Genvejsmenu:
S - Indhold
1 - Forside
2 - Nyheder
3 - Oversigt
4 - Søg

Overførsel til tredjelande

Overførsel af personoplysninger til tredjelande kræver et særskilt hjemmelsgrundlag i persondatalovens § 27. Bestemmelsen gælder både ved videregivelse af personoplysninger til en anden dataansvarlig, ved overladelse af personoplysninger til en databehandler samt ved intern brug, f.eks. inden for en koncern.

Ved et tredjeland forstås en stat, som ikke indgår i Det Europæiske Fællesskab, og som ikke har gennemført aftaler, der er indgået med Det Europæiske Fællesskab, og som indeholder regler svarende til direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger – det vil sige de såkaldte EØS-lande. Dette betyder, at f.eks. Norge og Island ikke er at betragte som tredjelande, men at Grønland og Færøerne skal betragtes som tredjelande.

Det følger af persondatalovens § 27, stk. 6, at overførsel af personoplysninger til tredjelande altid skal ske inden for rammerne af persondataloven. Dette indebærer bl.a., at der skal være hjemmel til behandlingen i lovens kapitel 4, og at reglerne for anmeldelse iagttages. Man skal således både have hjemmel til overførslen og behandlingen i øvrigt.

Læs her mere om anmeldelse

Persondatalovens § 27 skal herudover ses i sammenhæng med persondatalovens 50, stk. 2, der sammen med lovens § 27, stk. 4 og 5, regulerer hvornår Datatilsynets tilladelse skal indhentes til overførsel af personoplysninger til et tredjeland.

Se nedenfor et skema over, hvornår en dataansvarlig skal indhente Datatilsynets tilladelse til overførsel.

Overførsel til sikre tredjelande

Det følger af persondatalovens § 27, stk. 1, at der som udgangspunkt kun må overføres oplysninger til et tredjeland, hvis dette land sikrer et tilstrækkeligt beskyttelsesniveau.

Efter persondatalovens § 27, stk. 2, skal vurderingen af, om beskyttelsesniveauet i et tredjeland er tilstrækkeligt, ske på grundlag af samtlige forhold, der har indflydelse på en overførsel, herunder navnlig oplysningernes art, behandlingens formål og varighed, oprindelseslandet og det endelige bestemmelsesland, samt de retsregler, herunder regler for god forretningsskik og sikkerhedsforanstaltninger, som gælder i tredjelandet.

Ud over den mulighed, som Datatilsynet har efter persondatalovens § 27, stk. 2, til at foretage en vurdering af databeskyttelsesniveauet, kan Kommissionen i medfør af artikel 25, stk. 6, i direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger, fastslå, at visse lande sikrer et tilstrækkeligt beskyttelsesniveau og derved udgør et såkaldt sikkert tredjeland. Denne mulighed har Kommissionen benyttet i forhold til en række lande.

Læs mere om overførsel til sikre tredjelande her 

Overførsel til usikre tredjelande – kontraktbestemmelser eller BCR

Det følger af persondatalovens § 27, stk. 4, at Datatilsynet kan give tilladelse til, at der overføres oplysninger til tredjelande, som ikke er sikre i persondatalovens § 27, stk. 1, forstand, såfremt den dataansvarlige yder tilstrækkelige garantier for beskyttelse af de registreredes rettigheder. Der kan fastsættes nærmere vilkår for overførslen.

Efter persondatalovens § 27, stk. 4, vil overførsel til tredjelande, som ikke sikrer et tilstrækkeligt beskyttelsesniveau, kunne ske ved anvendelse af Kommissionens standardkontraktbestemmelser eller ved at stille sine egne garantier.

Læs her mere om Kommissionens standardkontrakter

Ud over muligheden for at anvende kontraktbestemmelser til at opnå de tilstrækkelige garantier har multinationale koncerner også mulighed for at anvende såkaldte bindende virksomhedsregler (BCR).

Læs her mere om BCR

Overførsel til usikre tredjelande – øvrige undtagelser

Herudover kan der i medfør af persondatalovens § 27, stk. 3, overføres personoplysninger til et tredjeland, der ikke sikre et tilstrækkeligt beskyttelsesniveau, hvis én af undtagelserne i bestemmelsen er opfyldt. Herefter kan overførsel bl.a. ske med den registreredes udtrykkelige samtykke, jf. stk. 3, nr. 1, eller hvis overførslen er nødvendig af hensyn til opfyldelsen af en aftale mellem den registrerede og den dataansvarlige, jf. stk. 3, nr. 2.

Det bemærkes, at Artikel 29-gruppen har udtalt sig om rækkevidden af undtagelserne i persondatalovens § 27, stk. 3. Artikel 29-gruppen har i den forbindelse bl.a. udtalt, at undtagelserne skal fortolkes restriktivt, og at samtykke ikke bør anvendes som hjemmel ved masseoverførsel af personoplysninger. Se WP 12 og WP 114.

Yderligere oplysninger om Artikel 29-gruppen findes under Internationalt her på hjemmesiden.

Visse overførsler kræver tilladelse fra Datatilsynet

Persondatalovens § 27 skal ses i sammenhæng med persondatalovens 50, stk. 2, der sammen med lovens § 27, stk. 4 og 5, regulerer hvornår Datatilsynets tilladelse skal indhentes til overførsel af personoplysninger til et tredjeland.

Efter persondatalovens § 27, stk. 4, skal Datatilsynets tilladelse indhentes, når der overføres personoplysninger til tredjelande, som ikke opfylder lovens § 27, stk. 1, og hvor den dataansvarlige søger at yde tilstrækkelige garantier for beskyttelse af de registreredes rettigheder.

Pr. 1. januar 2013 skal der efter persondatalovens § 27, stk. 5, ikke længere indhentes en tilladelse fra Datatilsynet til at overføre personoplysninger til tredjelande efter lovens § 27, stk. 4, hvis den anvendte kontrakt er i fuld overensstemmelse med Kommissionens standardkontraktbestemmelser.

En privat dataansvarlig skal imidlertid fortsat indhente Datatilsynets tilladelse i medfør af persondatalovens § 50, stk. 2, jf. stk. 1, hvis der sker overførsel af visse personoplysninger, herunder følsomme personoplysninger, til et tredjeland med hjemmel i lovens § 27, stk. 1, og stk. 3, nr. 2-4. Ved følsomme personoplysninger forstås bl.a. helbredsoplysninger, oplysninger om fagforeningsmæssige forhold og oplysninger om strafbare forhold, jf. lovens §§ 7 og 8.  
 
Nedenfor er et skema over, hvornår en dataansvarlig skal indhente Datatilsynets tilladelse til overførsel.

 

OPLYSNINGERNES KARAKTER

HJEMMEL TIL OVERFØRSEL

§ 6-oplysning-
er, som ikke er nævnt i § 50, stk. 1

Oplysninger, som er nævnt i § 50, stk. 1 (§§ 7-og 8-oplysninger, advarselsregistre, oplysninger til bedømmelse af økonomisk soliditet og kreditværdighed, stillings-besættelse og retsinformationssystemer)

§ 27, stk. 1, jf. stk. 2 (sikre tredjelande mv.)

Ikke krav om tilladelse

Krav om tilladelse

§ 27, stk. 3, nr. 1 (samtykke)

Ikke krav om tilladelse

Ikke krav om tilladelse

§ 27, stk. 3, nr. 2-4

Ikke krav om tilladelse

Krav om tilladelse

§ 27, stk. 3, nr. 5-8

Ikke krav om tilladelse

Ikke krav om tilladelse

§ 27, stk. 4, jf. stk. 5 (standardkontrakt)

Ikke krav om tilladelse

Ikke krav om tilladelse

§ 27, stk. 4 (ikke standardkontrakt)

Krav om tilladelse

Krav om tilladelse