fra 1. april 2026 udsteder Advokatrådet påbud ved alvorlige, gentagne eller systematiske brud på hvidvaskloven – også ved første tilsyn. Påbud offentliggøres i fem år efter partshøring. Ændringen skal styrke præventiv effekt og lægge sig på linje med andre tilsyn.

Relaterede kurser

Årlig ansættelsesretlig opdatering
7
JUC
Årlig ansættelsesretlig opdatering
Risikovurderinger og GDPR
4
JUC
Risikovurderinger og GDPR
AI og jura - Forstå hvad AI kan, og hvad du må
Dansk Industri
AI og jura - Forstå hvad AI kan, og hvad du må

Relaterede jobs

Finanstilsynet
Erfaren jurist til Finanstilsynets tilsyn med betalingstjenester
Finanstilsynet
Styrelsen for Patientklager
Vi søger studentermedhjælper til Styrelsen for Patientklager
Styrelsen for Patientklager
Klima-, Energi- og Forsyningsministeriet
Talentfulde jurister til Koncernjura
Klima-, Energi- og Forsyningsministeriet
Statens Serum Institut
Erfarne jurister/erhvervsjurister til databeskyttelse og compliance
Statens Serum Institut
Politiets Efterretningstjeneste
Kollega til operative og databeskyttelsesretlige revisioner i PET
Politiets Efterretningstjeneste
Erhvervsministeriet
Økonom til markedsrisikoområdet
Erhvervsministeriet
Gratis adgang til alle juridiske nyheder, artikler og opdateringer.
Opret dig gratis i dag, vælg dine fagområder, og få adgang til et skræddersyet nyhedsoverblik, der gør dig klogere - og holder dig foran.
Opret gratis profil →