Sponseret indhold
Kira Kolby Christensen, advokat og associeret partner i Compliance & Financial Services i SIRIUS advokater.

Skærpet EU-praksis gør det ekstra vigtigt at være omhyggelig med overførsel af persondata til lande uden for EU. Der findes Legal Tech-løsninger, som automatiserer både dokumentation og risikovurderinger.

Schrems II-dommen fra EU-domstolen for knap to år siden gør, at virksomhederne skal være ekstra påpasselige og omhyggelige med at overføre persondata til lande uden for EU. Ved overførsel af data til tredjelande skal virksomheden vurdere og dokumentere beskyttelsesniveauet i det pågældende land.  Det skal som sådan svare til det niveau, vi kender i EU. Vurderingen sker i form af en såkaldt Transfer Impact Assessment (TIA).
Det er bl.a. den hastige udvikling inden for Cloud services, globaliserede datacentre og den internationale arbejdsdeling, der bevirker, at persondata i nogle tilfælde bliver sendt ud af EU’s geografiske område til tredjelande.

Det skal virksomheden vurdere
Det kan være en meget stor udfordring at få udarbejdet en fyldestgørende TIA, da det i princippet kræver ganske indgående og eksakt juridisk viden om både persondatabeskyttelsesbestemmelserne i GDPR og forholdene i det land, hvor data er overført til.

”Den overførende virksomhed skal forholde sig til en lang række spørgsmål: Hvilken type persondata er der tale om? Hvor følsomme er disse persondata? Hvilken teknisk form for overførsel er der tale om? Bliver data blot opbevaret krypteret eller kan modtager også kigge og behandle data?  Hvordan er persondatabeskyttelseslovgivningen i modtagerlandet, og hvordan bliver den håndhævet?” 

 Det er blot nogle af mange spørgsmål, fortæller Kira Kolby Christensen, advokat og associeret partner i Compliance & Financial Services i SIRIUS advokater. Hun rådgiver bl.a. virksomheder om forholdsregler i forbindelse med overførsel af persondata til tredjelande.

Datatilsyn vil spørge til dokumentation og risikovurdering
”Når virksomheden er færdig med at svare på de mange spørgsmål, kommer næste trin i processen. Her skal virksomheden foretage en risikovurdering og redegøre for foranstaltninger for at begrænse risikoen for utilsigtede hændelser i forbindelse med persondata. Det kan f.eks. være brug af kryptering eller andre forholdsregler,” siger Kira Kolby Christensen. 

Hvis Datatilsynet banker på døren, vil der ifølge Kira Kolby Christensen blive spurgt til dokumentation og risikovurdering som noget af det første. Alt i alt er det en meget stor dokumentationsopgave, som i mange tilfælde vil kræve kompetencer og indsigt, som virksomheden af naturlige årsager ikke nødvendigvis selv ligger inde med. Opgaven er ekstra stor, hvis arbejdet skal ske håndholdt – men det er heldigvis heller ikke tilfældet.

”Vi har selv meget stor glæde af LegalTech-løsninger, når vi internt hos os arbejder med bl.a. Transfer Impact Assessments, som vi genererer i softwareløsningen ComplyCloud. Fordelen ved LegalTech er, at du får serveret de relevante spørgsmål i en skabelon, så du ikke glemmer noget. Ofte vil der også være en generel analyse af det pågældende modtagerlands lovgivning, som du kan bruge i din risikovurdering. Analysen bliver desuden opdateret, når modtagerlandet foretager vigtige ændringer i lovgivning eller håndhævelse. Sådanne ændringer skal du som dataansvarlig også være opmærksom på, fordi du om nødvendigt skal revidere din risikovurdering i din dokumentation for Transfer Impact Assessment”, forklarer Kira Kolby Christensen.

Et stigende antal bruger i dag LegalTech-løsninger, der hjælper dem med at overholde de generelle GDPR-bestemmelser. Men LegalTech kan også gøre arbejdet med Transfer Impact Assessments lettere, fordi der i dag eksisterer løsninger, som sætter strøm til hele processen og dermed sparer omkostninger og rent faktisk øger chancen for, at du som virksomhed gør tingene korrekt. Det rådgiver Kira Kolby Christensen og hendes kollegaer også deres kunder om.

”Udviklingen går mod brugen af LegalTech i større omfang. Ved at specialisere os inden for rådgivning om LegalTech sørger vi i SIRIUS advokater derfor for at bringe os i front på compliance-området. Og vores kunder bliver med hjælp fra LegalTech i stand til at løse mange opgaver selv, hvormed vores advokattimer kan fokuseres på det, der er svært”, bemærker Kira Kolby Christensen og slutter: 

”Hvor vi som advokater eksempelvis ville skulle bruge mange timer på at undersøge databeskyttelsesniveauet i et givent land, kan vi i stedet tage udgangspunkt i en allerede udarbejdet analyse i LegalTech og sætte ind, hvor opgaven forudsætter konkrete vurderinger og eventuelt konkrete løsningsforslag i lyset af eksisterende sikkerhedsrisici. Det er en god business case for både os og vores kunder”.

Konsekvenserne af mangelfulde Transfer Impact Assessments
Hvis Datatilsynet ikke er tilfreds med en virksomheds dokumentation og risikovurdering, og i endnu værre fald, hvis den er helt fraværende, kan det ende med kritik, alvorlig kritik, påbud om at ændre en bestemt praksis og i værste fald bødeforlæg. I nogle tilfælde vil Datatilsynet vælge at offentliggøre sine afgørelser, og en negativ af slagsen er i sagens natur ikke godt for en virksomheds omdømme. Hvis virksomheden ikke accepterer et bødeforlæg, er det op til anklagemyndigheden at vurdere, om der skal rejses tiltale, og så kan sagen ultimativt ende i retten.

MEST LÆSTE