Når danske virksomheder eller offentlige myndigheder overfører personoplysninger til lande uden for EU/EØS – såkaldte tredjelande – stilles der særlige krav i GDPR. Formålet er at sikre, at personoplysningerne fortsat er beskyttet på et højt niveau, når de krydser grænser.
I denne artikel får du et overblik over, hvordan du vurderer, om tredjelandereglerne gælder for dig, hvilke overførselsmuligheder der findes, og hvilke krav du skal opfylde for at overholde GDPR.
Er der tale om en overførsel, og til hvilket land?
Det er en overførsel, når en dataansvarlig eller databehandler i EU/EØS videregiver eller stiller personoplysninger til rådighed for en modtager i et tredjeland. Inden du overfører personoplysninger til et tredjeland, skal du undersøge, om modtager er i et sikkert tredjeland eller usikkert tredjeland. Du skal samtidig sikre dig, at de øvrige bestemmelser i databeskyttelsesforordningen er overholdt.
Eksempel 2
Outsourcing af IT-support
Et dansk teleselskab ønsker at benytte en virksomhed i Indien til IT-support, hvilket vil indebære behandling af personoplysninger. De indiske medarbejdere har ikke teknisk adgang til at lagre eller printe personoplysningerne hos den danske virksomhed, men har alene via en fjernadgang mulighed for at se oplysningerne, når de yder ITsupport. Oplysningerne forlader således ikke EU/EØS.
Der er imidlertid tale om en overførsel til et tredjeland, fordi oplysningerne, som behandles af det danske teleselskab (dataeksportøren) gøres tilgængelige for supportmedarbejderne i virksomheden i Indien (dataimportøren). Det gør ingen forskel, at de indiske medarbejdere ikke forstår dansk, eller at de instrueres i ikke at søge i personoplysningerne.
Eksempel 6
Brug af chat- og kundeservicefunktion
En møbelvirksomhed i Danmark gør brug af en IT-løsning bestående af en chat- og kundeservicefunktion, som gør det muligt for møbelvirksomheden at hjælpe kunder med spørgsmål om produkter mv. i virksomhedens webshop. Kommunikationen vil
typisk inkludere personoplysninger i form af kundernes e-mailadresser, navne og historik i forhold til eventuelle tidligere henvendelser.
IT-løsningen er cloud-baseret og bliver udbudt af en leverandør, som er etableret i
USA. Når løsningen benyttes, lagres al kommunikation mellem møbelvirksomheden
og kunderne, herunder deres personoplysninger, på cloud-leverandørens servere i
USA. Når kunderne benytter chat- og kundeservicefunktionen hos den danske møbelvirksomhed (dataeksportøren), sker der således en overførsel af deres personoplysninger, idet oplysningerne lagres hos – og dermed stilles til rådighed for – cloudleverandøren (dataimportøren) i USA.
Forskellen på sikre og usikre tredjelande
Sikre tredjelande
EU-Kommissionen har vurderet, at visse lande yder beskyttelse svarende til EU’s beskyttelsesniveau. Det sker ved at EU-kommissionen udsteder en tilstrækkelighedsafgørelse. Tilstrækkelighedsafgørelsen kan være begrænset til at vedrøre et bestemt område eller én eller flere sektorer i det pågældende tredjeland. Du skal derfor undersøge, hvilke områder der er dækket af tilstrækkelighedsafgørelsen. Du kan se listen over sikre tredjelande her.
Usikre tredjelande:
Skal du overføre data til et usikkert tredjeland, er du som virksomhed ansvarlig for selv at sikre de nødvendige garantier. Det er gør du ved at bruge et overførselsgrundlag, der sikrer beskyttelse svarende til EU’s beskyttelsesniveau.
Hvilke overførselsgrundlag kan jeg bruge til usikre tredjelande?
Ved overførsel af personoplysninger til usikre tredjelande skal overførslen baseres på et lovligt overførselsgrundlag i henhold til GDPR kapitel V.
Her er de mest brugte overførselsgrundlag:
Standardbestemmelser (SCC) – EU-kommissionens godkendte skabeloner til overførsel af personoplysninger. Hurtige at implementere, men kræver ofte supplerende tekniske og organisatoriske sikkerhedsforanstaltninger for at opfylde GDPR’s krav.
Ad hoc-kontrakter – skræddersyede aftaler, der tilpasses den konkrete overførsel. Kræver forhåndsgodkendelse fra Datatilsynet, som i den forbindelse indhenter en udtalelse fra Det Europæiske Databeskyttelsesråd (EDPB). Processen kan derfor være tidskrævende.
Administrative ordninger – f.eks. samarbejdsaftaler mellem myndigheder, der sikrer rettigheder for de registrerede og kræver Datatilsynets godkendelse.
Bindende virksomhedsregler (BCR) – interne regler for koncerner, som gør det muligt at overføre oplysninger på tværs af lande. Godkendelsesprocessen er langvarig, men ordningen er praktisk ved mange og regelmæssige overførsler. Særligt velegnet til store, internationale virksomheder.
Retligt bindende instrumenter – f.eks. internationale aftaler eller traktater mellem offentlige myndigheder, der er retligt bindende og kan håndhæves i tredjelandet. Kræver ikke Datatilsynets godkendelse, hvis de allerede er retligt bindende.
Adfærdskodekser og certificeringsmekanismer – endnu ikke godkendt, men på sigt kan de blive en lettilgængelig mulighed, især for små og mellemstore virksomheder (SMV’er).
Supplerende krav og risikovurdering
Selv hvis du anvender standardkontraktbestemmelser (SCC’er) eller et andet lovligt overførselsgrundlag, kan det være nødvendigt at iværksætte yderligere foranstaltninger.
Før overførslen skal du derfor vurdere, om behandlingen af personoplysningerne i modtagerlandet i praksis opfylder EU’s databeskyttelsesniveau.
Hvis modtagerlandets lovgivning eller myndighedspraksis ikke giver et tilsvarende beskyttelsesniveau, skal du supplere med passende tekniske, organisatoriske eller kontraktuelle foranstaltninger.
For at vurdere behovet bør du derfor:
- Gennemføre en Transfer Impact Assessment (TIA) → kortlæg og vurder juridiske og praktiske risici i modtagerlandet.
- Inddrage dataimportøren og relevante branchekilder – f.eks. Center for Cybersikkerhed, brancheforeninger mv.
- Dokumentere vurderingen og foranstaltningerne samt løbende genvurdere forholdene i tredjelandet.
Oplysningspligt overfor registrerede
Når du overfører data til tredjelande, har du skærpede oplysningspligter. Du skal altid informere dem, hvis deres personoplysninger overføres til tredjelande:
- Sikkert land: Oplys, at overførslen sker på baggrund af en tilstrækkelighedsafgørelse.
- Usikkert land: Beskriv overførselsgrundlaget (fx SCC) og forklar, hvordan de kan få adgang til eller indsigt i aftalen.
- Undtagelser: Forklar det konkrete grundlag for overførslen, og vær opmærksom på, at undtagelser kun må anvendes i særlige, enkeltstående situationer – ikke til regelmæssige eller masseoverførsler.
Konklusion og gode råd
- Afklar, om overførslen er omfattet af GDPR’s regler for tredjelande – og hvilket overførselsgrundlag der kan anvendes.
- Gennemfør en grundig Transfer Impact Assessment (TIA) og iværksæt supplerende tekniske, organisatoriske eller kontraktuelle foranstaltninger, hvis det er nødvendigt.
- Vær transparent over for de registrerede og opfyld dine oplysningspligter klart, fyldestgørende og let tilgængeligt.
Skal din artikel også udgives via Jurainfo og udsendes direkte, via e-mail, til personer og virksomheder som specifikt efterspørger viden og kompetencer inden for dit område? Ansøg om en profil her.
