Tredjelandsoverførsler

Her på siden kan du læse om overførsel af personoplysninger til lande eller internationale organisationer uden for EU.

Tredjelandsoverførsler

Overførsel af personoplysninger til lande eller internationale organisationer uden for EU/EØS.

Hvis en virksomhed eller myndighed ønsker at overføre personoplysninger til lande uden for EU/EØS – såkaldte "tredjelande" – eller internationale organisationer, skal de særlige regler i databeskyttelsesforordningens kapitel V iagttages. Formålet er at sikre, at forordningens regler ikke udvandes, blot fordi oplysningerne overføres til lande eller organisationer uden for EU/EØS, der ikke er underlagt GDPR.

Forordningens kapitel V er eksempelvis relevant, hvis en virksomhed ønsker at benytte en virksomhed uden for EU/EØS til at drifte IT-systemer eller håndtere kundeservice, samt hvis en myndighed - som følge af en aftale med et tredjeland - eksempelvis er forpligtet til at overføre skatteoplysninger, sundhedsoplysninger mv.

Nedenfor finder du en oversigt over de forskellige grundlag for overførsel af personoplysninger til tredjelande, som kan komme på tale:

Overførsel af personoplysninger til tredjelande

Læs vejledning

Sikre tredjelande/organisationer

Når man som virksomhed eller offentlig myndighed vil overføre personoplysninger til tredjelande eller internationale organisationer, er det en god ide som det første at undersøge, om EU-Kommissionen har godkendt det pågældende tredjeland som "sikkert" ved en såkaldt tilstrækkelighedsafgørelse. Er det tilfældet, kan der overføres personoplysninger til landet eller organisationen, forudsat at forordningens øvrige bestemmelser overholdes.

Følgende lande er p.t. godkendt af EU-Kommissionen som sikre tredjelande:

  • Andorra
  • Argentina
  • Guernsey
  • Isle of Man
  • Israel
  • Jersey
  • New Zealand
  • Schweiz
  • Storbritannien
  • Sydkorea
  • Uruguay

Endvidere er følgende områder og sektorer i tredjelande godkendt som sikre:

  • Canada: Modtagere omfattet af den canadiske Personal Information Protection and Electronic Documents Act (PIPEDA)
  • Færøerne: Modtagere omfattet af den færøske lov om behandling af personoplysninger. Overførsler til rigsmyndighederne på Færøerne er ikke omfattet.
  • Japan: Modtagere omfattet af den japanske Act on the Protection of Personal Information (APPI)
  • USA: Modtagere certificeret under EU-U.S. Data Privacy Framework

Du skal være opmærksom på, at tilstrækkelighedsafgørelserne kan indeholde undtagelser på specifikke områder. Endvidere skal du være opmærksom på, at EU-Kommissionen løbende gennemgår afgørelserne for at sikre, at beskyttelsesniveauet fortsat er tilstrækkeligt. Du bør derfor med mellemrum sikre dig, at en specifik tilstrækkelighedsafgørelse fortsat er gældende. 

Læs mere om sikre tredjelande i vejledningen om overførsel af personoplysninger til tredjelande og om proceduren for EU-Kommissionens afgørelser om tilstrækkeligt databeskyttelsesniveau i Artikel 29-gruppens arbejdsdokument om tilstrækkeligt databeskyttelsesniveau i et tredjeland (WP254).

Retligt bindende aftaler mellem offentlige myndigheder

Overførsel af personlysninger mellem offentlige myndigheder eller organer kræver ikke godkendelse fra Datatilsynet, hvis overførslen sker på baggrund af en aftale eller lignende, der er retligt bindende. Hvis aftalen ikke er retligt bindende, skal Datatilsynet godkende overførslen.

Som et klassisk eksempel på en retligt bindende aftale kan nævnes en dobbeltbeskatningsaftale mellem skattemyndighederne i en medlemsstat og skattemyndighederne i USA om udveksling af skatteoplysninger om deres borgere.

Du kan læse mere om muligheden for at overføre personlysninger mellem offentlige myndigheder eller organer på baggrund af retligt bindende instrumenter i vejledningen om overførsel af personoplysninger til tredjelande her.

Se også EDPB’s Retningslinjer 2/2020 om artikel 46, stk. 2, litra a), og artikel 46, stk. 3, litra b), i forordning (EF) nr. 2016/679 om overførsel af personoplysninger mellem myndigheder i EØS og offentlige myndigheder og organer uden for EØS.

Bindende virksomhedsregler (BCR)

Bindende virksomhedsregler – også kaldet BCR – er et sæt regler om beskyttelse af personoplysninger, som en virksomhed etableret i EU kan anvende som gyldigt overførselsgrundlag ved overførsel af personoplysninger til andre dele af koncernen eller andre virksomheder i en gruppe af foretagender, der udøver en fælles økonomisk aktivitet. Bindende virksomhedsregler skal godkendes af den kompetente tilsynsmyndighed, som normalt vil være tilsynsmyndigheden i den medlemsstat, hvor koncernens hovedvirksomhed ligger. Der er mange faktorer, der har betydning for, hvor lang tid godkendelsesproceduren tager, men det er ikke unormalt, at det tager omkring 1½ år.

Læs mere om godkendelsesprocessen i Artikel 29-gruppens arbejdsdokument om proceduren for godkendelse af bindende virksomhedsregler (WP263) samt generelt om anvendelsen af bindende virksomhedsregler i vejledning om overførsel til tredjelande

Sådan ansøger din virksomhed

For at kunne behandle en anmodning om godkendelse af bindende virksomhedsregler, har Datatilsynet brug for følgende:

Hvis virksomheden er dataansvarlig:

Hvis virksomheden er databehandler:

Læs mere om proceduren for ansøgning om godkendelse i Artikel 29-gruppens arbejdsdokument om samarbejdsproceduren ved godkendelse af bindende virksomhedsregler (WP 263)

Hvis du har spørgsmål til udfyldelsen af skemaerne, er du også altid velkommen til at kontakte Datatilsynet.

BCR-processen (tidsforløbet)

Før en BCR-ansøgning kan godkendes, skal den igennem en række skridt, der tilsammen udgør BCR-processen. For at give en indikation af hvad sagsbehandlingstiden er på at få en BCR-ansøgning godkendt, får du med oversigten herunder et overblik over de forskellige skridt i en sådan BCR-proces. For hvert skridt er angivet den tilstræbte sagsbehandlingstid hos Datatilsynet og Det Europæiske Databeskyttelsesråd. Hertil skal selvfølgelig lægges den tid, hvor ansøgningen undervejs i processen afventer tilbagemeldinger fra ansøger.

1
  • Datatilsynet modtager en BCR-ansøgning
2
  • Datatilsynet vurderer, hvorvidt tilsynet mener at være ledende tilsynsmyndighed (2 ugers sagsbehandlingstid)
  • Datatilsynet hører de berørte tilsynsmyndigheder, hvorvidt der er nogen indvendinger imod, at tilsynet er ledende tilsynsmyndighed (svarfrist for berørte tilsyn er normalt 2 uger)
  • Datatilsynet informerer ansøgeren om udfaldet
3
  • Datatilsynet foretager første gennemgang af BCR-ansøgningen (4 ugers sagsbehandlingstid) og sender brev med bemærkninger til ansøgeren eller dennes advokat
  • Datatilsynet afventer herefter at modtage den tilrettede ansøgning fra ansøger
4
  • Datatilsynet foretager anden gennemgang af den nu opdaterede BCR-ansøgning (3 ugers sagsbehandlingstid). Såfremt der er flere bemærkninger, sendes et brev med bemærkninger på ny til ansøgeren eller dennes advokat
  • Datatilsynet afventer herefter at modtage den tilrettede ansøgning fra ansøger
5
  • Eventuelt flere gennemgange (2 ugers sagsbehandlingstid) indtil Datatilsynet finder, at tilsynets bemærkninger er imødekommet 
6
  • Udpegelse af en til to co-reviewers (datatilsyn fra berørte lande). Datatilsynet hører ansøgeren om eventuelle ønsker til co-reviewers og tager så vidt muligt hensyn hertil
  • Datatilsynet tager kontakt til potentielle co-reviewers så tidligt som muligt i forløbet, typisk sideløbende med punkt 3 og 4
7
  • Datatilsynet sender BCR-ansøgningen til co-reviewers, der normalt har en måned til at gennemgå denne og komme med eventuelle bemærkninger, som Datatilsynet videreformidler til ansøgeren eller dennes advokat
  • Datatilsynet afventer herefter at modtage den tilrettede ansøgning fra ansøger, hvorefter den videreformidles til co-reviewers
  • Co-reviewers gennemgår ansøgningen, indtil de finder, at deres bemærkninger er imødekommet
8
  • En konsolideret BCR sendes til alle berørte tilsynsmyndigheder. Fristen for eventuelle bemærkninger er en måned. Eventuelle bemærkninger videreformidles af Datatilsynet til ansøger eller dennes advokat
  • Datatilsynet afventer hvor relevant en tilrettet ansøgning fra ansøger
9
  • Når såvel Datatilsynet som de to co-reviewers er tilfredse med BCR-ansøgningen, forelægges denne indtil videre for International Transfers arbejdsgruppen under Det Europæiske Databeskyttelsesråd med henblik på at sikre en harmoniseret behandling af alle BCR-ansøgninger
  • Ansøgningen drøftes herefter på et arbejdsgruppemøde, og i det omfang, der er bemærkninger til ansøgningen, videreformidler Datatilsynet efterfølgende disse til ansøger eller dennes advokat (1-3 måneders sagsbehandlingstid), og Datatilsynet afventer herefter, hvor relevant, en tilrettet ansøgning fra ansøger
10
  • Der foreligger herefter en endelig BCR-ansøgning
  • Datatilsynet forbereder nu en anmodning om en udtalelse fra Det Europæiske Databeskyttelsesråd (2 ugers sagsbehandlingstid)
11
  • Det Europæiske Databeskyttelsesråd behandler og vedtager sin udtalelse vedrørende ansøgningen inden for normalt 8 og maksimalt 14 uger, jf. forordningens artikel 64, stk. 3
12
  • Hvis udtalelsen fra Det Europæiske Databeskyttelsesråd er positiv, godkender Datatisynet nu BCR’en (2 ugers sagsbehandlingstid)
  • Er udtalelsen negativ, kan det være nødvendigt at foretage nogle sidste ændringer i ansøgningen, før denne kan godkendes. Længden af denne proces afhænger helt af situationen

Adfærdskodekser og certificeringsmekanismer

Godkendte adfærdskodekser og certificeringsmekanismer kan anvendes som overførselsgrundlag, hvis den dataansvarlige eller databehandleren, som man påtænker at overføre til, har tilsluttet sig.

Du kan læse mere om overførsler ved brug af godkendte adfærdskodekser og certificeringsmekanismer i vejledningen om overførsel af personoplysninger til tredjelande.

Se også EDPB’s Retningslinjer 04/2021 om adfærdskodekser som redskab til overførsler og Retningslinjer 07/2022 om certificering som et redskab til overførsler.  

Standardkontrakter

Standardkontrakter kan anvendes som overførselsgrundlag, hvis de er vedtaget af Europa-Kommissionen alene eller godkendt af en tilsynsmyndighed og efterfølgende vedtaget af Europa-Kommissionen.

Standardbestemmelser vedtaget af Europa-Kommissionen

De gældende standardbestemmelser til brug for overførsel af personoplysninger til tredjelande blev vedtaget af Europa-Kommissionen den 4. juni 2021. Standardbestemmelserne består af flere særskilte moduler, som skal anvendes alt efter hvilken overførselssituation, man befinder sig i. 

Det er muligt at benytte standardbestemmelserne i følgende fire overførselssituationer:

  • Overførsel af personoplysninger fra en dataansvarlig inden for EØS til en dataansvarlig uden for EØS
  • Overførsel af personoplysninger fra en dataansvarlig inden for EØS til en databehandler uden for EØS
  • Overførsel af personoplysninger fra en databehandler inden for EØS til en (under-)databehandler uden for EØS
  • Overførsel af personoplysninger fra en databehandler inden for EØS til en dataansvarlig uden for EØS

Du kan finde Europa-Kommissionens standardbestemmelser her (DA).

Når du benytter standardbestemmelserne skal du sikre dig, at kontrakterne er korrekt indgået, samt at din virksomhed eller myndighed i øvrigt kan leve op til de forpligtelser, som kontrakterne indeholder.

Læs mere om muligheden for at anvende standardkontrakter som overførselsgrundlag i Datatilsynets vejledning om overførsel af personoplysninger til tredjelande samt i Europa-Kommissionens FAQ om standardkontrakterne.

Ad hoc kontrakter

Ad hoc kontrakter er kontrakter, der typisk tager udgangspunkt i EU-Kommissionens standardkontrakter men som samtidig er sprogligt og formmæssigt tilpasset den enkelte virksomheds eller myndigheds behov.

Anvendelse af ad hoc kontrakter som overførselsgrundlag forudsætter, at kontrakten er godkendt af Datatilsynet efter forelæggelse for Det Europæiske Databeskyttelsesråd.

Du kan læse mere om muligheden for at anvende ad hoc kontrakter som overførselsgrundlag i vejledning om overførsel til tredjelande og i Artikel 29-gruppens arbejdsdokument om ad hoc kontrakter (WP 214).

Særlige undtagelser

Overførsel af personoplysninger kan foruden i de allerede nævnte situationer desuden ske, hvis en af følgende undtagelser er opfyldt:

  • Der er indhentet et udtrykkeligt samtykke
  • Overførslen er nødvendig af hensyn til indgåelse eller opfyldelse af en kontrakt mellem den dataansvarlige og den registrerede
  • Overførslen er nødvendig af hensyn til indgåelse eller opfyldelse af en kontrakt mellem den dataansvarlige og en anden fysisk eller juridisk person
  • Overførslen er nødvendig af hensyn til vigtige samfundsinteresser
  • Overførslen er nødvendig for, at et retskrav kan fastlægges, gøres gældende eller forsvares
  • Overførslen er nødvendig for at beskytte den registreredes eller andres vitale interesser, og den registrerede ikke er fysisk eller juridisk i stand til at give samtykke
  • Overførslen sker fra særlige registre
  • Overførslen er nødvendig ud fra den dataansvarliges vægtige legitime interesser, hvor ingen andre overførselsgrundlag finder anvendelse og en række betingelser er opfyldt

Du skal være særligt opmærksom på, at undtagelserne skal fortolkes restriktivt og kun kan benyttes i begrænset omfang. Eksempelvis kan ikke alle undtagelser anvendes ved gentagne overførsler, masseoverførsler og strukturelle overførsler, ligesom ikke alle undtagelser kan anvendes af offentlige myndigheder.

Læs mere om de særlige undtagelser i vejledning om overførsel af personoplysninger til tredjelande her. 

Se også EDPB’s Retningslinjer 2/2018 vedrørende undtagelser i artikel 49 i forordning 2016/679.

 

Har du yderligere spørgsmål til tredjelandsoverførsler?

Kontakt os