Overførsel af personoplysninger til tredjelande kræver et særskilt hjemmelsgrundlag i persondatalovens kapitel 7. Dette krav gælder også i tilfælde, hvor der ikke overføres personoplysninger af følsom karakter jf. lovens § 7 og § 8.

Herudover følger det af lovens § 27, stk. 5, at overførsel af personoplysninger til tredjelande altid skal ske inden for rammerne af persondataloven. Dette indebærer, at der skal der være hjemmel til at behandle oplysningerne i behandlingsreglerne i lovens kapitel 4, samt at lovens yderligere regler skal efterleves. Dette krav gælder også, når de nedenfor beskrevne standardkontraktbestemmelser anvendes.

I henhold til persondatalovens § 27, stk. 4, skal Datatilsynets tilladelse indhentes, når der overføres personoplysninger til tredjelande, som ikke opfylder lovens § 27, stk. 1, og den dataansvarlige søger at yde tilstrækkelige garantier for beskyttelse af de registreredes rettigheder.

Europakommissionen har i henhold til artikel 26, stk. 4 i Europa-Parlamentet og Rådets direktiv 95/46/EF(databeskyttelsesdirektivet) fundet, at visse standardkontraktbestemmelser frembyder tilstrækkelige garantier for beskyttelse af privatlivets fred, grundlæggende rettigheder og frihedsrettigheder samt for udøvelsen af de dertil knyttede rettigheder. Anvendelsen af disse kontraktbestemmelser sker efter dansk ret i henhold til persondatalovens § 27, stk. 4, der omfatter såvel anvendelse af Kommissionens standardkontraktbestemmelser som andre kontraktbestemmelser udarbejdet af den dataansvarlige. Datatilsynets tilladelse skal således indhentes i begge tilfælde.

De af Kommissionen vedtagne standardkontraktbestemmelser er tilgængelige via Kommissionens hjemmeside.

Ved anvendelsen af Kommissionens standardkontraktbestemmelser bør den dataansvarlige indledningsvist søge afklaret, om overførslen sker til en databehandler eller en dataansvarlig etableret i et tredjeland, idet der er udarbejdet særskilte standardkontraktbestemmelser til hver af disse typer overførsler.

Det følger af såvel databeskyttelsesdirektivets artikel 26, stk. 4, som af bemærkningerne til persondatalovens § 27, stk. 4, at en anvendelse af Kommissionens standardkontraktbestemmelser, altid vil opfylde kravet om de fornødne garantier. Datatilsynets udstedelse af tilladelser i sådanne sager vil således udelukkende bero på en efterprøvelse af, om de kontraktbestemmelser, der indgives, svarer til de standardkontraktbestemmelser, som er vedtaget af Kommissionen. Dette forhold vil samtidig afspejles i de vilkår som Datatilsynet vil fastsætte i henhold til persondatalovens § 27, stk. 4, 2. pkt.

Når der søges om tilladelse fra Datatilsynet til at overføre personoplysninger på grundlag af Kommissionens standardkontraktbestemmelser, skal den dataansvarlige udfylde og indsende blanketten "Ansøgning om tilladelse til tredjelandsoverførsel" til tilsynet. I den forbindelse skal den dataansvarlige ved afkrydsning markere, om der er foretaget ændringer i forhold til de anvendte standardkontraktbestemmelser.

Hvis den dataansvarlige har markeret, at der ikke er foretaget ændringer, skal kontrakten ikke indsendes til tilsynet. Datatilsynet giver herefter tilladelse til overførslen under forudsætning af, at der som anført på blanketten ikke er foretaget ændringer i kontrakten. Dette forhold vil samtidig afspejles i de vilkår, som Datatilsynet fastsætter efter persondatalovens § 27, stk. 4. Datatilsynet tilstræber at behandle disse sager inden for 1 måned fra modtagelsen.

Hvis der er foretaget ændringer i kontrakten, bedes denne indsendt til Datatilsynet sammen med en oversigt over de foretagne ændringer til Datatilsynet. Den ændrede kontrakt vil herefter blive behandlet som en ad hoc kontrakt, der kræver tilsynets konkrete vurdering af det beskyttelsesniveau og garantier for beskyttelse af de registreredes rettigheder, som fremgår af kontrakten. Endvidere vil Datatilsynet skulle underrette Kommissionen herom. For disse sager må der påregnes en sagsbehandlingstid på flere måneder.

Gå til blanketten for ansøgning om tilladelse til tredjelandsoverførsel.