Overførsel til tredjelande på grundlag af bindende virksomhedsregler

Publiceret 07-02-2012
Historisk afgørelse Private virksomheder

Journalnummer: 2009-841-0057

Ved brev modtaget i Datatilsynet den 16. december 2011 har Novo Nordisk A/S anmodet Datatilsynet om tilladelse i medfør af persondatalovens § 27, stk. 4, til overførsel af personoplysninger til tredjelande.

Novo Nordisk A/S har oplyst, at tilladelse ønskes givet til, at der kan ske overførsel af personoplysninger til tredjelande i overensstemmelse med de bindende virksomhedsregler (Binding Corporate Rules - BCR) for overførsel af personoplysninger til tredjelande, som Novo Nordisk A/S har vedtaget.

Datatilsynet har ved e-mail af 13. oktober 2011 meddelt Novo Nordisk A/S, at proceduren som beskrevet i WP 107 afsluttes, idet Novo Nordisk A/S' BCR må anses for at tilsikre et tilstrækkeligt beskyttelsesniveau i forhold til direktivet og de vejledende dokumenter fra artikel 29-gruppen.

Under henvisning til ovenstående meddeler Datatilsynet hermed Novo Nordisk A/S

TILLADELSE 

 til overførsel af personoplysninger til tredjelande i medfør af persondatalovens § 27, stk. 4. Tilladelsen meddeles på følgende vilkår:

  1. Enhver overførsel og/eller senere behandling af personoplysninger omfattet af de bindende virksomhedsregler må udelukkende finde sted i overensstemmelse med disse.
  2. Enhver væsentlig ændring af de bindende virksomhedsregler skal meddeles Datatilsynet med henblik på forudgående godkendelse i medfør af persondatalovens § 27, stk. 4.

Det bemærkes, at overtrædelse af ovenstående vilkår er strafbelagt efter persondatalovens § 27, stk. 4, jf. § 70, stk. 1, nr. 5.

Datatilsynet skal samtidig særligt henlede opmærksomheden på bestemmelsen i § 27, stk. 5, hvoraf fremgår, at reglerne i persondataloven i øvrigt finder anvendelse ved overførsel af oplysninger til tredjelande efter bl.a. § 27, stk. 4.

Det betyder bl.a., at hvis der er tale om videregivelse, eksempelvis til et andet selskab inden for samme koncern, skal der være hjemmel hertil i behandlingsreglerne i kapitel 4, samt at reglerne om behandlingssikkerhed, skriftlig instruks mv., jf. kapitel 11, skal iagttages ved overladelse af oplysninger til en databehandler.

Datatilsynet skal i øvrigt for god ordens skyld understrege, at tilsynet i sit løbende tilsynsarbejde har ret til at kræve enhver oplysning, der er af betydning for dets virksomhed, herunder til afgørelse af, om et forhold falder ind under lovens bestemmelser, jf. persondatalovens § 62, stk. 1. 

Datatilsynet vil orientere Europa-Kommissionen om tilsynets afgørelse.

Datatilsynet forventer desuden at offentliggøre dette brev på tilsynets hjemmeside.