Danmark, EU og resten af verden

Internettet og digitalisering af varer og tjenesteydelser har ændret den globale økonomi, og grænseoverskridende overførsel af oplysninger, herunder personoplysninger, er et led i europæiske virksomheders daglige drift, uanset størrelse og sektor. Beskyttelse af personoplysninger og privatlivets fred, uanset hvor oplysningerne behandles, eller til hvilket land de overføres, er i den forbindelse helt afgørende.

Databeskyttelsesforordningens anvendelsesområde

Databeskyttelsesforordningen er umiddelbart gældende i hver EU-medlemsstat, og derfor også i Danmark.

Forordningen finder først og fremmest anvendelse på behandling af personoplysninger, der foretages som led i aktiviteter, der udføres for en dataansvarlig eller en databehandler etableret i EU. Dette gælder, uanset om selve behandlingen finder sted i EU eller ej.

Databeskyttelsesforordningen finder også anvendelse på behandling af personoplysninger om registrerede, der er i EU, og som foretages af en dataansvarlig eller databehandler, der ikke er etableret i EU.

Dette gælder dog kun, hvis behandlingsaktiviteterne vedrører:

  • udbud af varer eller tjenester til de nævnte registrerede i EU, uanset om betaling fra den registrerede er påkrævet, eller
  • overvågning af de nævnte registreredes adfærd, såfremt deres adfærd finder sted i EU

Endelig anvendes databeskyttelsesforordningen også på behandling af personoplysninger i nogle særlige situationer, hvor behandlingen foretages af en dataansvarlig, der ikke er etableret i EU, men et sted hvor medlemsstaternes nationale ret gælder i medfør af folkeretten.

I tillæg til databeskyttelsesforordningen er det naturligvis vigtigt også at være opmærksom på den danske databeskyttelseslov, som supplerer forordningen. 

Tredjelandsoverførsler

Ved overførsel af personoplysninger til et tredjeland eller en international organisation gælder en række særlige regler for overførsel af personoplysninger til tredjelande eller til internationale organisationer, også kaldet tredjelandsoverførsler.

Reglerne skal sikre, at den databeskyttelse som de registrerede borgere, kunder m.fl. er sikret i EU efter databeskyttelsesforordningens regler ikke bliver udvandet, blot fordi oplysningerne overføres til lande eller organisationer uden for EU’s grænser.

Nedenstående er en kort oplistning (ikke udtømmende) af overførselsgrundlag i den forbindelse:

  • Overførsler baseret på en afgørelse om tilstrækkeligheden af beskyttelsesniveauet (sikre tredjelande) (artikel 45)

  • Overførsler omfattet af fornødne garantier (artikel 46)

  • Bindende virksomhedsregler – Binding Corporate Rules (ofte blot kaldet BCR) (artikel 47)

  • EU-Kommissionens standardkontraktbestemmelser her

Har du/din organisation behov for at overføre personoplysninger til et tredjeland, er det vigtigt, at du er opmærksom på ikke kun at have et grundlag for dine behandlingsaktiviteter, men også at have et grundlag for at kunne overføre oplysningerne til et tredjeland.

Læs mere om overførsel af personoplysninger til tredjelande i Datatilsynets vejledning om overførsel af oplysninger til tredjelande her.