Overførsel til tredjelande på grundlag af bindende virksomhedsregler

Publiceret 28-03-2011
Historisk afgørelse Private virksomheder

Journalnummer: 2007-841-0007

Ved e-post af 29. juli 2010 har Accenture A/S anmodet Datatilsynet om tilladelse i medfør af persondatalovens  § 27, stk. 4, til overførsel af personoplysninger til tredjelande.

Accenture A/S har oplyst, at tilladelse ønskes givet til, at der kan ske overførsel af personoplysninger til tredjelande i overensstemmelse med de bindende virksomhedsregler (Binding Corporate Rules - BCR) for overførsel af personoplysninger til tredjelande, som Accenture A/S har vedtaget.

Det engelske datatilsyn, The Information Commissioner’s Office – ICO, har ved e-post af 23. april 2009 meddelt Datatilsynet, at proceduren beskrevet i WP 107 afsluttes, idet Accenture A/S’ BCR må anses for at tilsikre et tilstrækkeligt beskyttelsesniveau i forhold til direktivet og de vejledende dokumenter fra artikel 29-gruppen.

Under henvisning til ovenstående meddeler Datatilsynet hermed Accenture A/S

TILLADELSE

til overførsel af personoplysninger til tredjelande i medfør af persondatalovens § 27, stk. 4. Tilladelsen meddeles på følgende vilkår:

1. Enhver overførsel og/eller senere behandling af personoplysninger omfattet af de bindende virksomhedsregler må udelukkende finde sted i overensstemmelse med disse.

2. Enhver væsentlig ændring af de bindende virksomhedsregler skal meddeles Datatilsynet med henblik på forudgående godkendelse i medfør af persondatalovens § 27, stk. 4.

Det bemærkes, at overtrædelse af ovenstående vilkår er strafbelagt efter persondatalovens § 27, stk. 4, jf. § 70, stk. 1, nr. 5. 
Datatilsynet skal samtidig særligt henlede opmærksomheden på bestemmelsen i § 27, stk. 5, hvoraf fremgår, at reglerne i persondataloven i øvrigt finder anvendelse ved overførsel af oplysninger til tredjelande efter bl.a. § 27, stk. 4.

Det betyder bl.a., at hvis der er tale om videregivelse, eksempelvis til et andet selskab inden for samme koncern, skal der være hjemmel hertil i behandlingsreglerne i kapitel 4, samt at reglerne om behandlingssikkerhed, skriftlig instruks mv., jf. kapitel 11, skal iagttages ved overladelse af oplysninger til en databehandler.

Datatilsynet skal i øvrigt for god ordens skyld understrege, at tilsynet i sit løbende tilsynsarbejde har ret til at kræve enhver oplysning, der er af betydning for dets virksomhed, herunder til afgørelse af, om et forhold falder ind under lovens bestemmelser, jf. persondatalovens § 62, stk. 1.

Datatilsynet vil orientere Europa-Kommissionen om tilsynets afgørelse.

Datatilsynet forventer desuden at offentliggøre dette brev på sin hjemmeside.