Home » AOD Pro » Pas på, hvor du gemmer virksomhedens data
Pas på, hvor du gemmer virksomhedens data

Pas på, hvor du gemmer virksomhedens data

Share

Max Schrems fortsatte imidlertid sin klageproces, hvilket medførte, at EU-Domstolen i sommeren 2020 også erklærede denne for ugyldig. Siden har der hersket usikkerhed på området, men i november 2020 kom Det Europæiske Databeskyttelsesråd med en række anbefalinger.

Det betyder, at hvis data overføres til et usikkert tredjeland uden for EU/EØS, er det ikke nok at leve op til for eksempel kravene i EU-Kommisionens standardkontraktbestemmelser. Den enkelte virksomhed skal sikre sig, at reglerne i det pågældende usikre tredjeland ikke underminerer databeskyttelsesreglerne i EU samt vurdere, hvilke muligheder landets myndigheder har for overvågning af EU-borgere, og om personoplysninger skal krypteres.

Alle står til ansvar

”Disse krav gælder, uanset om vi taler om, at Facebook i Irland overfører personoplysninger til Facebook i USA, eller en virksomhed selv indgår aftale med en databehandler i for eksempel USA. Hvis ikke virksomheden sørger for at undersøge importlandets regler og det eventuelle behov for supplerende foranstaltning som eksempelvis kryptering, kan den stilles retsligt til ansvar,” fortæller Tina Brøgger Sørensen, der er partner i advokatfirmaet Kromann Reumert.

Hun føjer til, at overtrædelse af reglerne nemt kan blive en kostbar affære – også selvom det beror på uvidenhed eller forglemmelse. Man kan ikke altid være sikker på, det er nok at leve op til kravene i EU’s GDPR-forordning (General Data Protection Regulation), så hvis ikke virksomheden selv råder over en juridisk afdeling, er hendes gode råd, at der søges assistance hos en professionel partner.

Gælder alle dataformer

”Samtidig skal man være opmærksom på, at der ikke nødvendigvis kun stilles skærpede krav til følsomme personoplysninger. Hvis man overfører data til et usikkert tredjeland, gælder kravene til en nærmere undersøgelse af regler og sikkerhedsforanstaltning i forhold til alle former for data, der på den ene eller den anden måde kan relateres til en konkret person, for eksempel en e-mail og adresse i en kundedatabase,” forklarer Tina Brøgger Sørensen.

Se også:  Bekæmp ransomware med snapshots

Der er givet mange, som fejlagtigt vil formode, at et land, der er så veludviklet it-mæssigt som USA, er godkendt som sikkert tredjeland uden for EU, men det er altså ikke tilfældet. Til gengæld er lande som Uruguay og Argentina godkendt. På vore breddegrader gælder det samme for Schweiz, hvor blandt andet et sikkerhedsfirma som Kaspersky har valgt at lægge et af deres Global Transparency Initiative-datacentre. 

This is box title

Hvilke dataoverførsler er egentlig omfattet af EU’s krav?

En overførsel af personoplysninger til et tredjeland kan for eksempel bestå af persondata leveret via internettet, via en USB-nøgle eller det forhold, at personer i et tredjeland får adgang til ”at se” personoplysninger, der fysisk befinder sig i EU – ifølge brancheforeningen IT-Branchen. Begrebet ”overførsel af data” er således vidtrækkende.

Det samme gælder i forhold til selve behandlingsbegrebet. Hvis man giver en tredjepart en ”kigge-adgang”, sker der også en behandling i forordningens forstand. Det forhold, at man har adgang til at se data, er dog ikke ensbetydende med, at man betragtes som en databehandler. Ved tredjeland skal forstås et land, der ikke er medlem af EU eller EØS.

Se også:  Nu går hackerne efter dine software-leverandører

Er der tale om sikre tredjelande eller organisationer, kan en overførsel som udgangspunkt ske uden særlige krav ud over de sædvanlige, der gælder for alle personoplysninger. Vurderingen sker på baggrund af, at disse lande overholder EU’s behandlingsgarantier, der skal sikre, at det pågældendes lands sikkerhedstjeneste ikke uden konkret trussel eller anden særlig grund kan få adgang til europæiske persondata.

Kilde: Datatilsynet

Hvilke tredjelande er sikre?

Hvis en virksomhed eller myndighed ønsker at overføre personoplysninger til lande uden for EU – såkaldte tredjelande – eller internationale organisationer, skal de særlige regler i databeskyttelsesforordningens Kapitel V iagttages.

Formålet er at sikre, at forordningens regler ikke udvandes, blot fordi oplysningerne overføres til lande eller organisationer uden for EU.

Forordningens Kapitel V er eksempelvis relevant, hvis en virksomhed ønsker at benytte et selskab uden for EU til at drifte it-systemer eller håndtere kundeservice, samt hvis en myndighed, som følge af en aftale med et tredjeland, eksempelvis er forpligtet til at overføre skatteoplysninger. Følgende lande uden for EU og EØS er ifølge Datatilsynet i dag godkendt som sikre tredjelande:

10 lande uden for EU samt EØS-landene lever ifølge Datatilsynet op til EU’s datakrav.

Som bekendt er Storbritannien trådt ud af EU-samarbejdet, men i forbindelse med udtrædelsen er der indgået en midlertidig aftale, der betyder, at virksomheder inden for EU/EØS frem til og med 1. juli 2021 kan overføre data til Storbritannien, som var det et EU-land.

TAGS
erhverv
erhvervsliv
It-sikkerhed
sikkerhed

DEL DENNE
Share


Mest populære
Populære
Nyeste
Tags

Find os på de sociale medier

Modtag dagligt IT-nyhedsbrev

Få gratis tech-nyheder i din mail-indbakke alle hverdage. Læs mere om IT-UPDATE her

Find os på FaceBook

AOD/AOD.dk

Brogårdsvej 22
DK-2820 Gentofte
Telefon: 33 91 28 33
redaktion@aod.dk

Audio Media A/S

CVR nr. 16315648,
Brogårdsvej 22
DK-2820 Gentofte
Telefon: 33 91 28 33
info@audio.dk
Annoncesalg:
Lars Bo Jensen: lbj@audio.dk Telefon: 40 80 44 53
Annoncer: Se medieinformation her


AOD/AOD.dk   © 2021
Privatlivspolitik og cookie information - Audio Media A/S