Ved overførsel af data til lande, som er medlemmer af EU eller EØS (Island, Norge og Liechtenstein) er der umiddelbart ingen problemer, man skal forholde sig til, da EU's Persondataforordning er gældende i disse lande.
Følgende lande udgør EU:
Vesttyskland, Frankrig, Italien, Holland, Belgien, Luxembourg, Danmark, Irland og Storbritannien Grækenland, Spanien, Portugal, Østrig, Finland, Sverige, Tjekkiet, Estland, Cypern, Letland, Litauen, Ungarn, Malta, Polen, Slovenien, Slovakiet, Rumænien, Bulgarienog Kroatien.
Man skal bemærke, at der fremadrettet kan komme andre regler for Storbritannien i forbindelse med de igangværende forhandlinger om Storbritanniens udtrædelse af EU.
EØS
Består af de tre lande Norge, Island og Liechtenstein.
De tre lande har gennem samarbejdet tilsluttet sig store dele af EU's regler.
Kernen i EØS-samarbejdet er reglerne om det indre marked samt de politikker, som er tæt knyttet til det indre marked. Det drejer som f.eks. om konkurrencepolitikken og forbruger- og miljøbeskyttelse og persondatapolitik.
Overførsler af data til tredjelande udenfor EU og EØS
Hvis man overfører persondata til et tredjeland, skal man sikre sig, at dette sker i overensstemmelse med Persondataforordningens regler.
Tredjelande er defineret som lande, der ikke er medlemmer af EU eller EØS (Island, Norge og Liechtenstein).
EU stiller krav om, at tredjelande skal overholde en række garantier, som skal sikre, at uvedkommende personer eller myndigheder ikke kan få adgang til persondata som vedrører personer, som er borgere i et EU-land. Det kunne fx være tale om et efterretningsvæsen i et tredjeland.
Der er på nuværende tidspunkt indgået garantiaftaler med en række lande udenfor EU. Det drejer sig om Andorra, Argentina, Canada, Færøerne, Israel, Isle of Man, Jersey, New Zealand, Schweiz, Uruguay og USA. For disse tredjelande gælder, at overførsel af persondata kan ske uden videre.
I EU’s persondataforordning tales der om ”sikre” og ”usikre” tredjelande. Især hvis man overfører persondata til usikre tredjelande, skal man foretage en række overvejelser. Man bør undersøge, om der er afgivet nogen garanti i forbindelse med dataoverførslerne.
Hvis dette ikke er tilfældet, er overførslen af data som udgangspunkt ikke lovlig.
Der kan dog være særlige undtagelser i forordningen eller i den nationale lovgivning. Hvis der ikke eksisterer nogen undtagelser, er enhver overførsel af persondata ulovlig. Hvis man har brug for at overføre persondata til et ” usikkert ” tredjeland, bør man som udgangspunkt sikre, at man har en databehandleraftale.
Mange virksomheder og myndigheder anvender i vid udstrækning cloud-tjenester i forbindelse med behandlingen af persondata. Dette kan gøre det svært for den enkelte dataansvarlige at vurdere, hvor man rent faktisk har lagret sine data.
Dette skyldes, at mange udbydere af tjenester i skyen anvender en række datacentre i forskellige lande. Ofte er data af sikkerhedshensyn opbevaret på spejlede lokationer. Dette gør det nærmest umuligt for den dataansvarlige at vurdere, i hvilket omfang man rent faktisk overholder Persondataforordningen. Man er her nødsaget til at forholde sig til den databehandleraftale, som man har indgået med leverandøren.
Når man som dataansvarlig står i den situation, at man kun meget vanskeligt kan kontrollere, om man rent faktisk overholder reglerne i persondataforordningen, bør man tænke sig meget om, inden man vælger en leverandør som databehandler.
Man kan kun tilråde, at man, så vidt det er muligt, vælger en lokal leverandør. Dette er dog ikke en 100 procents garanti, da lokale leverandører også kan gøre brug af tjenester, som ikke nødvendigvis befinder sig i et EU-land.