Sidens indhold

Svar

I vores globaliserede verden overføres der store mængder af personoplysninger over grænserne, og nogle gange lagres de på servere i flere forskellige lande. Den beskyttelse, som den generelle forordning om databeskyttelse tilbyder, følger oplysningerne, hvilket betyder, at de regler, der beskytter personoplysninger, fortsat gælder, uanset hvor oplysningerne ender. Dette gælder også, når oplysningerne overføres til et land uden for EU ("tredjeland").

Den generelle forordning om databeskyttelse (GDPR) indeholder forskellige redskaber vedrørende dataoverførsler fra EU til et land uden for EU:

  • Nogle gange angives det, at et tredjeland tilbyder et tilstrækkeligt beskyttelsesniveau gennem en afgørelse fra Europa-Kommissionen (»afgørelse om tilstrækkeligt beskyttelsesniveau«), hvilket betyder, at oplysninger kan overføres til en anden virksomhed i det pågældende tredjeland, uden at dataeksportøren skal tilvejebringe yderligere garantier eller underlægges yderligere betingelser. Med andre ord ligner overførsler til et tredjeland med »tilstrækkeligt beskyttelsesniveau« dataoverførsler inden for EU.
  • Hvis der ikke er en afgørelse om et tilstrækkeligt beskyttelsesniveau, kan en overførsel finde sted, hvis der tilvejebringes passende garantier og under den betingelse, at enkeltpersoners rettigheder kan håndhæves, og at de kan gøre brug af effektive retsmidler. Sådanne passende garantier omfatter:
    • såkaldte bindende virksomhedsregler, hvis en koncern eller en gruppe af foretagender, der udøver fælles økonomisk aktivitet, overfører personoplysninger
    • en kontrakt med modtageren af personoplysningerne, som for eksempel bruger standardkontraktbestemmelser, der er godkendt af Europa-Kommissionen
    • overholdelse af en adfærdskodeks eller certificeringsordning sammen med bindende tilsagn, som kan håndhæves, fra modtageren om at anvende passende garantier for at beskytte de overførte oplysninger.
  • Endelig, hvis det påtænkes at overføre personoplysninger til et tredjeland, som ikke er omfattet af en afgørelse om tilstrækkeligt beskyttelsesniveau, og hvis der ikke er passende garantier, kan overførslen finde sted på baggrund af en række undtagelser i særlige situationer, hvor en enkeltperson har givet udtrykkeligt samtykke til overførslen efter at have fået al nødvendig information om risiciene i forbindelse med overførslen.

Eksempel

I er en fransk virksomhed, som gerne vil udvide jeres tjenesteydelser til at omfatte Sydamerika, især Argentina, Uruguay og Brasilien. Det først skridt er at kontrollere, om disse tredjelande er omfattet af en afgørelse om tilstrækkeligt beskyttelsesniveau. I dette tilfælde er både Argentina og Uruguay erklæret tilstrækkelige. I kan overføre personoplysninger til disse to tredjelande, men hvis I skal overføre personoplysninger til Brasilien, som ikke er omfattet af en afgørelse om tilstrækkeligt beskyttelsesniveau, skal overførslerne sikres med passende garantier.

Referencer

Det Europæiske Databeskyttelsesråds nyeste retningslinjer om internationale overførsler