Indhold

Garantier ved overførsel til usikre tredjelande

Når du gennemgår og herunder kortlægger din virksomheds brug af personoplysninger, vil du kunne opleve at virksomheden overlader eller videregiver persondata til et såkaldt tredjeland dvs. et land udenfor EU/EØS. Det kan fx være, hvis du ønsker at benytte en virksomhed i et tredjeland til at drifte IT-systemer.

Overførsel – hvad menes der?

Hvis du som dataansvarlig videregiver personoplysninger til en anden dataansvarlig uden for EU, eller hvis du som dataansvarlig eller databehandler overlader en behandling af persondata til en databehandler uden for EU.

Hvad betyder ”Overførsel til usikre tredjelande”?

”Usikre tredjelande” er lande hvortil I som virksomhed kun kan overføre oplysninger, hvis der er givet fornøden garanti for databeskyttelse. Fornøden garanti kan gives ved fx at indgå en kontrakt. Fornødne garantier kan fastsættes således:

  1. Retligt bindende instrumenter (aftaler mv.) mellem offentlige myndigheder eller organer,
  2. bindende virksomhedsregler,
  3. adfærdskodeks og certificeringsmekanismer,
  4. standardbestemmelser om databeskyttelse og
  5. ad hoc-kontrakter (kræver en tilladelse fra en tilsynsmyndighed)

Hvad betyder det for dig og din virksomhed?

Skal du overføre persondata til et usikkert tredjeland, skal du som udgangspunkt sørge for at have en databehandleraftale. Der findes dog undtagelser, der gør det muligt at overføre uden en databehandleraftale. De må dog kun benyttes i begrænset omfang og må ikke benyttes ved gentagne eller masse-overførsler af persondata.

Har du behov for at overføre persondata til ”et usikkert tredjeland” skal du være opmærksom på ikke kun at have at have et grundlag for dine behandlingsaktiviteter, men også at have et grundlag for at kunne overføre oplysningerne til et tredjeland. Du finder en standardkontrakt fra EU her: https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/model-contracts-transfer-personal-data-third-countries_en

Hvis du ikke allerede har oplyst de registrerede om, at du overfører deres oplysninger til et tredjeland, så skal du gøre det. Du kan opfylde oplysningspligten ved tilføje det i privatlivspolitikken hvori du anfører til hvilket tredjeland, der overføres personoplysninger samt hvorfor.

Hvad er et tredjeland?

Et tredjeland er et land, som ikke er medlem af EU eller EØS (EØS-lande er Island, Liechtenstein og Norge). Der må gerne overføres persondata til EU og EØS-lande.

OBS. Grønland og Færøerne betragtes som tredjelande.

Her skal du huske, at lande der tidligere er blevet vurderet som sikre kan miste denne status – hvis et brexit gennemføres, bliver Storbritannien et usikkert tredjeland. Du kan holde dig ajour på http://ec.europa.eu/justice/data-protection/international-transfers/adequacy/index_en.htm

Der arbejdes løbende på at lave aftaler med lande udenfor EU.

I forordningen sondres der mellem, om en overførsel sker til såkaldt sikre eller usikre tredjelande. Der må gerne overføres persondata til sikre tredjelande.

Oversigt over sikre tredjelande

Andorra, Argentina, Færøerne, Guernsey, Isle of Man, Israel, Jersey, New Zealand, Schweiz, Uruguay.

Australien (angår kun overførsel af personoplysninger vedrørende flypassagerer - se Kommissionens hjemmeside for yderligere oplysninger).

Canada (begrænset anvendelsesområde - se Kommissionens hjemmeside for yderligere oplysninger).

Japan (alle virksomheder der er omfattet af Act on the Protection of Personal Information(APPI))

USA (overførsel af personoplysninger vedrørende flypassagerer - se Kommissionens hjemmeside for yderligere oplysninger).

USA (overførsel af personoplysninger til organisationer (typisk virksomheder), der har tilsluttet sig EU/US Privacy Shield.

Hvis du overfører persondata til en databehandler eller dataansvarlig i USA, har du mulighed for at tjekke om den amerikanske virksomhed er (selv)certificeret via Privacy Shield-ordningen.

Hvis den amerikanske virksomhed fremgår af listen, opfattes virksomheden som værende ’et sikkert tredjeland’. Selvom den amerikanske virksomhed fremgår af Privacy Shield-listen, skal du overholde GDPR og herunder have en databehandleraftale. Se: https://www.privacyshield.gov/list

Du kan få yderligere oplysninger i Datatilsynets vejledning: https://www.datatilsynet.dk/media/6564/overfoersel-til-tredjelande.pdf

PersondataSupport ApS

Sverigesvej 10
DK-8700 Horsens

CVR-nr. 38582356

PDS Norge as

Fyrstikalléen 3A
NO-0661 Oslo

Org-nr. 916517572

Kontakt - NO

(+47) 922 92 400