Denne blanket anvendes til private dataansvarliges ansøgning om tilladelse til overførsel af personoplysninger til et tredjeland på grundlag af Kommissionens standardkontraktbestemmelser. 

Efter persondatalovens § 27, stk. 4, skal Datatilsynets tilladelse indhentes, når der overføres personoplysninger til tredjelande, som ikke opfylder lovens § 27, stk. 1, og den dataansvarlige søger at yde tilstrækkelige garantier for beskyttelse af de registreredes rettigheder. 

Europakommissionen har i henhold til artikel 26, stk. 4, i Europa-Parlamentet og Rådets direktiv 95/46/EF (databeskyttelsesdirektivet) fundet, at visse standardkontraktbestemmelser frembyder tilstrækkelige garantier for beskyttelse af privatlivets fred, grundlæggende rettigheder og frihedsrettigheder samt for udøvelsen af de dertil knyttede rettigheder. Anvendelsen af disse kontraktbestemmelser sker efter dansk ret efter persondatalovens § 27, stk. 4. 

Det følger såvel af direktivets artikel 26, stk. 4, som af bemærkningerne til persondatalovens § 27, stk. 4, at en anvendelse af Kommissionens standardkontraktbestemmelser, altid vil opfylde kravet om de fornødne garantier. 

De af Kommissionen vedtagne standardkontraktbestemmelser er tilgængelige via Kommissionens hjemmeside: http://ec.europa.eu/justice/policies/privacy/index_en.htm.

Under punktet "Erhverv" og "Tredjelande" på Datatilsynets hjemmeside kan man læse mere om Kommissionens standardkontrakter. http://www.datatilsynet.dk/erhverv/tredjelande/kommissionens-standardkontrakter/

Denne blanket gøres tilgængelig i Word-format, hvorefter den kan udfyldes og indsendes elektronisk.  Den kan også udfyldes og indsendes manuelt.

Hent blanketten her

Til pkt. 1 Dataansvarlig

Her angives navn, adresse og telefonnummer på den dataansvarlige. Endvidere angives det journalnummer eller anden betegnelse, som den dataansvarlige anvender til identifikation af denne ansøgning, således at man ved eventuel efterfølgende henvendelse til den dataansvarlige nemt kan identificere sagen. 

Herudover angives navn og e-mail-adresse på en kontaktperson hos virksomheden, der kan besvare eventuelle supplerende spørgsmål vedrørende behandlingen.

Hvis virksomheden er repræsenteret ved advokat eller anden fysisk eller juridisk person, f.eks. virksomhedens databehandler, angives dennes navn og kontaktoplysninger, herunder e-mail-adresse og telefonnummer.  

Til pkt. 2 Den anvendte kontrakt

Under dette punkt angives, hvilken af Kommissionens standardkontrakter der er anvendt.

Desuden angives, hvorvidt der er foretaget ændringer i kontrakten i forhold til standardkontrakten.

Hvis der ikke er foretaget nogen form for ændringer i kontrakten, skal kontrakten ikke indsendes til Datatilsynet. Datatilsynet giver herefter tilladelse til overførslen under forudsætning af, at der som anført på blanketten ikke er foretaget ændringer i kontrakten. Dette forhold vil samtidig afspejles i de vilkår, som Datatilsynet fastsætter efter persondatalovens § 27, stk. 4. Datatilsynet tilstræber at behandle ansøgningen inden for 1 måned fra modtagelsen.  

Hvis der er foretaget ændringer i kontrakten, medsendes denne til Datatilsynet sammen med en oversigt over de foretagne ændringer.  Den ændrede kontrakt vil herefter blive behandlet som en ad hoc kontrakt, der kræver tilsynets konkrete vurdering af det beskyttelsesniveau og de garantier for beskyttelse af de registreredes rettigheder, som fremgår af kontrakten. Endvidere vil Datatilsynet skulle underrette Kommissionen herom. Sagsbehandlingstiden for en ad hoc kontrakt må forventes at være på flere måneder. 

Til pkt. 3 Eksportøren

Her bekræftes, at den under punkt 1 angivne dataansvarlige også er den i standardkontrakten angivne eksportør af personoplysninger. 

Til pkt. 4 Importøren

Her angives navn, adresse samt land på den i standardkontrakten angivne importør af personoplysninger. 

Til pkt. 5 Overføres der følsomme personoplysninger omfattet af persondatalovens §§ 7 eller 8?

Her bedes det anført, om der sker en overførsel af følsomme personoplysninger omfattet af personda-talovens §§ 7 eller 8.

Følsomme oplysninger er ifølge persondatalovens §§ 7 og 8 oplysninger om:

• Racemæssig eller etnisk baggrund,
• politisk, religiøs eller filosofisk overbevisning,
• fagforeningsmæssige tilhørsforhold,
• oplysninger om helbredsmæssige, seksuelle og strafbare forhold,
• oplysninger om væsentlige sociale problemer samt
• andre rent private forhold. 

En privat dataansvarlig, der behandler følsomme personoplysninger, skal som udgangspunkt have Datatilsynets tilladelse til denne behandling. 

Hvis der sker en overførsel af følsomme personoplysninger, der er omfattet af anmeldelsespligten til Datatilsynet, angives således datoen for Datatilsynets tilladelse til behandlingen samt tilsynets journalnummer under dette punkt.

Hvis der foretages en anmeldelsespligtig behandling af følsomme oplysninger, kan Datatilsynet først give tilladelse til at overføre oplysningerne til et tredjeland, når den dataansvarlige har en generel tilladelse til at behandle oplysningerne. 

Hvis der foretages en behandling af følsomme personoplysninger, som ikke er omfattet af anmeldelsespligten til Datatilsynet, angives det, hvilken af undtagelserne til anmeldelsespligten man er omfattet af. Det vil som oftest lette sagsbehandlingen, hvis spørgsmålet om undtagelse fra anmeldelsespligten uddybes i et følgebrev til tilsynet. 

Der findes bl.a. en række undtagelser til anmeldelsespligten i persondatalovens § 49, stk. 1. F.eks. er foreningers behandling af oplysninger om deres medlemmer og advokaters og revisorers behandling af oplysninger vedrørende klientforhold undtaget fra anmeldelsespligten. Hvis behandlingen er omfattet af persondatalovens § 49, stk. 1, bedes der under dette punkt henvises til den rette bestemmelse, f.eks. § 49, stk. 1, nr. 6.  

Derudover findes der undtagelser til anmeldelsespligten i undtagelsesbekendtgørelsen¹ samt i bekendtgørelsen om ændring af undtagelsesbekendtgørelsen². 

Bestemmelserne i undtagelsesbekendtgørelsen indebærer, at behandling af personoplysninger, der ikke fører til "edb-registrering", er undtaget fra anmeldelsespligten. Det kan f.eks. være tekstbehandling eller e-mail-systemer, hvor der som fast rutine sker sletning eller anonymisering af personoplysninger senest 30 dage efter, at et brev er skrevet eller e-mail er sendt eller modtaget. Hvis e-mails eller dokumenter lagres i mere end 30 dage, vil dette blive betragtet som edb-registrering, og der er anmeldelsespligt, hvis der er tale om følsomme personoplysninger omfattet af persondatalovens §§ 7 eller 8. Hvis sådanne oplysninger lagres i manuelle (papir) sagsmapper eller lign., er der også anmeldelsespligt.

Efter bestemmelserne i ændringsbekendtgørelsen til undtagelsesbekendtgørelsen er behandling af oplysninger om ansattes fagforeningsmæssige tilhørsforhold i forbindelse med kontingentindeholdelse undtaget fra anmeldelsespligten. 

Under punktet "Blanketter" på Datatilsynets hjemmeside kan man læse mere om anmeldelsespligten til Datatilsynet. 

Til pkt. 6 Underskrift

Blanketten underskrives af en person hos den dataansvarlige, der er ansvarlig for ansøgningen på vegne af den dataansvarlige. Hvis anmeldelsen sker i henhold til fuldmagt, angives dette. 

Opmærksomheden henledes på straffelovens § 163, hvoraf fremgår, at den, som i øvrigt til brug i retsforhold, der vedkommer det offentlige, afgiver urigtig skriftlig erklæring eller skriftlig bevidner noget, hvorom han ingen kundskab har, straffes med samme straf som i § 162.

¹Justitsministeriets bekendtgørelse nr. 534 af 15. juni 2000 om undtagelse fra pligten til anmeldelse af visse behandlinger, som foretages for en privat dataansvarlig.
² Justitsministeriets bekendtgørelse nr. 202 af 22. marts 2001 om ændring af bekendtgørelse om undtagelse fra pligten til anmeldelse af visse behandlinger, som foretages for en privat dataansvarlig.

Hent blanketten her