Afgørelsen i Schrems II-sagen har givet genlyd i mange virksomheders compliance- og it-afdelinger siden afsigelsen i sommeren 2020.
Afgørelsen går i korte træk ud på, at der ved overførsel af personoplysninger fra EU til et ikke-EU-land skal opnås en beskyttelse af de berørte personers rettigheder, som er "essentially equivalent" med beskyttelsen indenfor EU. Dette er en markant skærpelse af kravene til sådanne overførsler og vil blandt andet ramme overførsler til USA fra en dataansvarlig i EU.
LÆS MERE: Se nyhedsbrevet fra Plesner og få mere baggrundsviden om Schrems II
Siden afgørelsen har det Europæiske Databeskyttelsesråd analyseret dommen og dens betydning for overførsel af personoplysninger til lande uden for EU. Rådets endelige anbefalinger forventes at udkomme i midten af juni 2021.
Datatilsynet har også sat fokus på overførsler af persondata til lande uden for EU i de planlagte tilsyn efter sommerferien.
Vi har talt med to eksperter fra Plesners Persondata Team om, hvad det kræver at være GDPR-compliant i 2021.
Kend dig selv
En af de største udfordringer er at forstå, hvilke data man har, og hvad man bruger dem til. Det kan lyde som en simpel opgave, men det griber ofte om sig, når først man begynder at grave i, hvilke data der opbevares, og hvad data bruges til.
Michael Hopp, der er advokat og partner i Plesner, beskriver, at opgaven er lidt som at pille et løg: ”Mange tror, at de ved, hvilke data de har, og hvad de bruger dem til. Men når vi stiller spørgsmål og dermed 'pilleret lag af løget', bliver de opmærksomme på, at de i mange tilfælde behandler mange flere data - som de ikke kendte til".
Ikke desto mindre er det vigtigt at komme i bund med opgaven, så man har det rette og fulde grundlag at arbejde ud fra.
Forankring af GDPR
Michael Hopp påpeger vigtigheden af, at compliancearbejdet placeres i ledelsen: ”Det, der skal til for at få succes i 2021 er den rigtige ledelsesmæssige forankring. Opgaven kan ikke udelukkende placeres langt nede i organisationen. Opgaven skal være en del af rapporteringen og forankres i ledelsen. Helt klassisk governance og compliance.”
Et succesfuldt complianceprojekt forudsætter derfor, at GDPR forankres i alle dele af organisationen.
For at denne opgave lykkes, kræver det, at organisationen kender sig selv. ”Det er umuligt at skrive fyldestgørende retningslinjer, hvis man ikke ved, hvordan man opbevarer og behandler data”, forklarer Michael Hopp videre.
Behov for landeanalyser efter Schrems II
Jesper Husmer Vang, der er advokat og senior counsel i Plesner beskriver, at der løbende kommer ny viden, der gør os klogere på, hvordan vi skal fortolke reglerne, og hvilke krav der stilles til organisationerne:
”Virksomheder og myndigheder mv., der overfører data til lande uden for EU, skal fx udføre landeanalyser for at afdække, om landet kan præstere et beskyttelses niveau, der er svarer til det niveau, der er i EU. Det er blot et af de seneste tiltag, der er kommet på baggrund af Schrems II-sagen", forklarer Jesper Husmer Vang.
Det fokuserer Datatilsynet på i 2021
Datatilsynet har i januar udsendt sin tilsynsplan for 2021. Et af de udvalgte områder er kontrol med databehandlere, og det er der ikke så meget nyt i. Man skal fortsat sikre, at sine databehandlerne lever op til de kendte krav.
Derudover har Datatilsynet fokus på implementeringen af kravene i Schrems II-dommen. Datatilsynet har dog udmeldt, at de ikke påbegynder tilsynet, før de endelige anbefalinger kommer, forventeligt i juni 2021.
Man må forvente, at der bliver set forskelligt på de tredjelandsoverførsler, som er påbegyndt før dommen, og de overførsler, som er påbegyndt efter dommen.
RISMA er opdateret med TIA, LIA og risikoscreening i data processor management
I samarbejde med Plesner har RISMA optimeret GDPR-løsningen, så den nu indeholder to nye spørgeskemaer. Spørgeskemaerne guider dig igennem en TIA (Transfer Impact Assessment), der hjælper dig med at analysere overførsler af persondata til tredjelande.
Der er også en LIA (Legitimate Interests Assessment), som hjælperdig til at dokumentere vurderingen af brugen af interesseafvejningsreglen.
Desuden er Data Processor Management-modulet opdateret, så en risiko-screening af hver enkelt databehandler er mulig.
LÆS MERE: Få mere viden om RISMAs GDPR-løsning
Kundedrevet udvikling og løbende opfølgning
Vi udvikler RISMAs GDPR-løsning på baggrund af udviklingsmøder med Plesner hver fjortende dag og ikke mindst på baggrund af det kundeinput, der løbende tikker ind. Det betyder, at de praktiske konsekvenser, som de løbende vejledninger og afgørelser har, er afspejlet i løsningen.
Vil du høre mere om løsningen? Vi er klar til at hjælpe:
BOOK DEMO: Lad os hjælpe dig med GDPR