Tredjelandsoverførsler

Her på siden kan du læse om overførsel af personoplysninger til lande eller internationale organisationer uden for EU.

Tredjelandsoverførsler

Overførsel af personoplysninger til lande eller internationale organisationer uden for EU.

Hvis en virksomhed eller myndighed ønsker at overføre personoplysninger til lande uden for EU – såkaldte "tredjelande" – eller internationale organisationer, skal de særlige regler i databeskyttelsesforordningens kapitel V iagttages. Formålet er at sikre, at forordningens regler ikke udvandes, blot fordi oplysningerne overføres til lande eller organisationer uden for EU, der ikke er underlagt GDPR.

Forordningens kapitel V er eksempelvis relevant, hvis en virksomhed ønsker at benytte en virksomhed uden for EU til at drifte IT-systemer eller håndtere kundeservice, samt hvis en myndighed - som følge af en aftale med et tredjeland - eksempelvis er forpligtet til at overføre skatteoplysninger, sundhedsoplysninger mv.

Nedenfor finder du en oversigt over de forskellige grundlag for overførsel af personoplysninger til tredjelande, som kan komme på tale:

Overførsel af personoplysninger til tredjelande

Læs vejledning

Sikre tredjelande/organisationer

Når man som virksomhed eller offentlig myndighed vil overføre personoplysninger til tredjelande eller internationale organisationer, er det en god ide som det første at undersøge, om EU-Kommissionen har godkendt det pågældende tredjeland som "sikkert" ved en såkaldt ”tilstrækkelighedsafgørelse”. Er det tilfældet, kan der overføres til landet eller organisationen, forudsat at forordningens øvrige bestemmelser overholdes.

Følgende lande er p.t. godkendt af EU-Kommissionen som sikre tredjelande:

  • Andorra
  • Argentina
  • Færøerne
  • Guernsey
  • Isle of Man
  • Israel
  • Jersey
  • New Zealand
  • Schweiz
  • Uruguay

Endvidere er følgende områder og sektorer i tredjelande godkendt som sikre:

  • Australien: Overførsel af oplysninger om flypassagerer
  • Canada: Modtagere underlagt den canadiske Personal Information Protection and Electronic Documents Act (PIPED ACT)
  • USA: Overførsel af oplysninger om flypassagerer
  • Japan: Overførsel af oplysninger til (private) virksomheder og organisationer, der falder ind under den japanske Act on the Protection of Personal Information (APPI)

Du skal være opmærksom på, at godkendelserne kan indeholde undtagelser på specifikke områder. Endvidere skal du være opmærksom på, at EU-Kommissionen løbende gennemgår sine afgørelser for at sikre, at beskyttelsesniveauet fortsat er tilstrækkeligt. Du bør derfor med mellemrum sikre dig, at afgørelsen fortsat er gældende. 

På nær afgørelsen vedrørende Japan er ovennævnte tilstrækkelighedsafgørelser udstedt af EU-Kommissionen i medfør af databeskyttelsesdirektivet og gælder indtil, de ophæves eller erstattes. På sigt vil de dog blive erstattet af afgørelser udstedt i medfør af databeskyttelsesforordningen.

Retligt bindende aftaler mellem offentlige myndigheder

Overførsel af personlysninger mellem offentlige myndigheder eller organer kræver ikke godkendelse fra Datatilsynet, hvis overførslen sker på baggrund af en aftale eller lignende, der er retligt bindende. Hvis aftalen ikke er retligt bindende, skal Datatilsynet godkende overførslen.

Som et klassisk eksempel på en retligt bindende aftale kan nævnes en dobbeltbeskatningsaftale mellem skattemyndighederne i en medlemsstat og skattemyndighederne i USA om udveksling af skatteoplysninger om deres borgere.

Du kan læse mere om muligheden for at overføre personlysninger mellem offentlige myndigheder eller organer på baggrund af retligt bindende instrumenter i vejledningen om overførsel af personoplysninger til tredjelande.

Bindende virksomhedsregler (BCR)

Bindende virksomhedsregler – også kaldet BCR – er et sæt regler om beskyttelse af personoplysninger, som en virksomhed etableret i EU kan anvende som gyldigt overførselsgrundlag ved overførsel af personoplysninger til andre dele af koncernen eller andre virksomheder i en gruppe af foretagender, der udøver en fælles økonomisk aktivitet. Bindende virksomhedsregler skal godkendes af den kompetente tilsynsmyndighed, som normalt vil være tilsynsmyndigheden i den medlemsstat, hvor koncernens hovedvirksomhed ligger. Der er mange faktorer, der har betydning for, hvor lang tid godkendelsesproceduren tager, men det er ikke unormalt, at det tager omkring 1½ år.

Læs mere om godkendelsesprocessen i Artikel 29-gruppens arbejdsdokument om proceduren for godkendelse af bindende virksomhedsregler (WP263) samt generelt om anvendelsen af bindende virksomhedsregler i vejledningen om overførsel af personoplysninger til tredjelande.

Sådan ansøger din virksomhed

For at kunne behandle en anmodning om godkendelse af bindende virksomhedsregler, har Datatilsynet brug for følgende:

Læs mere om proceduren for ansøgning om godkendelse i Artikel 29-gruppens arbejdsdokument om samarbejdsproceduren ved godkendelse af bindende virksomhedsregler (WP 263) samt om kravene til bindende virksomhedsregler generelt i Artikel 29-gruppens arbejdsdokument herom (WP 256).

Hvis du har spørgsmål til udfyldelsen af skemaerne, er du også altid velkommen til at kontakte Datatilsynet.

BCR-processen (tidsforløbet)

Før en BCR-ansøgning kan godkendes, skal den igennem en række skridt, der tilsammen udgør BCR-processen. For at give en indikation af hvad sagsbehandlingstiden er på at få en BCR-ansøgning godkendt, får du med oversigten herunder et overblik over de forskellige skridt i en sådan BCR-proces. For hvert skridt er angivet den tilstræbte sagsbehandlingstid hos Datatilsynet og Det Europæiske Databeskyttelsesråd. Hertil skal selvfølgelig lægges den tid, hvor ansøgningen undervejs i processen afventer tilbagemeldinger fra ansøger.

1
  • Datatilsynet modtager en BCR-ansøgning
2
  • Datatilsynet vurderer, hvorvidt tilsynet mener at være ledende tilsynsmyndighed (2 ugers sagsbehandlingstid)
  • Datatilsynet hører de berørte tilsynsmyndigheder, hvorvidt der er nogen indvendinger imod, at tilsynet er ledende tilsynsmyndighed (svarfrist for berørte tilsyn er normalt 2 uger)
  • Datatilsynet informerer ansøgeren om udfaldet
3
  • Datatilsynet foretager første gennemgang af BCR-ansøgningen (4 ugers sagsbehandlingstid) og sender brev med bemærkninger til ansøgeren eller dennes advokat
  • Datatilsynet afventer herefter at modtage den tilrettede ansøgning fra ansøger
4
  • Datatilsynet foretager anden gennemgang af den nu opdaterede BCR-ansøgning (3 ugers sagsbehandlingstid). Såfremt der er flere bemærkninger, sendes et brev med bemærkninger på ny til ansøgeren eller dennes advokat
  • Datatilsynet afventer herefter at modtage den tilrettede ansøgning fra ansøger
5
  • Eventuelt flere gennemgange (2 ugers sagsbehandlingstid) indtil Datatilsynet finder, at tilsynets bemærkninger er imødekommet 
6
  • Udpegelse af en til to co-reviewers (datatilsyn fra berørte lande). Datatilsynet hører ansøgeren om eventuelle ønsker til co-reviewers og tager så vidt muligt hensyn hertil
  • Datatilsynet tager kontakt til potentielle co-reviewers så tidligt som muligt i forløbet, typisk sideløbende med punkt 3 og 4
7
  • Datatilsynet sender BCR-ansøgningen til co-reviewers, der normalt har en måned til at gennemgå denne og komme med eventuelle bemærkninger, som Datatilsynet videreformidler til ansøgeren eller dennes advokat
  • Datatilsynet afventer herefter at modtage den tilrettede ansøgning fra ansøger, hvorefter den videreformidles til co-reviewers
  • Co-reviewers gennemgår ansøgningen, indtil de finder, at deres bemærkninger er imødekommet
8
  • En konsolideret BCR sendes til alle berørte tilsynsmyndigheder. Fristen for eventuelle bemærkninger er en måned. Eventuelle bemærkninger videreformidles af Datatilsynet til ansøger eller dennes advokat
  • Datatilsynet afventer hvor relevant en tilrettet ansøgning fra ansøger
9
  • Når såvel Datatilsynet som de to co-reviewers er tilfredse med BCR-ansøgningen, forelægges denne indtil videre for International Transfers arbejdsgruppen under Det Europæiske Databeskyttelsesråd med henblik på at sikre en harmoniseret behandling af alle BCR-ansøgninger
  • Ansøgningen drøftes herefter på et arbejdsgruppemøde, og i det omfang, der er bemærkninger til ansøgningen, videreformidler Datatilsynet efterfølgende disse til ansøger eller dennes advokat (1-3 måneders sagsbehandlingstid), og Datatilsynet afventer herefter, hvor relevant, en tilrettet ansøgning fra ansøger
10
  • Der foreligger herefter en endelig BCR-ansøgning
  • Datatilsynet forbereder nu en anmodning om en udtalelse fra Det Europæiske Databeskyttelsesråd (2 ugers sagsbehandlingstid)
11
  • Det Europæiske Databeskyttelsesråd behandler og vedtager sin udtalelse vedrørende ansøgningen inden for normalt 8 og maksimalt 14 uger, jf. forordningens artikel 64, stk. 3
12
  • Hvis udtalelsen fra Det Europæiske Databeskyttelsesråd er positiv, godkender Datatisynet nu BCR’en (2 ugers sagsbehandlingstid)
  • Er udtalelsen negativ, kan det være nødvendigt at foretage nogle sidste ændringer i ansøgningen, før denne kan godkendes. Længden af denne proces afhænger helt af situationen

Adfærdskodekser og certificeringsmekanismer

Godkendte adfærdskodekser og certificeringsmekanismer kan anvendes som overførselsgrundlag, hvis den dataansvarlige eller databehandleren, som man påtænker at overføre til, har tilsluttet sig.

Du kan læse mere om overførsler ved brug af godkendte adfærdskodekser og certificeringsmekanismer i vejledningen om overførsel af personoplysninger til tredjelande.

Standardkontrakter

Standardkontrakter kan anvendes som overførselsgrundlag, hvis de er vedtaget af Europa-Kommissionen alene eller godkendt af en tilsynsmyndighed og efterfølgende vedtaget af Europa-Kommissionen.

Nye standardbestemmelser vedtaget af Europa-Kommissionen

Europa-Kommissionen har d. 4. juni 2021 vedtaget et sæt nye standardbestemmelser til brug for overførsel til tredjelande. De nye standardbestemmelser består af flere særskilte moduler, som skal anvendes alt efter hvilken overførselssituation, man befinder sig i. Det vil være muligt at benytte de nye standardbestemmelser fra d. 27. juni 2021.

Det er muligt at benytte standardbestemmelserne i følgende fire overførselssituationer:

  • Overførsel af personoplysninger fra en dataansvarlig inden for EØS til en dataansvarlig uden for EØS
  • Overførsel af personoplysninger fra en dataansvarlig inden for EØS til en databehandler uden for EØS
  • Overførsel af personoplysninger fra en databehandler inden for EØS til en databehandler uden for EØS
  • Overførsel af personoplysninger fra en databehandler inden for EØS til en dataansvarlig uden for EØS (som ikke er omfattet af databeskyttelsesforordningens regler efter artikel 3, stk. 2)

Du kan finde Europa-Kommissionens nye standardbestemmelser her (DA).

Når du benytter standardbestemmelserne skal du sikre dig, at kontrakterne er korrekt indgået, samt at din virksomhed eller myndighed i øvrigt kan leve op til de forpligtelser, som kontrakterne indeholder.

Læs mere om muligheden for at anvende standardkontrakter som overførselsgrundlag i vejledningen om overførsel af personoplysninger til tredjelande her.

Hvis du benytter standardbestemmelser vedtaget i henhold til det tidligere gældende persondatadirektiv

Europa-Kommissionen har haft godkendt tre sæt standardbestemmelser efter det tidligere gældende persondatadirektiv. Det har også været muligt at anvende disse standardbestemmelser efter databeskyttelsesforordningens regler begyndte at finde anvendelse.

Europa-Kommissionen har dog - samtidig med vedtagelsen af de nye standardbestemmelser – besluttet at ophæve henholdsvis den tidligere beslutning og afgørelse om vedtagelse af standardbestemmelser efter persondatadirektivet med virkning fra den 27. september 2021.

Aftaler om overførsel af personoplysninger ved brug af standardbestemmelserne vedtaget efter persondatadirektivet, som er indgået inden den 27. september 2021, vil dog fortsat kunne anvendes frem til den 27. december 2022. Det forudsætter dog, at den behandling, der er genstand for aftalen, forbliver uændret, og at anvendelsen af disse standardbestemmelser sikrer, at overførslen af personoplysninger er omfattet af de fornødne garantier.

 

Ad hoc kontrakter

Ad hoc kontrakter er kontrakter, der typisk tager udgangspunkt i EU-Kommissionens standardkontrakter men som samtidig er sprogligt og formmæssigt tilpasset den enkelte virksomheds eller myndigheds behov.

Anvendelse af ad hoc kontrakter som overførselsgrundlag forudsætter, at kontrakten er godkendt af Datatilsynet efter forelæggelse for Det Europæiske Databeskyttelsesråd.

Du kan læse mere om muligheden for at anvende ad hoc kontrakter som overførselsgrundlag i vejledningen om overførsel af personoplysninger til tredjelande og i Artikel 29-gruppens arbejdsdokument om ad hoc kontrakter (WP 214).

Særlige undtagelser

Overførsel af personoplysninger kan foruden i de allerede nævnte situationer desuden ske, hvis en af følgende undtagelser er opfyldt:

  • Der er indhentet et udtrykkeligt samtykke
  • Overførslen er nødvendig af hensyn til indgåelse eller opfyldelse af en kontrakt mellem den dataansvarlige og den registrerede
  • Overførslen er nødvendig af hensyn til indgåelse eller opfyldelse af en kontrakt mellem den dataansvarlige og en anden fysisk eller juridisk person
  • Overførslen er nødvendig af hensyn til vigtige samfundsinteresser
  • Overførslen er nødvendig for, at et retskrav kan fastlægges, gøres gældende eller forsvares
  • Overførslen er nødvendig for at beskytte den registreredes eller andres vitale interesser, og den registrerede ikke er fysisk eller juridisk i stand til at give samtykke
  • Overførslen sker fra særlige registre
  • Overførslen er nødvendig ud fra den dataansvarliges vægtige legitime interesser, hvor ingen andre overførselsgrundlag finder anvendelse og en række betingelser er opfyldt

Du skal være særligt opmærksom på, at undtagelserne skal fortolkes restriktivt og kun kan benyttes i begrænset omfang. Eksempelvis kan ikke alle undtagelser anvendes ved gentagne overførsler, masseoverførsler og strukturelle overførsler, ligesom ikke alle undtagelser kan anvendes af offentlige myndigheder.

Læs mere om de særlige undtagelser i vejledningen om overførsel af personoplysninger til tredjelande.

Har du yderligere spørgsmål til tredjelandsoverførsler?

Kontakt os