Tredjelandsoverførsler

Overførsler til lande eller internationale organisationer uden for EU

Hvis en virksomhed eller myndighed ønsker at overføre personoplysninger til lande uden for EU – såkaldte tredjelande – eller internationale organisationer, skal de særlige regler i databeskyttelsesforordningens kapitel V iagttages. Formålet er at sikre, at forordningens regler ikke udvandes, blot fordi oplysningerne overføres til lande eller organisationer uden for EU.

Forordningens kapitel V er eksempelvis relevant, hvis en virksomhed ønsker at benytte en virksomhed uden for EU til at drifte IT-systemer eller håndtere kundeservice, samt hvis en myndighed, som følge af en aftale med et tredjeland, eksempelvis er forpligtet til at overføre skatteoplysninger.

Nedenfor finder du en oversigt over de forskellige grundlag for overførsel af personoplysninger til tredjelande, som kan komme på tale:

Når man som virksomhed eller offentlig myndighed vil overføre personoplysninger til tredjelande eller internationale organisationer, er det en god ide som det første at undersøge, om EU-Kommissionen har godkendt det pågældende tredjeland som "sikkert" ved en såkaldt ”tilstrækkelighedsafgørelse”. Er det tilfældet, kan der overføres til landet eller organisationen, forudsat at forordningens øvrige bestemmelser overholdes.

Følgende lande er p.t. godkendt af EU-Kommissionen som sikre tredjelande:

  • Andorra
  • Argentina
  • Færøerne
  • Guernsey
  • Isle of Man
  • Israel
  • Jersey
  • New Zealand
  • Schweiz
  • Uruguay

Endvidere er følgende områder og sektorer i tredjelande godkendt som sikre:

  • Australien: Overførsel af oplysninger om flypassagerer
  • Canada: Modtagere underlagt den canadiske Personal Information Protection and Electronic Documents Act (PIPED ACT)
  • USA: Overførsel af oplysninger om flypassagerer
  • USA: Overførsel af oplysninger til organisationer/virksomheder, der har tilsluttet sig EU-U.S. Privacy Shield
  • Japan: Overførsel af oplysninger til (private) virksomheder og organisationer, der falder ind under den japanske Act on the Protection of Personal Information (APPI)

Du skal være opmærksom på, at godkendelserne kan indeholde undtagelser på specifikke områder. Endvidere skal du være opmærksom på, at EU-Kommissionen løbende gennemgår sine afgørelser for at sikre, at beskyttelsesniveauet fortsat er tilstrækkeligt. Du bør derfor med mellemrum sikre dig, at afgørelsen fortsat er gældende. 

På nær afgørelsen vedrørende Japan er ovennævnte tilstrækkelighedsafgørelser udstedt af EU-Kommissionen i medfør af databeskyttelsesdirektivet og gælder indtil, de ophæves eller erstattes. På sigt vil de dog blive erstattet af afgørelser udstedt i medfør af databeskyttelsesforordningen.

Læs mere om sikre tredjelande i vejledningen om overførsel af personoplysninger til tredjelande og om  proceduren for EU-Kommissionens afgørelser om tilstrækkeligt databeskyttelsesniveau i Artikel 29-gruppens arbejdsdokument om tilstrækkeligt databeskyttelsesniveau i et tredjeland (WP254).

Overførsel af personlysninger mellem offentlige myndigheder eller organer kræver ikke godkendelse fra Datatilsynet, hvis overførslen sker på baggrund af en aftale eller lignende, der er retligt bindende. Hvis aftalen ikke er retligt bindende, skal Datatilsynet godkende overførslen.

Som et klassisk eksempel på en retligt bindende aftale kan nævnes en dobbeltbeskatningsaftale mellem skattemyndighederne i en medlemsstat og skattemyndighederne i USA om udveksling af skatteoplysninger om deres borgere.

Du kan læse mere om muligheden for at overføre personlysninger mellem offentlige myndigheder eller organer på baggrund af retligt bindende instrumenter i vejledningen om overførsel af personoplysninger til tredjelande.

Bindende virksomhedsregler – også kaldet BCR – er et sæt regler om beskyttelse af personoplysninger, som en virksomhed etableret i EU kan anvende som gyldigt overførselsgrundlag ved overførsel af personoplysninger til andre dele af koncernen eller andre virksomheder i en gruppe af foretagender, der udøver en fælles økonomisk aktivitet. Bindende virksomhedsregler skal godkendes af den kompetente tilsynsmyndighed, som normalt vil være tilsynsmyndigheden i den medlemsstat, hvor koncernens hovedvirksomhed ligger. Der er mange faktorer, der har betydning for, hvor lang tid godkendelsesproceduren tager, men det er ikke unormalt, at det tager omkring 1½ år.

Læs mere om godkendelsesprocessen i Artikel 29-gruppens arbejdsdokument om proceduren for godkendelse af bindende virksomhedsregler (WP263) samt generelt om anvendelsen af bindende virksomhedsregler i vejledningen om overførsel af personoplysninger til tredjelande.

Sådan ansøger din virksomhed

For at kunne behandle en anmodning om godkendelse af bindende virksomhedsregler, har Datatilsynet brug for følgende:

Læs mere om proceduren for ansøgning om godkendelse i Artikel 29-gruppens arbejdsdokument om samarbejdsproceduren ved godkendelse af bindende virksomhedsregler (WP 263) samt om kravene til bindende virksomhedsregler generelt i Artikel 29-gruppens arbejdsdokument herom (WP 256).

Hvis du har spørgsmål til udfyldelsen af skemaerne, er du også altid velkommen til at kontakte Datatilsynet.

BCR-processen (tidsforløbet)

Før en BCR-ansøgning kan godkendes, skal den igennem en række skridt, der tilsammen udgør BCR-processen. For at give en indikation af hvad sagsbehandlingstiden er på at få en BCR-ansøgning godkendt, får du med oversigten herunder et overblik over de forskellige skridt i en sådan BCR-proces. For hvert skridt er angivet den tilstræbte sagsbehandlingstid hos Datatilsynet og Det Europæiske Databeskyttelsesråd. Hertil skal selvfølgelig lægges den tid, hvor ansøgningen undervejs i processen afventer tilbagemeldinger fra ansøger.

1
  • Datatilsynet modtager en BCR-ansøgning
2
  • Datatilsynet vurderer, hvorvidt tilsynet mener at være ledende tilsynsmyndighed (2 ugers sagsbehandlingstid)
  • Datatilsynet hører de berørte tilsynsmyndigheder, hvorvidt der er nogen indvendinger imod, at tilsynet er ledende tilsynsmyndighed (svarfrist for berørte tilsyn er normalt 2 uger)
  • Datatilsynet informerer ansøgeren om udfaldet
3
  • Datatilsynet foretager første gennemgang af BCR-ansøgningen (4 ugers sagsbehandlingstid) og sender brev med bemærkninger til ansøgeren eller dennes advokat
  • Datatilsynet afventer herefter at modtage den tilrettede ansøgning fra ansøger
4
  • Datatilsynet foretager anden gennemgang af den nu opdaterede BCR-ansøgning (3 ugers sagsbehandlingstid). Såfremt der er flere bemærkninger, sendes et brev med bemærkninger på ny til ansøgeren eller dennes advokat
  • Datatilsynet afventer herefter at modtage den tilrettede ansøgning fra ansøger
5
  • Eventuelt flere gennemgange (2 ugers sagsbehandlingstid) indtil Datatilsynet finder, at tilsynets bemærkninger er imødekommet 
6
  • Udpegelse af en til to co-reviewers (datatilsyn fra berørte lande). Datatilsynet hører ansøgeren om eventuelle ønsker til co-reviewers og tager så vidt muligt hensyn hertil
  • Datatilsynet tager kontakt til potentielle co-reviewers så tidligt som muligt i forløbet, typisk sideløbende med punkt 3 og 4
7
  • Datatilsynet sender BCR-ansøgningen til co-reviewers, der normalt har en måned til at gennemgå denne og komme med eventuelle bemærkninger, som Datatilsynet videreformidler til ansøgeren eller dennes advokat
  • Datatilsynet afventer herefter at modtage den tilrettede ansøgning fra ansøger, hvorefter den videreformidles til co-reviewers
  • Co-reviewers gennemgår ansøgningen, indtil de finder, at deres bemærkninger er imødekommet
8
  • En konsolideret BCR sendes til alle berørte tilsynsmyndigheder. Fristen for eventuelle bemærkninger er en måned. Eventuelle bemærkninger videreformidles af Datatilsynet til ansøger eller dennes advokat
  • Datatilsynet afventer hvor relevant en tilrettet ansøgning fra ansøger
9
  • Når såvel Datatilsynet som de to co-reviewers er tilfredse med BCR-ansøgningen, forelægges denne indtil videre for International Transfers arbejdsgruppen under Det Europæiske Databeskyttelsesråd med henblik på at sikre en harmoniseret behandling af alle BCR-ansøgninger
  • Ansøgningen drøftes herefter på et arbejdsgruppemøde, og i det omfang, der er bemærkninger til ansøgningen, videreformidler Datatilsynet efterfølgende disse til ansøger eller dennes advokat (1-3 måneders sagsbehandlingstid), og Datatilsynet afventer herefter, hvor relevant, en tilrettet ansøgning fra ansøger
10
  • Der foreligger herefter en endelig BCR-ansøgning
  • Datatilsynet forbereder nu en anmodning om en udtalelse fra Det Europæiske Databeskyttelsesråd (2 ugers sagsbehandlingstid)
11
  • Det Europæiske Databeskyttelsesråd behandler og vedtager sin udtalelse vedrørende ansøgningen inden for normalt 8 og maksimalt 14 uger, jf. forordningens artikel 64, stk. 3
12
  • Hvis udtalelsen fra Det Europæiske Databeskyttelsesråd er positiv, godkender Datatisynet nu BCR’en (2 ugers sagsbehandlingstid)
  • Er udtalelsen negativ, kan det være nødvendigt at foretage nogle sidste ændringer i ansøgningen, før denne kan godkendes. Længden af denne proces afhænger helt af situationen

Godkendte adfærdskodekser og certificeringsmekanismer kan anvendes som overførselsgrundlag, hvis den dataansvarlige eller databehandleren, som man påtænker at overføre til, har tilsluttet sig.

Du kan læse mere om overførsler ved brug af godkendte adfærdskodekser og certificeringsmekanismer i vejledningen om overførsel af personoplysninger til tredjelande.

Standardkontrakter kan anvendes som overførselsgrundlag, hvis de er vedtaget af EU-Kommissionen alene eller - som noget nyt – godkendt af en tilsynsmyndighed og efterfølgende vedtaget af EU-Kommissionen.

EU-Kommissionen har vedtaget 3 sæt standardbestemmelser, som kan anvendes som gyldigt overførselsgrundlag ved overførsel til henholdsvis en dataansvarlig eller en databehandler uden for EU.

EU-Kommissionens to standardkontrakter til brug for overførsel af personoplysninger til en dataansvarlig uden for EU:

EU-Kommissionens standardkontrakt til brug for overførsel af personoplysninger til en databehandler uden for EU:

EU-Kommissionens standardkontrakter er udstedt med hjemmel i databeskyttelsesdirektivet, men gælder fortsat indtil de ophæves eller erstattes. Du bør løbende sikre dig, at de fortsat er gældende, hvis du benytter kontrakterne som grundlag for overførsel.

Du skal endvidere sikre dig, at kontrakterne er korrekt indgået, samt at din virksomhed eller myndighed i øvrigt kan leve op til de forpligtelser, som kontrakterne indeholder.

Læs mere om muligheden for at anvende standardkontrakter som overførselsgrundlag i vejledningen om overførsel af personoplysninger til tredjelande.

Ad hoc kontrakter er kontrakter, der typisk tager udgangspunkt i EU-Kommissionens standardkontrakter men som samtidig er sprogligt og formmæssigt tilpasset den enkelte virksomheds eller myndigheds behov.

Anvendelse af ad hoc kontrakter som overførselsgrundlag forudsætter, at kontrakten er godkendt af Datatilsynet efter forelæggelse for Det Europæiske Databeskyttelsesråd.

Du kan læse mere om muligheden for at anvende ad hoc kontrakter som overførselsgrundlag i vejledningen om overførsel af personoplysninger til tredjelande og i Artikel 29-gruppens arbejdsdokument om ad hoc kontrakter (WP 214).

Overførsel af personoplysninger kan foruden i de allerede nævnte situationer desuden ske, hvis en af følgende undtagelser er opfyldt:

  • Der er indhentet et udtrykkeligt samtykke
  • Overførslen er nødvendig af hensyn til indgåelse eller opfyldelse af en kontrakt mellem den dataansvarlige og den registrerede
  • Overførslen er nødvendig af hensyn til indgåelse eller opfyldelse af en kontrakt mellem den dataansvarlige og en anden fysisk eller juridisk person
  • Overførslen er nødvendig af hensyn til vigtige samfundsinteresser
  • Overførslen er nødvendig for, at et retskrav kan fastlægges, gøres gældende eller forsvares
  • Overførslen er nødvendig for at beskytte den registreredes eller andres vitale interesser, og den registrerede ikke er fysisk eller juridisk i stand til at give samtykke
  • Overførslen sker fra særlige registre
  • Overførslen er nødvendig ud fra den dataansvarliges vægtige legitime interesser, hvor ingen andre overførselsgrundlag finder anvendelse og en række betingelser er opfyldt

Du skal være særligt opmærksom på, at undtagelserne skal fortolkes restriktivt og kun kan benyttes i begrænset omfang. Eksempelvis kan ikke alle undtagelser anvendes ved gentagne overførsler, masseoverførsler og strukturelle overførsler, ligesom ikke alle undtagelser kan anvendes af offentlige myndigheder.

Læs mere om de særlige undtagelser i vejledningen om overførsel af personoplysninger til tredjelande.