Datatilsynet har opdateret sin vejledning om overførsel af personoplysninger til tredjelande - altså lande udenfor EU.
Det sker i forbindelse med den seneste udvikling på området siden den sidste opdatering.
Den opdaterede vejledning henvender sig til dataansvarlige og databehandlere i virksomheder og myndigheder.
Disse får en kort introduktion til reglerne i databeskyttelsesforordningens kapitel fem, der handler om overførsel af personoplysninger til tredjelande og internationale organisationer.
Den nye vejledning omfatter blandt andet en række nye vejledninger fra det Europæiske Databeskyttelsesråd (EDPB).
Den væsentligste del af den nye vejledning er, at der nu tages højde for EU-Kommissionens vedtagelse af en ny tilstrækkelighedsafgørelse vedrørende USA.
Eksempler på eksempler
Vejledningen består af en gennemgang af en lang række forskellige eksempler på situationer, hvor der er tale om en overførsel til et tredjeland.
Nedenfor er tre af disse eksempler.
Brug af cloud-løsning
I det første eksempel, er der tale om et forsikringsselskab i Danmark, der behandler oplysninger om sine kunder i et sagsbehandlingssystem, der er baseret på en cloud-løsning.
Cloud-leverandør til denne løsning befinder sig i Tyrkiet.
Sagsbehandlingssystemet og de personoplysninger, som behandles i systemet, bliver derfor lagret i et datacenter i Tyrkiet.
Når personoplysningerne lagres på en server hos cloud-leverandøren i Tyrkiet, sker
der en overførsel, fordi personoplysningerne, som behandles af det danske forsikringsselskab, der anses som dataeksportør, forlader EU/EØS og stilles til rådighed for cloudleverandøren i Tyrkiet, der anses som dataimportør.
Outsourcing af it-support
I det andet eksempel, handler det om et dansk teleselskab, der ønsker at benytte en virksomhed i Indien til it-support, hvilket vil indebære behandling af personoplysninger.
De indiske medarbejdere har ikke teknisk adgang til at lagre eller printe personoplysningerne hos den danske virksomhed, men har alene via en fjernadgang mulighed for at se oplysningerne, når de yder it-support. Oplysningerne forlader således ikke EU/EØS.
Alligevel er der dog tale om en overførsel til et tredjeland, da oplysningerne, som behandles af det danske teleselskab, der også kaldes for 'dataeksportøren', gøres tilgængelige for supportmedarbejderne i den indiske virksomhed, der også kaldes for 'dataimportøren'.
Det er irrelevant, at de indiske medarbejdere hverken taler eller forstår dansk, eller at de instrueres i ikke at søge i personoplysningerne.
Brug af konsulentservice
Det tredje eksempel handler om en dansk konsulentvirksomhed, der tilbyder en service, som går ud på at udarbejde statistik på baggrund af forbrugsvaner.
En e-handelsplatform i Kina ønsker at gøre brug af denne service og sender til i den forbindelse oplysninger om sine kinesiske kunder til konsulentvirksomheden i Danmark.
Når virksomheden i Kina sender personoplysninger til virksomheden i Danmark, er
der ikke tale om en overførsel til et tredjeland, da oplysningerne overføres fra Kina til
Danmark.
Hvis personoplysningerne efter endt behandling hos den danske virksomhed returneres til virksomheden i Kina, vil dette imidlertid være en overførsel, fordi personoplysningerne forlader EU/EØS og stilles til rådighed for en virksomhed i et tredjeland.
Det har i den forbindelse ingen betydning, at der er tale om oplysninger om kinesiske personer, som fysisk befinder sig uden for EU/EØS.
Der er i alt 18 forskellige eksempler i Datatilsynets opdaterede vejledning.
Se hele vejledningen her.