Øyvind Eidissen
Anna Eide
Oskar Engman
Paal-André Storesund
EDPB’s fortolkning: Anvendelsesområde og kapitel V
Det norske Datatilsyns reviderede vejledning om overførsler til tredjelande fastslår, at myndigheden lægger EDPB’s fortolkninger til grund og skærper fokus på dokumentation. For dataansvarlige betyder det, at utilstrækkelige forudgående vurderinger i sig selv kan udgøre et brud på ansvarlighedsprincippet.
Vejledningen indarbejder EDPB’s retningslinjer om samspillet mellem GDPR art. 3 og kapitel V. Kernen er, at internationale overførsler skal vurderes selv når behandlingen foregår i EU, hvis tredjelandsret kan gennemtvinge adgang til personoplysninger.
Databehandler i EU med moderselskab i tredjeland
Hvis en EU-baseret databehandler er datterselskab af et selskab i et tredjeland, er forholdet som udgangspunkt ikke en overførsel. Bliver databehandleren dog pålagt at videregive data til udenlandske myndigheder efter lokal lov, anser EDPB det som en tredjelandsoverførsel.
Sker videregivelsen i strid med databehandleraftalen, kan databehandleren anses som dataansvarlig for denne behandling efter GDPR art. 28, stk. 10, med de ansvarsmæssige følger dette medfører. Myndighederne vil i en tilsynssag lægge vægt på, om DPIA og TIA er gennemført og dokumenteret.
Praktiske konsekvenser: Kontrol, kontrakter og tekniske foranstaltninger
Dataansvarlige bør forudgående klarlægge leverandørers eksponering for fremmede myndigheders adgang og vælge passende garantier og supplerende foranstaltninger. Det gælder særligt ved brug af cloudtjenester, hvor leverandørens adgangsrettigheder skal afdækkes.
En robust proces bør omfatte systematiske TIA’er, ajourførte databehandleraftaler, tekniske barrierer som stærk kryptering med nøglestyring hos den dataansvarlige samt løbende leverandørkontrol. Manglende forudgående vurderinger kan udløse betydelige sanktioner, som set i nyere europæisk praksis.
