Vedrørende persondatalovens geografiske udstrækning m.v.
Brevdato: 05.04.01
Journalnummer: 2000-218-0003
Ved brev af 12. oktober 2000 har Novo Nordisk rettet henvendelse til Datatilsynet og spurgt, i hvilket omfang lov om behandling af personoplysninger (persondataloven), finder anvendelse i det tilfælde, hvor en virksomheds moderselskab, der er etableret i Danmark, opbevarer og behandler personoplysninger, herunder følsomme oplysninger, om medarbejdere ansat i datterselskaber, der er etableret i lande både i og uden for EU.
Det er oplyst, at man vil oprette en central server i Danmark, hvori alle personaleoplysninger fra hele organisationen skal indlægges. Moderselskabet skal herfra kunne trække data ud og rapportere fra personaleområdet inden for hele organisationen, herunder den internationale del. Det er datterselskaberne selv, der skal lægge data ind, og de enkelte selskaber vil kun have adgang til egne data.
Datatilsynet kan i den anledning oplyse følgende:
Ifølge persondataloven § 1, stk. 1, gælder loven bl.a. for behandling af personoplysninger, som helt eller delvis foretages ved hjælp af elektronisk databehandling, og for ikke-elektronisk behandling af personoplysninger, der er eller vil blive indeholdt i et register. Loven vedlægges i kopi til Deres orientering.
Begrebet behandling omfatter enhver form for håndtering af personoplysninger, eksempelvis indsamling, registrering, systematisering, opbevaring, brug, videregivelse, samkøring og sletning.
De af Novo Nordisk stillede spørgsmål skal bedømmes ud fra persondatalovens § 4. Ifølge § 4, stk. 1, gælder loven for behandling af oplysninger, som udføres for en dataansvarlig etableret her i landet, hvis aktiviteterne finder sted inden for Det Europæiske Fællesskabs område.
Persondatalovens § 3, nr. 4, definerer "den dataansvarlige" som den fysiske eller juridiske person, offentlig myndighed, institution eller ethvert andet organ, der alene eller sammen med andre afgør, til hvilket formål og med hvilke hjælpemidler der må foretages behandling af oplysninger.
I persondatalovens § 3, stk. 1, nr. 5, defineres "databehandleren" som den fysiske eller juridiske person, offentlig myndighed, institution eller ethvert andet organ, der behandler oplysninger på den dataansvarliges vegne.
Datatilsynet forudsætter i det følgende, at Novo Nordisk ikke foretager behandlinger, der falder uden for direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger. Tilsynet vil derfor i det følgende se bort fra undtagelsesbestemmelsen i § 4, stk. 6.
Datterselskaber etableret inden for Det Europæiske Fællesskabs område
Den selvstændige databehandling, der foretages af dataansvarlige datterselskaber etableret i andre medlemslande, vil være undergivet det pågældende lands lovgivning. Dette gælder uanset, at der udøves driftafvikling hos moderselskabet i Danmark.
Det vil herefter blandt andet skulle afgøres efter det pågældende lands lovgivning, om der må ske videregivelse af oplysningerne til Danmark.
Moderselskabets selvstændige behandling af oplysninger modtaget fra datterselskaber etableret i andre medlemslande vil til gengæld være omfattet af persondataloven, jf. § 4, stk. 1. Dette vil dog kun gælde den faktiske behandling, der foretages af moderselskabet inden for Det Europæiske Fællesskabs område.
Datterselskaber etableret i tredjelande
Med hensyn til den selvstændige databehandling der foretages af dataansvarlige etableret i tredjelande, vil samme forhold gøre sig gældende som ved datterselskaberne etableret i Det Europæiske Fællesskabs område. Behandlingen er herefter undergivet det pågældende lands lovgivning.
Datatilsynet kan dog oplyse, at det følger af § 4, stk. 3, at loven gælder for dataansvarlige etableret i tredjelande, hvis behandling af oplysninger sker under benyttelse af hjælpemidler, der befinder sig i Danmark, medmindre hjælpemidlerne kun benyttes med henblik på forsendelse af oplysninger gennem Det Europæiske Fællesskabs område. Loven finder endvidere anvendelse, hvis indsamling af oplysninger i Danmark sker med henblik på behandling i et tredjeland.
I tilfælde, hvor der anvendes hjælpemidler her i landet, skal den dataansvarlige udpege en repræsentant, som er etableret i Danmark, jf. § 4, stk. 4.
Som eksempel på et hjælpemiddel er i forarbejderne til loven nævnt teknisk udstyr. Det er uden betydning, om det er EDB-baseret eller ej.
Efter det oplyste skal den centrale server anvendes af datterselskaberne til at registrere oplysninger og til at administrere deres personalesystemer, således skal serveren rent faktisk anvendes som et hjælpemiddel.
Det følger herefter af persondatalovens § 4, stk. 3, at loven finder anvendelse tillige for datterselskaberne etableret i tredjelande. Persondataloven vil dog kun gælde for den faktiske behandling, der finder sted her i landet, jf. Registerudvalgets betænlning nr. 1345, side 223 (kopi vedlagt).
Moderselskabets selvstændige behandling af oplysninger modtaget fra datterselskaberne etableret i tredjelande vil være omfattet af persondataloven. Dette vil dog kun gælde den faktiske behandling, der foretages af moderselskabet inden for Det Europæiske Fællesskabs område, jf. § 4, stk. 1.