Overførsel til tredjelande på grundlag af bindende virksomhedsregler

Publiceret 24-03-2006
Historisk afgørelse Private virksomheder

Journalnummer: 2005-841-0076

Ved brev af 30. december 2005 har De som advokat for General Electric (GE) anmodet Datatilsynet om tilladelse i medfør af persondatalovens § 27, stk. 4, til overførsel af personoplysninger til tredjelande.

De har oplyst, at tilsynets tilladelse ønskes givet til, at der kan ske overførsel af personoplysninger til tredjelande i overensstemmelse med de bindende virksomhedsregler (Binding Corporate Rules - BCR) for overførsel af personoplysninger til tredjelande, som GE har vedtaget.

Sagen har endvidere været drøftet på et møde den 27. maj 2005 mellem repræsentanter for GE og Datatilsynet.

Datatilsynet skal, efter sagen har været behandlet i Datarådet, udtale følgende:

Ifølge persondatalovens § 27, stk. 1, må der overføres oplysninger til et tredjeland, såfremt dette land sikrer et tilstrækkeligt beskyttelsesniveau.

Vurderingen af, om beskyttelsesniveauet i et tredjeland er tilstrækkeligt, sker på grundlag af samtlige de forhold, der har indflydelse på en overførsel, herunder navnlig oplysningernes art, behandlingens formål og varighed, oprindelseslandet og det endelige bestemmelsesland, samt de retsregler, regler for god forretningsskik og sikkerhedsforanstaltninger, som gælder i tredjelandet, jf. lovens § 27, stk. 2.

I § 27, stk. 3, er angivet situationer, hvor der ud over de i stk. 1 nævnte tilfælde kan overføres oplysninger til tredjeland, såfremt nærmere angivne betingelser er opfyldt.

Af lovens § 27, stk. 4, fremgår, at Datatilsynet uden for de i stk. 3 nævnte tilfælde kan give tilladelse til, at der overføres oplysninger til tredjelande, som ikke opfylder betingelsen i stk. 1, såfremt den dataansvarlige yder tilstrækkelige garantier for beskyttelse af den registreredes rettigheder. Der kan fastsættes nærmere vilkår for overførslen.

Endelig fremgår det af § 27, stk. 5, at reglerne i loven i øvrigt finder anvendelse ved overførsel af oplysninger til tredjelande efter stk. 1, 3 og 4. Dette indebærer, at både behandlingsreglerne i persondatalovens kapitel 4, og anmeldelsespligten i lovens kapitel 13 skal være opfyldt.

Datatilsynet tillægger det betydning, at GE i sin ansøgning har anført, at de bindende virksomhedsregler aldrig kan fortolkes på en måde, der fører til et resultat der strider mod dansk ret, samt at GE i Danmark vil udpege en uafhængig tredjemand, der skal gennemføre undersøgelser og revision af praksis og af GE’s opfyldelse af de retningslinier, som følger af reglerne.

Datatilsynet lægger endvidere vægt på, at GE i sit informationsdokument til medarbejdere i danske virksomheder har indsat følgende passus: ”Opmærksomheden henledes særligt på, at De efter Employment Data Protection Standards, afsnit XII, har ret til at klage internt i GE. De har naturligvis også herudover mulighed for at klage til Datatilsynet, Borgergade 28, 5., 1300 København K”.

Datatilsynet er samtidig opmærksom på, at GE’s bindende virksomhedsregler allerede er godkendt af databeskyttelsesmyndighederne i både UK, Tyskland, Belgien og Irland.

Det er herefter Datatilsynets opfattelse, at de danske selskaber i GE-koncernen ved brug af de omhandlede bindende virksomhedsregler vil kunne yde tilstrækkelige garantier for beskyttelse af den registreredes rettigheder, jf. § 27, stk. 4.

Datatilsynet skal samtidig tilkendegive, at anvendelsesområdet for virksomhedsreglerne – i overensstemmelse med databeskyttelsesdirektivet – efter tilsynets opfattelse også bør omfatte ikke-elektronisk behandling af personoplysninger, der er eller vil blive indeholdt i et register. Datatilsynet finder således, at anvendelsesområdet for virksomhedsreglerne ved en kommende revision bør udvides til også at omfatte disse oplysninger.

Opmærksomheden henledes i øvrigt på, at overførsel af oplysninger til virksomheder uden for GE-koncernen, der er etableret i et tredjeland, på baggrund af Kommissionens standardkontrakter kræver forudgående tilladelse fra Datatilsynet, jf. persondatalovens § 27, stk. 4.

Under henvisning til ovenstående meddeler Datatilsynet hermed General Electric (GE)

TILLADELSE

til overførsel af personoplysninger til tredjelande i medfør af persondatalovens § 27, stk. 4. Tilladelsen meddeles på følgende vilkår:

  1. Enhver overførsel og/eller senere behandling af personoplysninger omfattet af de bindende virksomhedsregler må udelukkende finde sted i overensstemmelse med disse.
  2. Enhver væsentlig ændring af de bindende virksomhedsregler skal meddeles Datatilsynet med henblik på forudgående godkendelse i medfør af persondatalovens § 27, stk. 4.

Det bemærkes, at overtrædelse af ovenstående vilkår er strafbelagt efter persondatalovens § 27, stk. 4, jf. § 70, stk. 1, nr. 5.

Datatilsynet skal i øvrigt for god ordens skyld understrege, at tilsynet i sit løbende tilsynsarbejde har ret til at kræve enhver oplysning, der er af betydning for dets virksomhed, herunder til afgørelse af, om et forhold falder ind under lovens bestemmelser, jf. persondatalovens § 62, stk. 1.

Datatilsynet vil orientere Europa-Kommissionen og den engelske Information Commissioners Office om tilsynets afgørelse.

Datatilsynet forventer desuden at offentliggøre dette brev på sin hjemmeside.