11. september 2023
Når en virksomhed overfører personoplysninger til lande uden for EU og EØS – såkaldte tredjelande – så skal virksomheden sikre sig, at den kan foretage en sådan overførsel lovligt. Dette kan sikres ved, at tredjelandet er kategoriseret som et sikkert tredjeland, som er tilfældet med Storbritannien. Hvis man har at gøre med overførsler til USA, så kræver det noget helt andet for at sikre, at denne overførsel er lovlig.
Ny aftale mellem EU og USA vedrørende lovlige overførsler
EU har vedtaget en ny aftale, som gør, at det igen er lovligt at overføre personoplysninger til bestemte organisationer i USA. Det kræver, at organisationerne bliver certificeret.
Konkret betyder det, at den certificerede organisation skal overholde en række forpligtelser vedrørende GDPR. Man kan finde en liste over de certificerede organisationer, f.eks. Microsoft, her: Digital Privacy Framework (dataprivacyframework.gov)
Hvad betyder det for din virksomhed?
Hvis du bruger databehandlere (eller deres underdatabehandlere) i USA, så skal du ikke længere bekymre dig om at udarbejde en TIA (Transfer Impact Assessment).
Du skal til gengæld være opmærksom på, om de er en certificeret organisation og fremgår af listen ovenfor. Du skal også sikre dig, at organisationen overholder de andre regler i GDPR, og at de lever op til databehandleraftalen mellem jer. Dette sikres blandt andet ved, at du fører kontrol med databehandleren.
Er du i tvivl om, hvad det betyder for din virksomhed, så tag fat i os for en drøftelse heraf.
Skrevet af:
