Tredjelandsoverførsler

Her på siden kan du læse om overførsel af personoplysninger til lande eller internationale organisationer uden for EU.

Tredjelandsoverførsler

Overførsel af personoplysninger til lande eller internationale organisationer uden for EU/EØS.

Hvis en virksomhed eller myndighed ønsker at overføre personoplysninger til lande uden for EU/EØS – såkaldte "tredjelande" – eller internationale organisationer, skal de særlige regler i databeskyttelsesforordningens kapitel V iagttages. Formålet er at sikre, at beskyttelsesniveauet under forordningen ikke undermineres, når oplysninger overføres til lande eller organisationer uden for EU/EØS.

Forordningens kapitel V er eksempelvis relevant, hvis en virksomhed ønsker at benytte en virksomhed uden for EU/EØS til at drifte IT-systemer eller håndtere kundeservice, eller hvis en myndighed - som følge af en aftale med et tredjeland - er forpligtet til at overføre skatteoplysninger, sundhedsoplysninger mv. til en myndighed i det pågældende tredjeland.

Nedenfor finder du en oversigt over de forskellige grundlag for overførsel af personoplysninger til tredjelande, som kan komme på tale:

Sikre tredjelande/organisationer

Når man som virksomhed eller offentlig myndighed vil overføre personoplysninger til tredjelande eller internationale organisationer, er det en god ide som det første at undersøge, om EU-Kommissionen har godkendt det pågældende tredjeland som "sikkert" ved en såkaldt tilstrækkelighedsafgørelse. Er det tilfældet, kan der overføres personoplysninger til landet eller organisationen på samme måde som inden for EU/EØS, forudsat at forordningens øvrige bestemmelser overholdes.

Følgende lande er p.t. godkendt af EU-Kommissionen som sikre tredjelande:

Andorra
Argentina
Færøerne*
Guernsey
Isle of Man
Israel
Jersey
New Zealand
Schweiz
Storbritannien
Sydkorea
Uruguay

Følgende områder og sektorer i tredjelande er godkendt som sikre:

Canada: Modtagere omfattet af den canadiske Personal Information Protection and Electronic Documents Act (PIPEDA)
Japan: Modtagere omfattet af den japanske Act on the Protection of Personal Information (APPI)
USA: Modtagere certificeret under EU-U.S. Data Privacy Framework

Følgende internationale organisation er godkendt som sikker:

Den Europæiske Patentorganisation

Du skal være opmærksom på, at tilstrækkelighedsafgørelser kan indeholde undtagelser på specifikke områder.

Du skal også være opmærksom på, at EU-Kommissionen løbende evaluerer sine tilstrækkelighedsafgørelser for at sikre, at beskyttelsesniveauet stadig er tilstrækkeligt. Du bør derfor jævnligt kontrollere, om en specifik tilstrækkelighedsafgørelse fortsat er gældende. Dette vil fremgå af EU-Kommissionens hjemmeside om tilstrækkelighedsafgørelser.

Læs mere om sikre tredjelande i vejledningen om overførsel af personoplysninger til tredjelande og om proceduren for EU-Kommissionens vedtagelse af tilstrækkelighedsafgørelser i Artikel 29-gruppens arbejdsdokument om tilstrækkeligt databeskyttelsesniveau i et tredjeland (WP254).

*Rigsmyndighederne på Færøerne (f.eks. politiet, kriminalforsorgen og rigsombudsmanden) er ikke omfattet af tilstrækkelighedsafgørelsen. Du skal derfor have et overførselsgrundlag i databeskyttelsesforordningens artikel 46 eller kunne identificere en relevant undtagelse i artikel 49, hvis du vil overføre personoplysninger til disse myndigheder.

Retligt bindende instrumenter og bestemmelser i administrative ordninger

Overførsel af personlysninger mellem offentlige myndigheder eller organer kræver ikke godkendelse fra Datatilsynet, hvis overførslen sker på baggrund af en international aftale eller andet retligt bindende instrument.

Hvis overførslen sker på baggrund af bestemmelser i en administrativ ordning mellem offentlige myndigheder, skal Datatilsynet godkende bestemmelserne, og der skal indhentes en udtalelse fra Det Europæiske Databeskyttelsesråd.

Som et klassisk eksempel på en retligt bindende international aftale kan nævnes en dobbeltbeskatningsaftale mellem skattemyndighederne i en medlemsstat og skattemyndighederne i USA om udveksling af borgeres skatteoplysninger.

Du kan læse mere om muligheden for at overføre personlysninger mellem offentlige myndigheder eller organer i vejledningen om overførsel af personoplysninger til tredjelande her .

Se også EDPB’s Retningslinjer 2/2020 om artikel 46, stk. 2, litra a), og artikel 46, stk. 3, litra b), i forordning (EF) nr. 2016/679 om overførsel af personoplysninger mellem myndigheder i EØS og offentlige myndigheder og organer uden for EØS.

Bindende virksomhedsregler (BCR)

Bindende virksomhedsregler – også kaldet BCR (Binding Corporate Rules) – er et sæt regler om beskyttelse af personoplysninger, som en virksomhed etableret i EU kan anvende som grundlag for overførsel af personoplysninger til andre dele af koncernen eller andre virksomheder i en gruppe af foretagender, der udøver en fælles økonomisk aktivitet.

Bindende virksomhedsregler skal godkendes af den kompetente tilsynsmyndighed (som normalt vil være tilsynsmyndigheden i den medlemsstat, hvor koncernens hovedvirksomhed ligger) i samarbejde med de øvrige datatilsyn i EU/EØS. Der er mange faktorer, der har betydning for, hvor lang tid godkendelsesproceduren tager, men det er ikke unormalt, at det tager omkring 1½ år.

Læs mere om processen i EDPB's samarbejdsprocedure for godkendelse af bindende virksomhedsregler for dataansvarlige og databehandlere samt generelt om anvendelsen af bindende virksomhedsregler i Datatilsynets vejledning om overførsel til tredjelande.

Sådan ansøger din virksomhed

For at kunne behandle en anmodning om godkendelse af bindende virksomhedsregler, har Datatilsynet brug for følgende:

Hvis virksomheden er dataansvarlig:

Udfyldt ansøgningsskema samt hjælpeskema med de elementer og principper, der skal være indeholdt i et sæt bindende virksomhedsregler for dataansvarlige (EDPB’s Anbefalinger 1/2022)
De bindende virksomhedsregler samt interne retningslinjer mv. der demonstrerer, at de bindende virksomhedsregler efterleves

Hvis virksomheden er databehandler:

Udfyldt standard ansøgningsskema hvor virksomheden er databehandler (WP 265)
Udfyldt standard hjælpeskema hvor virksomheden er databehandler (WP 257) med de elementer og principper, der skal være indeholdt i et sæt bindende virksomhedsregler:
De bindende virksomhedsregler samt interne retningslinjer mv. der demonstrerer, at de bindende virksomhedsregler efterleves

Læs mere om ansøgningsproceduren i EDPB's samarbejdsprocedure for godkendelse af bindende virksomhedsregler for dataansvarlige og databehandlere.

Hvis du har spørgsmål til udfyldelsen af skemaerne, er du altid velkommen til at kontakte Datatilsynet.

Trin i BCR-proceduren

Før en BCR-ansøgning kan godkendes, skal den igennem en række trin, der tilsammen udgør BCR-proceduren. For at give en indikation af, hvad sagsbehandlingstiden er på at få en BCR-ansøgning godkendt, får du med oversigten herunder et overblik over de forskellige trin i denne procedure. For hvert trin er angivet den tilstræbte sagsbehandlingstid hos Datatilsynet og Det Europæiske Databeskyttelsesråd. Hertil skal selvfølgelig lægges den tid, hvor Datatilsynet undervejs i processen afventer tilbagemeldinger fra ansøger.

1	Datatilsynet modtager en ansøgning om godkendelse af BCR
2	Datatilsynet vurderer, om tilsynet mener at være ledende tilsynsmyndighed (2 ugers sagsbehandlingstid) Datatilsynet hører de berørte tilsynsmyndigheder, om de har nogen indvendinger imod, at tilsynet er ledende tilsynsmyndighed (svarfrist for berørte tilsyn er normalt 2 uger) Datatilsynet informerer ansøgeren om udfaldet
3	Datatilsynet foretager første gennemgang af BCR-ansøgningen (4 ugers sagsbehandlingstid) og sender brev med bemærkninger til ansøgeren eller dennes advokat Datatilsynet afventer herefter den tilrettede ansøgning fra ansøger Datatilsynet foretager anden gennemgang af den nu opdaterede BCR-ansøgning (3 ugers sagsbehandlingstid). Såfremt der er flere bemærkninger, sendes et brev med bemærkninger på ny til ansøgeren eller dennes advokat Datatilsynet afventer herefter igen den tilrettede ansøgning fra ansøger Eventuelt flere gennemgange (2 ugers sagsbehandlingstid pr. gennemgang) indtil Datatilsynet finder, at tilsynets bemærkninger er imødekommet
4	Udpegning af en til to co-reviewers (datatilsyn fra berørte medlemsstater). Datatilsynet hører ansøgeren om eventuelle ønsker til co-reviewers og tager så vidt muligt hensyn hertil Datatilsynet tager kontakt til potentielle co-reviewers så tidligt som muligt i forløbet, typisk sideløbende med punkt 3
5	Datatilsynet sender BCR-ansøgningen til co-reviewers, der normalt har en måned til at gennemgå denne og komme med eventuelle bemærkninger, som Datatilsynet videreformidler til ansøgeren eller dennes advokat Datatilsynet afventer herefter at modtage den tilrettede ansøgning fra ansøger, hvorefter den videreformidles til co-reviewers Eventuelt flere gennemgange indtil co-reviewers finder, at deres bemærkninger er imødekommet
6	En konsolideret version af BCR-ansøgningen sendes til alle berørte tilsynsmyndigheder. I praksis cirkuleres ansøgningen i International Transfers arbejdsgruppen under Det Europæiske Databeskyttelsesråd. Fristen for eventuelle bemærkninger er en måned. Eventuelle bemærkninger videreformidles af Datatilsynet til ansøger eller dennes advokat Datatilsynet afventer, hvor relevant, en tilrettet ansøgning fra ansøger Efter omstændighederne gentages denne proces, indtil alle tilsynsmyndigheder finder, at deres bemærkninger er imødekommet
7	Der foreligger herefter en endelig BCR-ansøgning Datatilsynet anmoder om udtalelse fra Det Europæiske Databeskyttelsesråd vedrørende Datatilsynets udkast til afgørelse om godkendelse af de pågældende BCR (2 ugers sagsbehandlingstid)
8	Det Europæiske Databeskyttelsesråd vedtager sin udtalelse inden for normalt 8 og maksimalt 14 uger, jf. forordningens artikel 64, stk. 3
9	Hvis udtalelsen fra Det Europæiske Databeskyttelsesråd er positiv, godkender Datatilsynet de pågældende BCR (2 ugers sagsbehandlingstid) Er udtalelsen negativ, kan det være nødvendigt at foretage nogle sidste ændringer i ansøgningen, før denne kan godkendes. Længden af denne proces afhænger helt af den konkrete situation

Adfærdskodekser og certificeringsmekanismer

Godkendte adfærdskodekser og certificeringsmekanismer kan anvendes som overførselsgrundlag, hvis den dataansvarlige eller databehandleren i tredjelandet, som man påtænker at overføre til, har tilsluttet sig.

Du kan læse mere om overførsler ved brug af godkendte adfærdskodekser og certificeringsmekanismer i vejledningen om overførsel af personoplysninger til tredjelande.

Se også EDPB’s Retningslinjer 04/2021 om adfærdskodekser som redskab til overførsler og Retningslinjer 07/2022 om certificering som et redskab til overførsler.

Bemærk dog, at der på nuværende tidspunkt (september 2025) endnu ikke er godkendt adfærdskodekser eller certificeringsmekanismer til brug for overførsler.

Standardkontrakter

Standardkontrakter kan anvendes som overførselsgrundlag, hvis de er vedtaget af Europa-Kommissionen alene eller godkendt af en tilsynsmyndighed og efterfølgende vedtaget af Europa-Kommissionen.

Standardbestemmelser vedtaget af Europa-Kommissionen

De gældende standardbestemmelser til brug for overførsel af personoplysninger til tredjelande blev vedtaget af Europa-Kommissionen den 4. juni 2021. Standardbestemmelserne består af flere særskilte moduler, som skal anvendes alt efter hvilken overførselssituation, man befinder sig i.

Det er muligt at benytte standardbestemmelserne i følgende fire overførselssituationer:

Overførsel af personoplysninger fra en dataansvarlig inden for EØS til en dataansvarlig uden for EØS
Overførsel af personoplysninger fra en dataansvarlig inden for EØS til en databehandler uden for EØS
Overførsel af personoplysninger fra en databehandler inden for EØS til en (under-)databehandler uden for EØS
Overførsel af personoplysninger fra en databehandler inden for EØS til en dataansvarlig uden for EØS

Du kan finde Europa-Kommissionens standardbestemmelser på dansk her og på engelsk her

Find også en Word-version på siden her under "Standard Contractual Clauses for the transfer of personal data outside the EU/EEA".

Når du benytter standardbestemmelserne skal du sikre dig, at kontrakterne er korrekt indgået, samt at din virksomhed eller myndighed i øvrigt kan leve op til de forpligtelser, som kontrakterne indeholder.

Læs mere om muligheden for at anvende standardkontrakter som overførselsgrundlag i Datatilsynets vejledning om overførsel af personoplysninger til tredjelande samt i Europa-Kommissionens FAQ om standardkontrakterne.

Ad hoc-kontrakter

Ad hoc-kontrakter er kontrakter, der typisk tager udgangspunkt i EU-Kommissionens standardkontrakter, men som samtidig er sprogligt og formmæssigt tilpasset den enkelte virksomheds eller myndigheds behov.

Anvendelse af ad hoc-kontrakter som overførselsgrundlag forudsætter, at kontrakten er godkendt af Datatilsynet efter forelæggelse for Det Europæiske Databeskyttelsesråd.

Du kan læse mere om muligheden for at anvende ad hoc-kontrakter som overførselsgrundlag i vejledning om overførsel til tredjelande og i Artikel 29-gruppens arbejdsdokument om ad hoc-kontrakter (WP 214).

Særlige undtagelser

Overførsel af personoplysninger kan - i mangel af en tilstrækkelighedsafgørelse eller et overførselsgrundlag i artikel 46 - undtagelsesvist finde sted i følgende situationer:

Der er indhentet et udtrykkeligt samtykke
Overførslen er nødvendig af hensyn til indgåelse eller opfyldelse af en kontrakt mellem den dataansvarlige og den registrerede
Overførslen er nødvendig af hensyn til indgåelse eller opfyldelse af en kontrakt mellem den dataansvarlige og en anden fysisk eller juridisk person
Overførslen er nødvendig af hensyn til vigtige samfundsinteresser
Overførslen er nødvendig for, at et retskrav kan fastlægges, gøres gældende eller forsvares
Overførslen er nødvendig for at beskytte den registreredes eller andres vitale interesser, og den registrerede ikke er fysisk eller juridisk i stand til at give samtykke
Overførslen sker fra særlige registre, der er beregnet til at informere offentligheden

Eller

Overførslen er nødvendig ud fra den dataansvarliges vægtige legitime interesser, hvor ingen andre overførselsgrundlag eller undtagelser kan finde anvendelse og en række betingelser er opfyldt

Du skal være særligt opmærksom på, at undtagelserne skal fortolkes restriktivt og kun kan benyttes i begrænset omfang. Eksempelvis kan ikke alle undtagelser anvendes ved gentagne eller systematiske overførsler, ligesom ikke alle undtagelser kan anvendes af offentlige myndigheder.

Læs mere om de særlige undtagelser i vejledning om overførsel af personoplysninger til tredjelande her.

Se også EDPB’s Retningslinjer 2/2018 vedrørende undtagelser i artikel 49 i forordning 2016/679.

Overførsel af personoplysninger til tredjelande