Tredjelandsoverførsler

Overførsler til lande eller internationale organisationer uden for EU

Hvis en virksomhed eller myndighed ønsker at overføre personoplysninger til lande uden for EU – såkaldte tredjelande – eller internationale organisationer, skal de særlige regler i databeskyttelsesforordningens kapitel V iagttages. Formålet er at sikre, at forordningens regler ikke udvandes, blot fordi oplysningerne overføres til lande eller organisationer uden for EU.

Forordningens kapitel V er eksempelvis relevant, hvis en virksomhed ønsker at benytte en virksomhed uden for EU til at drifte IT-systemer eller håndtere kundeservice, samt hvis en myndighed, som følge af en aftale med et tredjeland, eksempelvis er forpligtet til at overføre skatteoplysninger.

Nedenfor finder du en oversigt over de forskellige grundlag for overførsel af personoplysninger til tredjelande, som kan komme på tale:

Når man som virksomhed eller offentlig myndighed vil overføre personoplysninger til tredjelande eller internationale organisationer, er det en god ide som det første at undersøge, om EU-Kommissionen har godkendt det pågældende tredjeland som "sikkert" ved en såkaldt ”tilstrækkelighedsafgørelse”. Er det tilfældet, kan der overføres til landet eller organisationen, forudsat at forordningens øvrige bestemmelser samt de fire essentielle europæiske garantier overholdes.

Følgende lande er p.t. godkendt af EU-Kommissionen som sikre tredjelande:

  • Andorra
  • Argentina
  • Færøerne
  • Guernsey
  • Isle of Man
  • Israel
  • Jersey
  • New Zealand
  • Schweiz
  • Uruguay

Endvidere er følgende områder og sektorer i tredjelande godkendt som sikre:

  • Australien: Overførsel af oplysninger om flypassagerer
  • Canada: Modtagere underlagt den canadiske Personal Information Protection and Electronic Documents Act (PIPED ACT)
  • USA: Overførsel af oplysninger om flypassagerer
  • USA: Overførsel af oplysninger til organisationer/virksomheder, der har tilsluttet sig EU-U.S. Privacy Shield
  • Japan: Overførsel af oplysninger til (private) virksomheder og organisationer, der falder ind under den japanske Act on the Protection of Personal Information (APPI)

Du skal være opmærksom på, at godkendelserne kan indeholde undtagelser på specifikke områder. Endvidere skal du være opmærksom på, at EU-Kommissionen løbende gennemgår sine afgørelser for at sikre, at beskyttelsesniveauet fortsat er tilstrækkeligt. Du bør derfor med mellemrum sikre dig, at afgørelsen fortsat er gældende. 

På nær afgørelsen vedrørende Japan er ovennævnte tilstrækkelighedsafgørelser udstedt af EU-Kommissionen i medfør af databeskyttelsesdirektivet og gælder indtil, de ophæves eller erstattes. På sigt vil de dog blive erstattet af afgørelser udstedt i medfør af databeskyttelsesforordningen.

Læs mere om sikre tredjelande i vejledningen om overførsel af personoplysninger til tredjelande og om  proceduren for EU-Kommissionens afgørelser om tilstrækkeligt databeskyttelsesniveau i Artikel 29-gruppens arbejdsdokument om tilstrækkeligt databeskyttelsesniveau i et tredjeland (WP254).

Overførsel af personlysninger mellem offentlige myndigheder eller organer kræver ikke godkendelse fra Datatilsynet, hvis overførslen sker på baggrund af en aftale eller lignende, der er retligt bindende. Hvis aftalen ikke er retligt bindende, skal Datatilsynet godkende overførslen.

Som et klassisk eksempel på en retligt bindende aftale kan nævnes en dobbeltbeskatningsaftale mellem skattemyndighederne i en medlemsstat og skattemyndighederne i USA om udveksling af skatteoplysninger om deres borgere.

Du kan læse mere om muligheden for at overføre personlysninger mellem offentlige myndigheder eller organer på baggrund af retligt bindende instrumenter i vejledningen om overførsel af personoplysninger til tredjelande.

Bindende virksomhedsregler – også kaldet BCR – er et sæt regler om beskyttelse af personoplysninger, som en virksomhed etableret i EU kan anvende som gyldigt overførselsgrundlag ved overførsel af personoplysninger til andre dele af koncernen eller andre virksomheder i en gruppe af foretagender, der udøver en fælles økonomisk aktivitet. Bindende virksomhedsregler skal godkendes af den kompetente tilsynsmyndighed, som normalt vil være tilsynsmyndigheden i den medlemsstat, hvor koncernens hovedvirksomhed ligger. Der er mange faktorer, der har betydning for, hvor lang tid godkendelsesproceduren tager, men det er ikke unormalt, at det tager omkring 1½ år.

Læs mere om godkendelsesprocessen i Artikel 29-gruppens arbejdsdokument om proceduren for godkendelse af bindende virksomhedsregler (WP263) samt generelt om anvendelsen af bindende virksomhedsregler i vejledningen om overførsel af personoplysninger til tredjelande.

Sådan ansøger din virksomhed

For at kunne behandle en anmodning om godkendelse af bindende virksomhedsregler, har Datatilsynet brug for følgende:

Læs mere om proceduren for ansøgning om godkendelse i Artikel 29-gruppens arbejdsdokument om samarbejdsproceduren ved godkendelse af bindende virksomhedsregler (WP 263) samt om kravene til bindende virksomhedsregler generelt i Artikel 29-gruppens arbejdsdokument herom (WP 256).

Hvis du har spørgsmål til udfyldelsen af skemaerne, er du også altid velkommen til at kontakte Datatilsynet.

Godkendte adfærdskodekser og certificeringsmekanismer kan anvendes som overførselsgrundlag, hvis den dataansvarlige eller databehandleren, som man påtænker at overføre til, har tilsluttet sig.

Du kan læse mere om overførsler ved brug af godkendte adfærdskodekser og certificeringsmekanismer i vejledningen om overførsel af personoplysninger til tredjelande.

Standardkontrakter kan anvendes som overførselsgrundlag, hvis de er vedtaget af EU-Kommissionen alene eller - som noget nyt – godkendt af en tilsynsmyndighed og efterfølgende vedtaget af EU-Kommissionen.

EU-Kommissionen har vedtaget 3 sæt standardbestemmelser, som kan anvendes som gyldigt overførselsgrundlag ved overførsel til henholdsvis en dataansvarlig eller en databehandler uden for EU.

EU-Kommissionens to standardkontrakter til brug for overførsel af personoplysninger til en dataansvarlig uden for EU:

EU-Kommissionens standardkontrakt til brug for overførsel af personoplysninger til en databehandler uden for EU:

EU-Kommissionens standardkontrakter er udstedt med hjemmel i databeskyttelsesdirektivet, men gælder fortsat indtil de ophæves eller erstattes. Du bør løbende sikre dig, at de fortsat er gældende, hvis du benytter kontrakterne som grundlag for overførsel.

Du skal endvidere sikre dig, at kontrakterne er korrekt indgået, samt at din virksomhed eller myndighed i øvrigt kan leve op til de forpligtelser, som kontrakterne indeholder.

Læs mere om muligheden for at anvende standardkontrakter som overførselsgrundlag i vejledningen om overførsel af personoplysninger til tredjelande.

Ad hoc kontrakter er kontrakter, der typisk tager udgangspunkt i EU-Kommissionens standardkontrakter men som samtidig er sprogligt og formmæssigt tilpasset den enkelte virksomheds eller myndigheds behov.

Anvendelse af ad hoc kontrakter som overførselsgrundlag forudsætter, at kontrakten er godkendt af Datatilsynet efter forelæggelse for Det Europæiske Databeskyttelsesråd.

Du kan læse mere om muligheden for at anvende ad hoc kontrakter som overførselsgrundlag i vejledningen om overførsel af personoplysninger til tredjelande og i Artikel 29-gruppens arbejdsdokument om ad hoc kontrakter (WP 214).

Overførsel af personoplysninger kan foruden i de allerede nævnte situationer desuden ske, hvis en af følgende undtagelser er opfyldt:

  • Der er indhentet et udtrykkeligt samtykke
  • Overførslen er nødvendig af hensyn til indgåelse eller opfyldelse af en kontrakt mellem den dataansvarlige og den registrerede
  • Overførslen er nødvendig af hensyn til indgåelse eller opfyldelse af en kontrakt mellem den dataansvarlige og en anden fysisk eller juridisk person
  • Overførslen er nødvendig af hensyn til vigtige samfundsinteresser
  • Overførslen er nødvendig for, at et retskrav kan fastlægges, gøres gældende eller forsvares
  • Overførslen er nødvendig for at beskytte den registreredes eller andres vitale interesser, og den registrerede ikke er fysisk eller juridisk i stand til at give samtykke
  • Overførslen sker fra særlige registre
  • Overførslen er nødvendig ud fra den dataansvarliges vægtige legitime interesser, hvor ingen andre overførselsgrundlag finder anvendelse og en række betingelser er opfyldt

Du skal være særligt opmærksom på, at undtagelserne skal fortolkes restriktivt og kun kan benyttes i begrænset omfang. Eksempelvis kan ikke alle undtagelser anvendes ved gentagne overførsler, masseoverførsler og strukturelle overførsler, ligesom ikke alle undtagelser kan anvendes af offentlige myndigheder.

Læs mere om de særlige undtagelser i vejledningen om overførsel af personoplysninger til tredjelande.