Kommissionens standardkontrakter
Overførsel af personoplysninger til tredjelande kræver et særskilt hjemmelsgrundlag i persondatalovens kapitel 7. Dette krav gælder også i tilfælde, hvor der ikke overføres personoplysninger af følsom karakter jf. lovens § 7 og § 8.
Herudover følger det af lovens § 27, stk. 5, at overførsel af personoplysninger til tredjelande altid skal ske inden for rammerne af persondataloven. Dette indebærer, at der skal der være hjemmel til at behandle oplysningerne i behandlingsreglerne i lovens kapitel 4, samt at lovens yderligere regler skal efterleves. Dette krav gælder også, når de nedenfor beskrevne standardkontraktbestemmelser anvendes.
I henhold til persondatalovens § 27, stk. 4, skal Datatilsynets tilladelse indhentes, når der overføres personoplysninger til tredjelande, som ikke opfylder lovens § 27, stk. 1, og den dataansvarlige søger at yde tilstrækkelige garantier for beskyttelse af de registreredes rettigheder.
Europakommissionen har i henhold til artikel 26, stk. 4 i Europa-Parlamentet og Rådets direktiv 95/46/EF(databeskyttelsesdirektivet) fundet, at visse standardkontraktbestemmelser frembyder tilstrækkelige garantier for beskyttelse af privatlivets fred, grundlæggende rettigheder og frihedsrettigheder samt for udøvelsen af de dertil knyttede rettigheder. Anvendelsen af disse kontraktbestemmelser sker efter dansk ret i henhold til persondatalovens § 27, stk. 4, der omfatter såvel anvendelse af Kommissionens standardkontraktbestemmelser som andre kontraktbestemmelser udarbejdet af den dataansvarlige. Datatilsynets tilladelse skal således indhentes i begge tilfælde.
De af Kommissionen vedtagne standardkontraktbestemmelser er tilgængelige via Kommissionens hjemmeside.
Ved anvendelsen af Kommissionens standardkontraktbestemmelser bør den dataansvarlige indledningsvist søge afklaret, om overførslen sker til en databehandler eller en dataansvarlig etableret i et tredjeland, idet der er udarbejdet særskilte standardkontraktbestemmelser til hver af disse typer overførsler.
Det følger af såvel databeskyttelsesdirektivets artikel 26, stk. 4, som af bemærkningerne til persondatalovens § 27, stk. 4, at en anvendelse af Kommissionens standardkontraktbestemmelser, altid vil opfylde kravet om de fornødne garantier. Datatilsynets udstedelse af tilladelser i sådanne sager vil således udelukkende bero på en efterprøvelse af, om de kontraktbestemmelser, der indgives, svarer til de standardkontraktbestemmelser, som er vedtaget af Kommissionen. Dette forhold vil samtidig afspejles i de vilkår som Datatilsynet vil fastsætte i henhold til persondatalovens § 27, stk. 4, 2. pkt.
Ved indgivelsen af en ansøgning om tilladelse fra Datatilsynet til at overføre personoplysninger på baggrund af Kommissionens standardkontraktbestemmelser, bør den dataansvarlige overordnet redegøre for de nærmere omstændigheder omkring overførslen samt bekræfte, at de anvendte kontraktbestemmelser er identiske med Kommissionens standard.
Såfremt de anvendte kontraktbestemmelser afviger fra Kommissionens standard, bør dette uden undtagelse fremhæves af den dataansvarlige med henblik på, at Datatilsynet kan foretage en prøvelse af, hvorvidt afvigelserne er af en sådan karakter, at de må betragtes som værende i modstrid med Kommissionens standard. Der henvises i den forbindelse til betragtning 5 i Kommissionens beslutning af 15. juni 2001 og betragtning 4 i Kommissionens beslutning 27. december 2001 vedrørende standardkontraktbestemmelserne (se link ovenfor).