Persondata i HR - nyhedsbreve

Ekstraordinært nyhedsbrev :: Juli 2020

27.07.2020

Kære abonnent

Hermed følger et ekstraordinært nyhedsbrev til Persondata i HR om den vigtige afgørelse om overførsel af personoplysninger ud af EU/EØS.

Det er som om, at vigtige tidspunkter inden for databeskyttelsesretten, skal ske i forbindelse med ferier. Sommeren 2020 blev ingen undtagelse; vi skal tilbage til arbejdsbordet og se på overførsler til lande uden for EU. 

Databeskyttelsesforordningen fastsætter særlige regler for lovlig overførsel af persondata ud af EU/EØS. Reglerne er nærmere beskrevet i kapitel 8.3 i håndbogen

Formålet er at sikre den samme beskyttelse af personoplysninger, som gælder i EU, uanset hvor personoplysningerne behandles. Med andre ord; selvom personoplysningerne behandles i eksempelvis USA eller Indien, så skal der sikres den samme grundlæggende beskyttelse, som baserer sig på EU's fundamentale rettigheder. 

EU-domstolen har i en afgørelse den 16. juli 2020 vurderet beskyttelsen i forbindelse med overførsel af personoplysninger til lande uden for EU/EØS, som baserer sig enten på den såkaldte Privacy Shield-aftale eller på de standard overførselsaftaler, som EU-kommissionen har udarbejdet (Standard Contractual Clauses/SCC). 

Hvad handler sagen om
Max Schrems er en østrigsk advokat, som i 2013 stillede spørgsmålstegn ved lovligheden ved Facebooks overførsel af personoplysninger til US. Sagen førte til, at EU-domstolen i 2015 vurderede, at den såkaldte Safe Harbor-aftale ikke gav den tilstrækkelige beskyttelse. Safe Harbor blev efterfølgende erstattet af Privacy Shield. 

Denne nye sag er også anlagt af Max Schrems (hvorfor den kaldes Schrems 2.0) og denne gang skulle EU-domstolen dels vurdere Privacy Shield, men også om overførsel på grundlag af en SCC var lovlig. 

Hvad kom EU-domstolen frem til
EU-domstolen vurderede først, at Privacy Shield aftalen ikke gav den beskyttelse, som Databeskyttelsesforordningen stiller krav om, og at aftalen derfor var ugyldig.

EU-domstolen lagde særlig vægt på, at amerikanske myndigheder har vidtgående overvågningsbeføjelser, og at disse vil kunne tilsidesætte beskyttelsen i Privacy Shield, og dermed få adgang til europæiske personoplysninger. Herudover gav Privacy Shield ikke tilstrækkelig adgang for europæiske borgere kan håndhæve de rettigheder, som Databeskyttelsesforordningen giver, eksempelvis retten til indsigt.  

For så vidt angår SCC’erne, så fastslog EU-domstolen, at aftalerne giver tilstrækkelig beskyttelse og sikkerhed. Men fordi aftalerne ikke kan forpligte myndighederne i det land, om der sker overførsel til, så er det afgørende for aftalernes gyldighed, at myndighederne i det konkrete land ikke kan få adgang til personoplysningerne.

Hvad betyder afgørelsen
Afgørelsen betyder dels, at hvis man som virksomhed/organisation/myndighed har overført personoplysninger til virksomheder/organisationer, som er Privacy Shield-godkendte, så skal denne overførsel ophøre straks, og man skal enten finde en anden løsning inden for EU/EØS eller man skal anvende SCC’erne. 

Anvendes SCC’erne, så skal man dog sikre sig, at der ikke findes lovgivning i det land, som der overføres personoplysninger til, som kan gå bagom aftalerne, og skabe adgang til personoplysningerne. 

Hvorfor er sagen vigtig
I vores globale digitale verden, anerkendes det, at udveksling af digitale oplysninger er vigtig for udvikling af den globale økonomi. Det er derfor grundlæggende vigtigt, at vi kan dele personoplysninger med leverandører og samarbejdspartnere uden for EU/EØS. 

Omvendt er beskyttelsen af vores personoplysninger så fundamental, at den skal sikres også i den globale digitale verdensorden. 

EU-domstolens afgørelse strammer den vurdering og stiller ekstra krav, og med ét er udveksling af personoplysninger med de mere end 5.000 Privacy Shield-godkendte virksomheder, ulovlig. 

Hvad skal man gøre
I forbindelse med afdækningen af datastrømme/dataflows, har man identificeret en række leverandører/samarbejdsparter, som modtager personoplysninger. 

Datastrømsanalysen har dermed identificeret, om personoplysninger overføres til en modtager inden for EU/EØS eller uden for EU. 

Dette skal afdækkes dels for at sikre at man har det lovlige overførsels-grundlag som beskrevet i Databeskyttelsesforordningen kapitel 5, og dels for at sikre, at man får informeret datasubjektet om, at vedkommendes personoplysninger behandles uden for EU. Det skal man nemlig oplyse om. 

Overførslen sker enten i form af i) overførsel til en anden dataansvarlig uden for EU/EØS, eksempelvis overførsel af kundeoplysninger/medarbejderoplysninger til en samarbejdspartner, eller ii) overførsel til en databehandler uden for EU/EØS, eksempelvis overførsel af kundeoplysninger til brug for behandling på vegne af den dataansvarlige virksomhed.

Et eksempel på overførsel af oplysninger efter i) kan være overførsel af medarbejderoplysninger til et moderselskab beliggende i Kina eller USA, hvor moderselskabet behandler medarbejderoplysningerne til eget formål. Det kan også være overførsel af kundeoplysninger til en leverandør, som bruger kundeoplysningerne til egne formål, eksempelvis til brug for analyse og statistik, eller til brug for salg af egne produkter. 

Behandler leverandøren ikke personoplysningerne til egne formål, men til brug for en service til den overførende virksomhed/organisation/myndighed, så vil leverandøren normalt anses som databehandler, dvs. der er tale om situation ii). 

Det kan eksempelvis være udsendelsen af nyhedsbreve via MailChimp, som modtager email-adresser og sørger for udsendelsen. Det kan også være at man anvender SurveyMonkey i forbindelse med kundeundersøgelser, hvor SurveyMonkey behandler personoplysningerne i undersøgelserne til den dataansvarliges formål.

Det kan også være, at man anvender Salesforce som CRM-system, og der i den forbindelse lagres, tilgås eller på anden måde behandles personoplysninger uden for EU/EØS. Det kan også være brug af en cloud-service leverandør, hvor personoplysninger kan opbevares mange steder. 

Både MailChimp og SurveyMonkey er Privacy Shield-godkendte virksomheder. Efter 16. juli 2020 må man imidlertid ikke anvende disse leverandører, medmindre man straks indgår en SCC-aftale med dem. Det samme gælder Salesforce, medmindre der ikke behandles personoplysninger uden for EU/EØS ved brug af systemet. 

Er der tale om en cloud-leverandør, så skal man genbesøge aftalen med leverandøren, og sikre, at personoplysninger ikke behandles eller kan tilgås fra lande uden fra EU. Det kan eksempelvis være Google, som i princippet kan opbevare personoplysningerne i hele verden.

Tjekliste

  1. Behandles, herunder overføres, personoplysninger uden for EU/EØS? (Husk at behandling er et bredt begreb, se kapitel herom).

  2. Hvis ja, hvilket overførselsmekanisme er anvendt:

    a) Privacy Shield; overførslen skal ophøre straks, og man skal enten finde en ny leverandør/samarbejdspart inden for EU/EØS, eller man skal indgå en SCC og sikre forpligtelserne i SCC’en.

    b) SCC; overførslen kan fortsætte, men man skal sikre sig, at forpligtelserne i aftalen efterleves. Det bør ske ved at tage kontakt til aftaleparten i SCC’en og få sikkerhed for, at de lever op til deres forpligtelser i aftalen, herunder eksempelvis sikre, at der ikke er særlige nationale forpligtelser til at udlevere personoplysninger til myndighederne.

Den nye afgørelse vil blive indarbejdet i den kommende opdatering.

Årets kursus
Husk tilmelding til årets kursus i Persondata i HR; kurserne er jævnfør myndighedernes retningslinjer blevet flyttet til november måned.

På kurserne vil du bl.a. få en ajourføring af status på vejledninger fra EDPB og Datatilsynet, afgørelser og andet nyt.

Agenda
• Nyt om nyt
• Hovedemne: Rekruttering og persondata
• Risikovurdering i praksis
• Slettepolitikker i praksis

Dato og tidspunkt
 • Aarhus: 2. november 2020
 • København: 9. og 12. november 2020

Alle ovenstående kurser er fra kl. 9.00 til 13.00. Der er indskrivning samt servering af kaffe/te/vand fra kl. 8.30 - 9.00. Til frokost byder vi på sandwich og vand.

Sted:

 • Aarhus: Hotel Aarslev Kro, Silkeborgvej 900, 8220 Brabrand
 
• København: Labora Legal, Indiavej 1, 1. sal, 2100 København Ø

Vi forbeholder os ret til ændringer og eventuel flytning af deltagere til en anden kursusdag ved f.eks. overbooking, ændringer i myndighedernes retningslinjer mv.

Der kan efter aftale med Forlaget Andersen udleveres kursusbevis blandt andet til brug for obligatorisk efteruddannelse.

Tilmelding:
Arrangementet er gratis for abonnenter på Persondata i HR, og tilmelding skal ske senest den 26. oktober 2020 via kursusoversigten under 'Mit abonnement' ved log-in.

Alternativt kan tilmelding ske via e-mail til abonnementschef Anja Nørgaard Mortensen på 'anmo@forlagetandersen.dk'.

Angiv venligst titlen "kursus i Persondata i HR", navn på deltager, dato og by for kurset, samt om I ønsker at tilmelde flere fra virksomheden i henhold til nedenstående tilbud.

Vil I flere af sted fra samme virksomhed?
Der er i år mulighed for, at du kan tage en kollega med på kurset for kr. 3.980,- ekskl. moms, hvormed I sparer kr. 500,- ekskl. moms.

For denne pris får din kollega ikke alene adgang til kurset i år, men også et fortløbende basisabonnement på Persondata i HR inklusive opdateringer og nyhedsbreve samt den gratis spørgsmål/svar-mulighed til hovedredaktør Catrine Søndergaard Byrne.

Du finder vilkår for det i tilbuddet inkluderede, fortløbende basisabonnement på Persondata i HR her.

Tilmeld din kollega via kursusoversigten under 'Mit abonnement' ved log-in eller via e-mail til anmo@forlagetandersen.dk.

De bedste hilsner

Redaktionen
v/ Catrine Søndergaard Byrne, 
Partner, advokat, CIPP/E
Labora Legal

Tilbuddet om ekstratilmelding til reduceret pris gælder til og med den 26. oktober 2020 på alle nybestillinger af basispakken på Persondata i HR via vor hjemmeside eller via e-mail og uden forudgående gennemsynsperiode. Ligeledes kan tilbuddet ikke kombineres med andre rabatter og/eller tilbud og ej heller benyttes med tilbagevirkende kraft. Vilkår for det i tilbuddet inkluderede, fortløbende abonnement kan ses her.

Bestil Persondata i HR

BASIS
PREMIUM
Trykt håndbog
 
 
Online håndbog
 
 
Årligt kursus
 
 
Opdateringer
 
 
Q&A
 
 
Pris 4480,- 4980,-
  Bestil Bestil

Alle priser er ekskl. moms

Referencer

Vi er stolte af vores kundeliste, der dækker en bred vifte af private, små og store virksomheder samt offentlige institutioner. Er du endnu ikke kunde, kan du læse mere om, hvordan vi kan hjælpe dig

  • Novo Nordisk
  • Genmab
  • Maersk Broker
  • Nordea
  • Pandora
  • Grundfos
  • Arla Foods
  • Den Kongelige Civilliste
  • Region Hovedstaden
  • Aarhus Kommune
  • Sygeforsikringen Danmark
  • Det Kongelige Teater
  • CBS
  • 3F
  • Bogholderi Hjørnet
  • Strates Maskinfabrik
  • Legro Gartneri
  • Fleggaard
  • 3x53 Transport
  • Tivoli
  • ...med flere