Journalnummer: 2010-42-1941
Den 19. marts 2010 har Guarding på vegne af Euprin anmeldt behandlingen ”Whistleblower System” til Datatilsynet, jf. persondatalovens § 48, samt ansøgt om tilladelse i henhold til lovens § 50, stk. 1, nr. 1. Datatilsynet har efter aftale foretaget enkelte rettelser i anmeldelsen.
1. Datatilsynets konklusion
Idet Datatilsynet forudsætter, at Euprin iagttager persondatalovens regler, er tilsynet indstillet på at meddele Euprin tilladelse til behandlingen ”Whistleblower System”.
Tilladelsen vil blive givet på følgende vilkår:
• Behandlingen af følsomme personoplysninger skal ske under iagttagelse af de i bilag 1 beskrev-ne sikkerhedsregler.
2. Gebyr
Endelig tilladelse vil først blive meddelt, når der er indbetalt gebyr på 1000 kr., jf. persondatalovens § 63, stk. 2, nr. 2.
Beløbet skal indbetales til Danske Bank, Holmens Kanal 2-12, 1092 København K, reg.nr. XXX, kontonr. XXXXXXXXXX.
Der bedes i den forbindelse henvist til Datatilsynets journalnummer (2010-42-1941), sådan at Datatilsynet kan identificere indbetalingen.
3. Beskrivelse af whistleblower systemet
Formålet med systemet
Formålet med behandlingen er, at oprette et informationssystem, som skal sikre, at medarbejdere, bestyrelsesmedlemmer og leverandører har mulighed for, at oplysninger om mulige lovovertrædelser og uregelmæssigheder i forhold til virksomhedens etiske principper og forretningsgange kommer til ledelsens kundskab.
Generel beskrivelse af behandlingerne
Det fremgår af den generelle beskrivelse af behandlingen, at en ansat eller medlem af bestyrelsen vil kunne indrapportere oplysninger om mulige strafbare forhold og andre rent private forhold. Mindre alvorlige forseelser som eksempelvis tilfælde af mobning, samarbejdsvanskeligheder, inkompetence, fravær, overtrædelse af retningslinjer for f.eks. påklædning, rygning / alkohol, brug af e-post / internet og lign. vil ikke kunne indberettes via whistleblower systemet. Den elektroniske rapportering fungerer på følgende måde: Anmelder udfylder en formular hos databehandler. Anmelder vælger selv, om han/hun vil være anonym, men der opfordres ikke til anonymitet. Vurderes anmeldelsen åbenbart grundløs, slettes den omgående. I modsat fald tages der stilling til, hvilke skridt som bør foretages, herunder indhentelse af yderligere information, høring, politianmeldelse samt ansættelsesretlige konsekvenser og underretning til den indberettede medarbejder. I undersøgelser af det indrapporterede kan inddrages ganske få medarbejdere fra den interne revision og/eller juridiske afdeling. Endvidere vil direktionen blive orienteret om eventuelle undersøgelser.
Oplysninger om dem der indberetter
Behandlingen omfatter identifikationsoplysninger om ansatte og bestyrelsesmedlemmer hos Euprin, der indberetter et forhold via whistleblower systemet.
Oplysninger om dem der indberettes
For så vidt angår ansatte og bestyrelsesmedlemmer hos Euprin, der indberettes via whistleblower systemet, omfatter behandlingen identifikationsoplysninger samt oplysninger om mulige strafbare forhold eller andre rent private forhold.
4. Datatilsynets vurdering af den påtænkte behandling
4.1. Det er oplyst, at det danske selskab Euprin er ansvarlig for den behandling af oplysninger om ansatte og bestyrelsesmedlemmer hos selskabet, der eventuelt vil ske i forbindelse med whistleblower systemet.
Datatilsynet lægger i det følgende til grund, at persondataloven finder anvendelse på den anmeldte behandling af oplysninger, se herved lovens § 1, stk. 1, og 2, samt § 4, stk. 1.
4.2. Forhold der kan indberettes til whistleblower systemer
Datatilsynet skal indledningsvis bemærke, at et whistleblower system efter tilsynets opfattelse bør være et frivilligt alternativ til de normale kommunikationsveje i en virksomhed. Det bør således ikke være obligatorisk for medarbejderne at foretage eventuelle indberetninger via whistleblower systemet.
Persondatalovens strenge krav til behandling af følsomme personoplysninger, jf. lovens §§ 7 og 8, indebærer efter Datatilsynets opfattelse, at der i forbindelse med whistleblower systemer som altovervejende hovedregel ikke må behandles følsomme oplysninger om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold og oplysninger om helbredsmæssige og seksuelle forhold eller oplysninger om væsentlige sociale problemer.
Lovens regler indebærer endvidere, at der skal ske begrænsning af øvrige oplysningstyper, som kan indberettes.
Der vil efter Datatilsynets opfattelse kunne ske indberetning i tilfælde, hvor der er tale om alvorlige forseelser – eller mistanke herom – der kan få betydning for koncernen som helhed, eller som kan have afgørende betydning for enkeltpersoners liv eller helbred.
Det kan f.eks. være tilfældet ved mistanke om alvorlig økonomisk kriminalitet, herunder bestikkelse, bedrageri, dokumentfalsk og lign.
I den forbindelse bemærkes, at der efter Datatilsynets opfattelse kan ske indberetning i det omfang, det kræves i medfør af den amerikanske Sarbanes Oxley Act. Det vil sige for så vidt angår uregelmæssigheder på områderne regnskabsføring, intern regnskabskontrol, revision, samt ved mistanke om korruption og kriminalitet i bank- og finanssektoren.
Som andre eksempler, hvor der efter Datatilsynets opfattelse kan ske indberetning, kan nævnes tilfælde af miljøforurening, alvorlige brud på arbejdssikkerheden samt alvorlige forhold, der retter sig mod en ansat, f.eks. vold eller seksuelle overgreb.
Derimod vil mindre alvorlige forseelser ikke kunne indberettes, eksempelvis tilfælde af mobning, samarbejdsvanskeligheder, inkompetence, fravær, overtrædelse af retningslinjer for f.eks. påklædning, rygning / alkohol, brug af e-post / internet og lign. I disse tilfælde må i stedet benyttes de normale kommunikationsveje.
Endelig medfører persondataloven efter Datatilsynets opfattelse, at whistleblower systemet alene må være indrettet med henblik på indberetning af personer med tilknytning til koncernen, f.eks. ansatte, bestyrelsesmedlemmer, revisorer, advokater, leverandører m.fl.
Det skal være tydeligt for den person, der foretager indberetning, hvilke forhold der må indberettes via whistleblower systemet. Hvis der alligevel om ansatte og bestyrelsesmedlemmerne i Euprin bliver indberettet forhold, som ikke falder inden for området for whistleblower systemet, skal (denne del af) indberetningen slettes straks.
Guarding har på vegne af Euprin oplyst, at whistleblower systemet vil blive indrettet således, at kun ansatte og bestyrelsesmedlemmer kan foretage indberetning til systemet. Datatilsynet lægger derfor til grund, at Euprin indretter sit whistleblower system således, at det kun retter sig mod ansatte og bestyrelsesmedlemmer hos Euprin.
Ovennævnte vurdering er foretaget på baggrund af persondatalovens § 6, stk. 1, nr. 7, og § 8, stk. 4, samt de grundlæggende principper om saglighed og proportionalitet, jf. lovens § 5, stk. 2 og 3.
4.3. Generel forudgående information til medarbejderne
Ansatte og bestyrelsesmedlemmer hos Euprin skal forud for implementeringen af whistleblower systemet informeres generelt om systemets funktion og indretning samt om de nærmere omstændigheder ved en eventuel indsamling af oplysninger, se herved kravet om god databehandlingsskik i persondatalovens § 5, stk. 1.
Datatilsynet er opmærksom på, at der kan være behov for at tillade anonyme indberetninger. Efter Datatilsynets opfattelse bør der imidlertid ikke opfordres til at indberette anonymt.
4.4. Information til medarbejderne i forbindelse med en indberetning
Euprin bør have procedurer for håndtering af oplysningspligten over for de personer, der foretager indberetning, se herved persondatalovens § 28.
Det skal desuden – som nævnt ovenfor – i forbindelse med en indberetning være tydeligt for den person, der foretager indberetning, hvilke forhold whistleblower systemet er tænkt anvendt på.
Euprin bør endvidere have procedurer for håndtering af oplysningspligten over for de personer, der indberettes, se herved persondatalovens § 29. Opmærksomheden henledes på, at en eventuel fravigelse (udskydelse) af oplysningspligten efter persondatalovens § 30, stk. 1, alene kan ske efter en konkret vurdering i det enkelte tilfælde.
4.5. Krav om sletterutiner
Der fremgår følgende om slettefristen i den indsendte anmeldelse: Hvis der foretages anmeldelse til politi eller andre relevante myndigheder, slettes oplysningerne som udgangspunkt straks efter afslutning af sagen hos de pågældende myndigheder, jf. dog nedenfor. Hvis der på baggrund af de indsamlede oplysninger gennemføres en disciplinær sanktion over for den indberettede medarbejder, eller der i øvrigt foreligger grunde til, at det er sagligt og nødvendigt fortsat at opbevare oplysninger om medarbejderen, vil oplysningerne blive opbevaret i den pågældendes personalemappe. Efter fratrædelse opbevares oplysningerne om medarbejderen i op til 5 år.
Idet Datatilsynet forudsætter, at Euprin ikke opbevarer oplysningerne længere tid end nødvendigt, har tilsynet ikke bemærkninger til den anførte slettefrist.
Datatilsynet forudsætter, at Euprin tilrettelægger sine sagsbehandlingsprocedurer således, at sagerne fremmes med den fornødne hurtighed, så undersøgelsen af de indberettede påstande kan afsluttes inden rimelig tid.
4.6. Krav til datasikkerhed og benyttelse af databehandler
Krav til datasikkerhed findes i persondatalovens kapitel 11. Henset til behandlingens særlige karak-ter har Datatilsynet fundet anledning til – i henhold til persondatalovens § 50, stk. 5 – at fastsætte vilkår om, at behandlingen af følsomme personoplysninger skal ske under iagttagelse af de i bilag 1 beskrevne sikkerhedsregler.
Det er oplyst, at oplysningerne vil blive behandlet hos følgende databehandler: Guarding, Vesterballevej 5, 7000 Fredericia.
Datatilsynet skal i den forbindelse henlede opmærksomheden på, at Euprin skal indgå en skriftlig databehandleraftale med Guarding, se herved persondatalovens § 42.
5. Beskrivelse af persondatalovens regler
I vedlagte bilag 2 findes en gennemgang af de af persondatalovens regler, der er særligt relevante for den påtænkte behandling af personoplysninger, og som ovenstående vurdering er foretaget på grundlag af.
Euprin skal være opmærksom på, at alle regler i persondataloven skal overholdes i forbindelse med den påtænkte behandling af personoplysninger.
6. Afsluttende bemærkninger
Datatilsynet skal gøre opmærksom på, at dette brev vil blive offentliggjort på Datatilsynets hjemmeside.
Bilag 1: Sikkerhedsregler for behandling af personoplysninger i forbindelse med Euprins whistleblower system
1. Generelle sikkerhedsbestemmelser
1.1. Den dataansvarlige skal fastsætte nærmere interne bestemmelser om sikkerhedsforanstaltninger i virksomheden til uddybning af de regler, der fremgår af dette bilag. Bestemmelserne skal navnlig omfatte organisatoriske forhold og fysisk sikring, herunder sikkerhedsorganisation, administration af adgangskontrolordninger og autorisationsordninger samt kontrol med autorisationer. Der skal endvidere fastsættes instrukser, som fastlægger ansvaret for og beskriver behandling og destruktion af ind- og uddatamateriale samt anvendelse af edb-udstyr. Desuden skal der fastsættes retningslinier for tilsyn med overholdelsen af de sikkerhedsforanstaltninger, der er fastsat for virksomheden. De interne bestemmelser skal gennemgås mindst én gang hvert år med henblik på at sikre, at de er fyldestgørende og afspejler de faktiske forhold i virksomheden.
1.2. Den dataansvarlige skal give den fornødne instruktion til de medarbejdere, som behandler personoplysningerne. Medarbejderne skal herunder gøres bekendt med de regler, der er fastsat i medfør af punkt 1.1.
1.3. På steder, hvor der foretages behandling af personoplysninger, skal der træffes forholdsregler med henblik på at forhindre uvedkommendes adgang til oplysningerne.
1.4. Der må kun etableres eksterne kommunikationsforbindelser, hvis der træffes særlige foranstaltninger for at sikre, at uvedkommende ikke gennem disse forbindelser kan få adgang til personoplysninger. Transmission af følsomme personoplysninger over det åbne net skal altid ske krypteret.
1.5. I forbindelse med reparation og service af dataudstyr, der indeholder personoplysninger, samt ved salg og kassation af anvendte datamedier skal der træffes de fornødne foranstaltninger for at sikre, at persondatalovens § 41, stk. 3, overholdes.
2. Autorisation og adgangskontrol
2.1. Kun de personer, som autoriseres hertil, må have adgang til personoplysninger. Autorisationer til adgang til personoplysninger, der behandles ved hjælp af edb, skal angive, i hvilket omfang brugeren må forespørge, inddatere eller slette personoplysninger. De enkelte brugere må ikke autoriseres til anvendelser, som de ikke har behov for.
2.2. Der må kun autoriseres personer, der er beskæftiget med de formål, hvortil personoplysningerne behandles, samt personer, for hvem adgang til oplysningerne er nødvendig med henblik på revision eller drifts- og systemtekniske opgaver.
2.3. Det skal sikres, at de autoriserede personer fortsat opfylder betingelserne i punkt 2.1. og 2.2. Kontrol heraf skal foretages mindst en gang hvert halve år.
2.4. Der skal træffes foranstaltninger for at sikre, at kun autoriserede brugere kan få adgang til personoplysninger, og at disse kun kan få adgang til de personoplysninger og anvendelser, som de er autoriserede til.
2.5. Der skal foretages registrering af alle afviste forsøg på adgang til edb-systemer med personoplysninger. Hvis der registreres et nærmere fastsat antal på hinanden følgende afviste adgangsforsøg fra samme arbejdsstation eller med samme brugeridentifikation, skal der blokeres for yderligere forsøg.
Bilag 2: Beskrivelse af særligt relevante regler i persondataloven
1. Persondatalovens anvendelsesområde
Persondataloven omfatter behandling af personoplysninger, som helt eller delvis foretages ved hjælp af elektronisk databehandling, og ikke-elektronisk behandling af personoplysninger, der er eller vil blive indeholdt i et register, jf. § 1, stk. 1. Loven gælder tillige for anden ikke-elektronisk systematisk behandling, som udføres for private, og som omfatter oplysninger om personers private eller økonomiske forhold eller i øvrigt oplysninger om personlige forhold, som med rimelighed kan forlanges unddraget offentligheden, jf. § 1, stk. 2.
I persondatalovens § 4 finder regler om lovens geografiske anvendelsesområde. Efter § 4, stk. 1, gælder loven for behandling af oplysninger, som udføres for en dataansvarlig, der er etableret i Danmark, hvis aktiviteterne finder sted inden for Det Europæiske Fællesskabs område.
2. Persondatalovens behandlingsregler
Persondatalovens § 6, stk. 1, indeholder regler for, hvornår der må ske indhentelse, registrering, videregivelse og anden behandling af ikke-følsomme personoplysninger. Regler om behandling af følsomme personoplysninger findes i lovens § 7 og § 8.
Efter § 6, stk. 1, nr. 7, må behandling finde sted, hvis behandlingen er nødvendig for, at den dataansvarlige eller den tredjemand, til hvem oplysningerne videregives, kan forfølge en berettiget interesse og hensynet til den registrerede ikke overstiger denne interesse.
Vurderingen af behandlingens nødvendighed afhænger af, hvilken form for behandling, der er tale om. Det vil således skulle vurderes separat, om det er nødvendigt, at oplysningerne indsamles, registreres, videregives mv. Der vil endvidere skulle henses til, hvilken type oplysninger der er tale om.
Persondatalovens § 7, stk. 1, indeholder et forbud mod behandling af oplysninger om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssige tilhørs-forhold og oplysninger om helbredsmæssige og seksuelle forhold. I lovens § 7, stk. 2, opstilles en række undtagelser til forbuddet.
Efter persondatalovens § 8, stk. 4, 2. pkt., kan oplysninger om strafbare forhold, væsentlige sociale problemer og andre rent private forhold end de i § 7, stk. 1, nævnte, behandles af private, hvis det er nødvendigt til varetagelse af en berettiget interesse, og denne interesse klart overstiger hensynet til den registrerede.
Det anføres i persondatalovens forarbejder, at denne bestemmelse opstiller meget snævre rammer for, hvornår der kan ske registrering af følsomme personoplysninger uden samtykke.
Efter persondatalovens § 8, stk. 5, 2. pkt., kan oplysninger om strafbare forhold, væsentlige sociale problemer og andre rent private forhold end de i § 7, stk. 1, nævnte, videregives uden den registreredes samtykke, når det sker til varetagelse af offentlige eller private interesser, herunder hensynet til den pågældende selv, der klart overstiger hensynet til de interesser, der begrunder hemmeligholdelse.
I persondatalovens § 5 findes en række grundlæggende krav, der gælder for enhver behandling af personoplysning. Det følger bl.a. af denne bestemmelse, at behandlingen skal have et sagligt formål, ligesom princippet om proportionalitet skal overholdes, jf. § 5, stk. 2 og 3.
Der skal – i lyset af persondatalovens § 8, stk. 4, og principperne om proportionalitet og saglighed – ske en begrænsning i, hvilke forhold der kan indberettes til whistleblower systemet. Der henvises til Datatilsynets brev af dags dato.
3. Krav om god databehandlingsskik (forudgående information)
Det følger af persondatalovens § 5, stk. 1, at oplysninger skal behandles i overensstemmelse med god databehandlingsskik. Det betyder ifølge lovens forarbejder, at behandlingen skal være rimelig og lovlig.
En rimelig behandling forudsætter bl.a., at registrerede personer kan få kendskab til en behandlings eksistens og, når der indsamles oplysninger hos dem, kan få nøjagtige og fyldestgørende oplysninger med hensyn til de nærmere omstændigheder ved indsamlingen, jf. lovens § 28 og 29 om oplys-ningspligt.
4. Reglerne om oplysningspligt
Efter persondatalovens § 28, stk. 1, skal den dataansvarlige eller dennes repræsentant ved indsamling af oplysninger hos den registrerede give den registrerede meddelelse om (1) den dataansvarliges eller dennes repræsentants identitet og (2) formålene med den behandling, hvortil oplysningerne er bestemt. Der skal endvidere gives meddelelse om (3) alle yderligere oplysninger, der under hensyn til de særlige omstændigheder, hvorunder oplysningerne er indsamlet, er nødvendige for, at den registrerede kan varetage sine interesser, som f.eks. kategorierne af modtagere, om det er obligatorisk eller frivilligt at besvare stillede spørgsmål samt mulige følger af ikke at svare og oplysninger om reglerne om indsigt i og om berigtigelse af de oplysninger, der vedrører den registrerede.
Det følger af § 28, stk. 2, at bestemmelsen i stk. 1 ikke gælder, hvis den registrerede allerede er bekendt med de i nr. 1-3 nævnte oplysninger. Endvidere findes undtagelser til oplysningspligten i persondatalovens § 30, se nærmere nedenfor.
Efter persondatalovens § 29, stk. 1, påhviler det, hvor oplysninger ikke er indsamlet hos den registrerede, den dataansvarlige eller dennes repræsentant ved registreringen, eller hvor de indsamlede oplysninger er bestemt til videregivelse til tredjemand, senest når videregivelsen finder sted, at give den registrerede meddelelse om (1) den dataansvarliges eller dennes repræsentants identitet samt (2) formålet med behandlingen. Den dataansvarlige skal endvidere give meddelelse om (3) alle yderligere oplysninger, der efter forholdets særlige omstændigheder er nødvendige for, at den registrerede kan varetage sine interesser, herunder f.eks. indsamlede oplysningstyper, kategorier af eventuelle modtagere af oplysningerne og oplysninger om reglerne om indsigt i og om berigtigelse af de oplysninger, der vedrører den registrerede.
Bestemmelsen i § 29, stk. 1, gælder ikke, hvis den registrerede allerede er bekendt med de i nr. 1-3 nævnte oplysninger, jf. stk. 2, eller hvis underretning af den registrerede viser sig umulig eller er uforholdsmæssigt vanskelig, jf. stk. 3.
Det er Datatilsynets opfattelse, at undtagelserne i § 29, stk. 2 og stk. 3, normalt ikke er relevante i forbindelse med whistleblower systemer.
Persondatalovens § 30, stk. 1 og 2, indeholder yderligere undtagelser til reglerne om oplysningspligt.
Der skal således ikke gives meddelelse efter § 28, stk. 1, og § 29, stk. 1, hvis den registreredes interesse i at få kendskab til oplysningerne findes at burde vige for afgørende hensyn til private interesser, herunder hensynet til den pågældende selv, jf. § 30, stk. 1.
I § 30, stk. 2, omtales muligheden for at undlade underretning af den registrerede, hvor dennes interesse i at få kendskab til oplysningerne findes at burde vige for afgørende hensyn til offentlige interesser.
Undladelse af underretning af den registrerede efter § 30 kræver en konkret afvejning af de modstående interesser, der er anført i stk. 1 og 2. Afvejningen skal foretages for hver enkelt oplysning for sig. Med udtrykket ”afgørende hensyn” er det tilkendegivet, at undtagelse fra oplysningspligten kun kan gøres, hvor der er nærliggende fare for, at privates eller offentliges interesser vil lide skade af væsentlig betydning.
Pligten til at give meddelelse efter persondatalovens § 29, stk. 1, indtræder ”ved registreringen”. Det fremgår af Datatilsynets rettighedsvejledning , at hvilken tidsfrist, der kan indlægges i begrebet ”ved registreringen”, afhænger af sagens nærmere omstændigheder. Den dataansvarlige skal dog altid – vurderet i forhold til den indsats der kræves fra den dataansvarliges side for at opfylde oplysningspligten – give den registrerede meddelelse så tidligt som muligt. Hvis den dataansvarlige allerede på selve registreringstidspunktet ved, at der i løbet af ganske kort tid herefter skal rettes henvendelse til den registrerede, f.eks. fordi den dataansvarlige skal forelægge sagens dokumenter for den registrerede, eller skal foretage andre sagsbehandlingsskridt, vil oplysningspligten som alt-overvejende hovedregel kunne opfyldes med den senere henvendelse. I øvrigt vil oplysningspligten i almindelighed skulle opfyldes inden for 10 dage efter registreringen.
5. Krav om etablering af sletterutiner
Persondatalovens § 5, stk. 5, foreskriver, at indsamlede oplysninger ikke må opbevares på en måde, der giver mulighed for at identificere den registrerede i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil oplysningerne behandles.
6. Datasikkerhed og databehandler
Ifølge persondatalovens 41, stk. 3, skal den dataansvarlige træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven.
Af § 42, stk. 1, følger, at når en dataansvarlig overlader en behandling af oplysninger til en databe-handler skal den dataansvarlige sikre sig, at databehandleren kan træffe de i § 41, stk. 3-5, nævnte tekniske og organisatoriske sikkerhedsforanstaltninger, og påse, at dette sker.
Efter § 42, stk. 2, skal gennemførelse af en behandling ved en databehandler ske i henhold til en skriftlig aftale parterne imellem. Af aftalen skal det fremgå, at databehandleren alene handler efter instruks fra den dataansvarlige, og at reglerne i § 41, stk. 3-5, ligeledes gælder for behandlingen ved databehandleren.
7. Overførsel af oplysninger til tredjelande
I persondatalovens § 27 er fastsat særlige krav for overførsel af oplysninger til tredjelande, hvilket bl.a. kan være tilfældet, hvis en virksomhed benytter en databehandler i et land uden for EU/EØS, og dette land ikke er et sikkert tredjeland, dvs. at der ikke i landet er et tilstrækkeligt beskyttelsesniveau for personoplysninger.
For så vidt angår USA er der indført den såkaldte Safe Harborordning. Virksomheder, der har tilsluttet sig denne ordning, betragtes som virksomheder i sikre tredjelande.
Hvis der ikke er tale om et sikkert tredjeland, kan der f.eks. blive tale om at indgå en særlig kontrakt mellem den dataansvarlige og databehandleren, som indeholder en beskyttelse af den registreredes rettigheder.