Trin 1: Kend din overførsel

Det første trin indebærer, at du som dataeksportør (altså den, der overfører personoplysninger til et usikkert tredjeland) skal ”kende jeres overførsler”. Det vil sige, at du som det første skal foretage en kortlægning af alle de overførsler, der finder sted i jeres organisation samt indsamle alle oplysninger om overførslens omfang. Det er f.eks. oplysninger om, hvilken form for behandlingsaktivitet overførslen udgør, formålet med overførslen, hvilke(t) tredjelande der overføres til, hvem der er datamodtagere mv.

Trin 2: Overførselsgrundlag

Det andet trin indebærer, at du skal verificere og identificere, hvilket overførselsgrundlag din organisations overførsel afhænger af. Er du i tvivl om, hvilke typer overførselsgrundlag der findes, så kan du læse mere om overførselsgrundlag her.

Trin 3: Analyse af tredjelandets lovgivning og/eller gældende praksis

Under det tredje trin skal du analysere tredjelandets lovgivning og/eller praksis, og om dette kolliderer med effekten af det valgte overførselsgrundlag, herunder om lovgivning og/eller praksis i tredjelandet er i overensstemmelse med rettighederne i GDPR. Det er ofte ikke lige til at vurdere et tredjelands lovgivning og praksis. For det første er det ikke sikkert, at der er tilgængeligt materiale, som kan give viden om landets love og praksis. Og hvis der er, er det ikke sikkert, at det findes på engelsk. Derfor kan du i stedet vælge at bruge ”worst-case-metoden”, som Datatilsynet har beskrevet, hvor du på forhånd går ud fra, at lovgivning og praksis ikke er i overensstemmelse med GDPR.

Trin 4: Supplerende foranstaltninger

Hvis man under trin 3 er kommet frem til, at lovgivning og praksis i tredjelandet hindrer effektiviteten af det valgte overførselsgrundlag, skal din organisation implementere supplerende foranstaltninger. Supplerende foranstaltninger kan f.eks. være kryptering, pseudonymisering, adgangsbegrænsning, kontraktuelle bestemmelser mv. Vær opmærksom på, at organisatoriske foranstaltninger sjældent kan stå alene Og det vil oftest være et krav, at der indføres supplerende tekniske sikkerhedsforanstaltninger. Når din organisation har implementeret de supplerende foranstaltninger, skal I vurdere effektiviteten af dem. I sidste ende kan jeres konklusion derfor blive, at der ikke er nogen supplerende foranstaltninger, der er effektive, hvorfor overførslen måske alligevel ikke kan finde sted.

Trin 5: Indførelse af formelle indtag

På det femte trin indfører I eventuelle formelle tiltag, som er nødvendige som følge af vedtagelsen af de supplerende foranstaltninger og afhængigt af hvilket overførselsgrundlag, din organisation har valgt. Er overførselsgrundlaget eksempelvis ad hoc-kontrakter, skal nye bestemmelser godkendes af Datatilsynet og EPDB. Det er ikke altid nødvendigt at indføre formelle tiltag. Eksempelvis behøver I ikke anmode om tilladelse ved indførelse af tillæg til standardbestemmelser (SCC).

Trin 6: Vurderingen gentages

Verdenssituationen kan ændre sig og ny lovgivning eller praksis kan komme til. Din organisation skal derfor med passende intervaller gentage vurderingen af beskyttelsesniveauet for de personoplysninger, der overføres til usikre tredjelande.

Sådan udarbejder du en Transfer Impact Assessment (TIA)

Indsigt

31.01.2025

Eller med andre ord: Hvordan håndterer du en tredjelandsoverførsel?

Som virksomhed eller myndighed kan I have behov for at overføre personoplysninger til et land uden for EU/EØS – et såkaldt tredjeland. Når din organisation overfører personoplysninger, er der en række regler, du skal være opmærksom på.

I mange tilfælde vil det også være et krav, at du udarbejder en såkaldt Transfer Impact Assessment (TIA). Læs med her og bliv klogere på, hvordan du udarbejder en TIA.

Hvad er en Transfer Impact Assessment?

En Transfer Impact Assessment – måske du har hørt den omtalt som en TIA – er en risiko- og konsekvensvurdering, som i nogle tilfælde skal foretages i forbindelse med en overførsel af personoplysninger til et tredjeland.

Hvornår skal du udarbejde en TIA?

Kravet om udarbejdelse af en TIA gælder dog kun de tredjelandsoverførsler, hvor modtageren af personoplysningerne er i et land uden for EU eller EØS, og hvor EU-Kommissionen ikke har truffet en såkaldt ”tilstrækkelighedsvurdering”.

Har et tredjeland modtaget en tilstrækkelighedsvurdering fra EU-Kommissionen, kan der frit overføres personoplysninger til organisationer eller virksomheder i det pågældende land, og der stilles ikke krav om udarbejdelse af en TIA. Alle andre lande uden for EU/EØS betragtes i databeskyttelsesmæssig forstand som ”usikre tredjelande”.

Er der tale om overførsel af personoplysninger til et usikkert tredjeland, skal du dels sikre dig et overførselsgrundlag i medfør af artikel 46 i databeskyttelsesforordningen og – forud for overførslen – udføre denne vurdering (TIA) af forholdene i modtagerlandet. Det er med henblik på at fastslå, om det valgte overførselsgrundlag også i praksis kan sikre et tilstrækkeligt beskyttelsesniveau for de overførte personoplysninger. Kan overførselsgrundlaget i sig selv ikke sikre et tilstrækkeligt beskyttelsesniveau, er du desuden forpligtet til at tilvejebringe såkaldte supplerende foranstaltninger.

Har du brug for at læse mere om tredjelandsoverførsler, så har vores specialister skrevet en indsigtsartikel om det – læs med her

Du skal sikre et tilstrækkeligt beskyttelsesniveau – også ved brugen af Standard Contractuel Clauses (SCC)

EU-Domstolen fastslog i juli 2020 i Schrems II-afgørelsen, at vedtagelse af EU-Kommissionens standardkontrakt (SCC) ikke altid er tilstrækkelig. Anvendelse af standardkontrakten forudsætter nemlig, at der kan sikres et beskyttelsesniveau, som i det væsentlige svarer til det, der gælder i medfør af GDPR.

Det vil navnlig være i situationer, hvor lovgivning eller praksis i tredjelandet tillader, at de offentlige myndigheder i landet kan kræve udlevering af personoplysninger – og måske endda i nogle tilfælde uden, du som dataansvarlig bliver adviseret om det. I disse situationer vil den indgåede standardkontrakt ikke sikre et tilstrækkeligt beskyttelsesniveau, og derfor kræver det en supplerende analyse: en TIA.

Formålet med en TIA er dermed også at beskrive, hvad der supplerende er gjort af tiltag for at sikre et tilstrækkeligt beskyttelsesniveau ved overførslen, nu hvor standardbestemmelserne ikke er nok i sig selv. Og det er samtidig en måde, hvor du kan dokumentere dine overvejelser om, hvilke supplerende foranstaltninger – eksempelvis ekstra tekniske sikkerhedsforanstaltninger – du har iværksat for at sikre et tilstrækkeligt beskyttelsesniveau.

Det skal jeres TIA indeholde

De konkrete krav til indholdet af en TIA er ikke beskrevet i GDPR. Men der er hjælp at hente, idet Det Europæiske Databeskyttelsesråd (EDPB) efter Schrems II-afgørelsen offentliggjorde en række anbefalinger til udarbejdelse af en TIA og til overvejelserne om vedtagelse af supplerende foranstaltninger, som indeholder 6 trin.

6 trin til din TIA

Det første trin indebærer, at du som dataeksportør (altså den, der overfører personoplysninger til et usikkert tredjeland) skal ”kende jeres overførsler”.

Det vil sige, at du som det første skal foretage en kortlægning af alle de overførsler, der finder sted i jeres organisation samt indsamle alle oplysninger om overførslens omfang.

Det er f.eks. oplysninger om, hvilken form for behandlingsaktivitet overførslen udgør, formålet med overførslen, hvilke(t) tredjelande der overføres til, hvem der er datamodtagere mv.
Under det tredje trin skal du analysere tredjelandets lovgivning og/eller praksis, og om dette kolliderer med effekten af det valgte overførselsgrundlag, herunder om lovgivning og/eller praksis i tredjelandet er i overensstemmelse med rettighederne i GDPR.

Det er ofte ikke lige til at vurdere et tredjelands lovgivning og praksis. For det første er det ikke sikkert, at der er tilgængeligt materiale, som kan give viden om landets love og praksis. Og hvis der er, er det ikke sikkert, at det findes på engelsk.

Derfor kan du i stedet vælge at bruge ”worst-case-metoden”, som Datatilsynet har beskrevet, hvor du på forhånd går ud fra, at lovgivning og praksis ikke er i overensstemmelse med GDPR.

Hvis man under trin 3 er kommet frem til, at lovgivning og praksis i tredjelandet hindrer effektiviteten af det valgte overførselsgrundlag, skal din organisation implementere supplerende foranstaltninger.

Supplerende foranstaltninger kan f.eks. være kryptering, pseudonymisering, adgangsbegrænsning, kontraktuelle bestemmelser mv.

Vær opmærksom på, at organisatoriske foranstaltninger sjældent kan stå alene Og det vil oftest være et krav, at der indføres supplerende tekniske sikkerhedsforanstaltninger.

Når din organisation har implementeret de supplerende foranstaltninger, skal I vurdere effektiviteten af dem. I sidste ende kan jeres konklusion derfor blive, at der ikke er nogen supplerende foranstaltninger, der er effektive, hvorfor overførslen måske alligevel ikke kan finde sted.
På det femte trin indfører I eventuelle formelle tiltag, som er nødvendige som følge af vedtagelsen af de supplerende foranstaltninger og afhængigt af hvilket overførselsgrundlag, din organisation har valgt.

Er overførselsgrundlaget eksempelvis ad hoc-kontrakter, skal nye bestemmelser godkendes af Datatilsynet og EPDB. Det er ikke altid nødvendigt at indføre formelle tiltag. Eksempelvis behøver I ikke anmode om tilladelse ved indførelse af tillæg til standardbestemmelser (SCC).

Lad HjulmandKaptains specialister hjælpe dig

Er du i tvivl om din organisation eller virksomhed overfører personoplysninger til et usikkert tredjeland? Eller har du brug for hjælp til udarbejdelse af en TIA? Så kontakt HjulmandKaptains specialister i databeskyttelse. Vi står altid klar til at svare på dine spørgsmål.