Rådet for Digital Sikkerheds Henning Mortensen kalder det dokumentet "vi alle har ventet på".
Det Europæiske Databeskyttelsesråd har netop vedtaget og offentliggjort anbefalinger om tredjelandsoverførsler.
Det har skabt meget kaos og hovedpine blandt dataansvarlige over hele Europa, hvordan man i fremtiden skal bære sig ad, med at overføre data til tredjelande gennem en leverandør og stadig garantere, at landets regering ikke kan kigge med i datastrømmen.
Det er en såkaldte Schrems II-afgørelse fra EU-domstolen, der er årsagen til problemerne. Her stod det klart at Privacy Shield som overførselsgrundlag ikke længere var gældende.
Siden har virksomheder, der bruger amerikanske cloud-leverandører været i vildrede, men nu ser der ud til at tegne sig en løsning.
Tidligere på måneden kom EU-Kommissionen med sine anbefalinger til, hvordan man løser problemerne, nu er Det Europæiske Databeskyttelsesråd (EDPB) også klar med sine anbefalinger.
Anbefalingerne fra EDBP, som består af alle EU's datatilsyn, er en række trin som virksomheder, der overfører data til tredjelande bør følge.
Databeskyttelsesrådets seks-trins anbefaling lyder således:
Første trin: Eksportører sørger for kortlægning af overførsler af personoplysninger til tredjelande. Desuden bør det kontrolleres, at de data der overføres også er relevante og nødvendige at overføre i forhold til det formål de behandles med.
Andet trin: Eksportøren bør kontrollere det værkstøj, som vedkommende anvender til overførslen. Godkendte værktøjer er anført under artikel 46 i GDPR-forordningen. Kun i særlige tilfælde kan undtagelser retfærddgøres - se artikel 49.
Tredje trin: Eksportøren af data bør undersøge på forhånd, om lovgivning eller almindelige praksis i tredjelandet kan påvirke effekten af de beskyttelsesforanstaltninger, der er i overførselsværktøjet du anvender.
Særligt relevant for vurderingen af lovgivning eller retspraksis vil være:
- Om lovgivning i tredjeland, der formelt opfylder EU-standarder, er anvendt og/eller overholdt i praksis.
- Om der er praksis, der er uforenelig med forpligtelserne fra overførselsværktøjet, når relevant lovgivning i tredjelandet mangler.
- Om de overførte data kan falde inden for anvendelsesområdet for problematisk lovgivning, der kan påvirke overførselsværktøjets garantier.
Fjerde trin: Identificer og vedtag supplerende foranstaltninger, der er nødvendige for at bringe beskyttelsesniveauet af data op på EU-standardniveau. Dette er naturligvis kun nødvendigt at supplere op med, hvis overførslen konstateres at være udfordret af artikel 46 i GDPR.
Femte trin: Her bør eksportøren implementere de supplerende beskyttelsestiltag, som måtte være nødvendige, for at bringe overførslen op på et EU-stand-niveau.
Sjette trin: Det sidste trin handler om at jævntligt at revurdere om de ekstra foranstaltninger stadig er nok bekyttende for, at overførslen lever op til artikel 46 i GDPR.
Desuden skriver Databeskyttelsesrådet, at "Tilsynsmyndighederne vil fortsat udøve deres mandat til at overvåge anvendelsen af GDPR og håndhæve det."
Datatilsynet har desuden udgivet sin egen forklaringen af anbefalingerne fra EDPB. De er udgivet op dansk og dem finder du på Datatilsynets hjemmeside.
