Lettere at overføre personoplysninger til tredjelande
Lovforslag: Fra årsskiftet kan almindelige personoplysninger overføres til tredjelande uden Datatilsynets tilladelse, hvis man på en særlig blanket erklærer at man bruger en aftale, der stemmer overens med Europa-Kommissionens standardkontraktbestemmelser.
Det er i dag kun tilladt for virksomheder at overføre almindelige ikke-følsomme personoplysninger, som for eksempel navn og almindeligt offentligt kendte oplysninger, til såkaldte tredjelande, hvis de opfylder en række krav. Datatilsynet kan dog give tilladelse til en overførsel, selvom kravene ikke er opfyldt, hvis den dataansvarlige garanterer, at de registrerede personers rettigheder er beskyttet tilstrækkeligt.
Bliver lovforslaget vedtaget, er det fra nytår muligt at overføre ikke-følsomme personoplysninger uden først at få Datatilsynets særlige tilladelse. En ændring i persondataloven indebærer nemlig, at virksomheder kan overføre personoplysninger, når blot de benytter en aftale, der stemmer overens med Kommissionens standardkontraktbestemmelser.
Datatilsynet kan dog stadig i særlige tilfælde forbyde eller suspendere en overførsel for at beskytte de registreredes rettigheder.
Sådan er reglerne i dag
Persondatalovens bestemmelse omfatter både videregivelse af personoplysninger til andre dataansvarlige, overladelse til en databehandler og intern brug af personoplysninger.
- Dataansvarlig er den, der afgør, hvordan og hvorfor visse oplysninger skal videregives og faktisk sørger for at det sker. Det kan fx være en lokal HR-enhed, der videregiver personoplysninger til brug ved lønudbetaling.
- Databehandler er den, der behandler oplysningerne for den dataansvarlige. Det kan fx være en ekstern part, der står for det rent praktiske ved udbetaling af løn.
Både dataansvarlige og – behandlere kan være såvel personer, offentlige myndigheder som andre slags organer.
Udgangspunktet er, at overførsel af oplysninger til tredjelande kun er tilladt, hvis tredjelandet sikrer et tilstrækkeligt beskyttelsesniveau. Det fremgår af Kommissionens hjemmeside hvilke tredjelande, der lever op til dette krav. Ved ”tredjeland” forstås de lande, der ikke er medlemmer af EU, og som ikke i kraft af aftale har status af EØS-land. Det vil sige, at hverken Norge eller Island er et tredjeland. Det er USA derimod, til manges overraskelse.
I USA har myndighederne indført en særlig ordning; Safe Harbor-ordningen. Virksomheder, der har tilsluttet sig ordningen, anses som virksomheder i sikre tredjelande. Listen over de tilmeldte virksomheder findes på det amerikanske handelsministeriums hjemmeside.
Der findes visse undtagelser til kravet om det krævede ”tilstrækkelige beskyttelsesniveau” ved overførsel af personoplysninger til et tredjeland. Det kan fx overføres oplysninger til et ikke sikkert tredjeland hvis den registrerede person har givet samtykke. Derudover kan Datatilsynet altså give tilladelse til overførsel af oplysninger, selvom de nævnte betingelser ikke er opfyldt.
Datatilsynets tilladelse er betinget af, at den dataansvarlige giver de fornødne garantier for beskyttelsen af de registreredes rettigheder. Kommissionen har udstedt standardkontraktbestemmelser, der opfylder dette garantikrav.
IUNO mener
Lovændringen gælder kun overførsler af almindelige personoplysninger. Datatilsynets skal fortsat give tilladelse, når der overføres følsomme personoplysninger til tredjelande, for eksempel oplysninger om race, helbredsforhold, fagforeningsmæssigt tilhørsforhold mv.
IUNO anbefaler derfor, at multinationale virksomheder er yderst opmærksomme på, om der er tale om personoplysninger af almindelig eller følsom karakter.
Multinationale selskaber med hovedsæde eller HR-afdeling i et tredjeland, skal fortsat have Datatilsynets tilladelse, når de overfører og behandler følsomme personoplysninger til tredjelandet.
Ændringen i persondataloven har derfor ikke betydning for internationale selskabers whistleblower-systemer og globale HR-systemer, der netop typisk behandler følsomme personoplysninger.
Læs mere om reglerne for de multinationale whistleblower-systemer i nyhedsbrevet fra uge 34.
[LFF2012-2013.1.15: Ændring af lov om behandling af personoplysninger mv.]
Det er i dag kun tilladt for virksomheder at overføre almindelige ikke-følsomme personoplysninger, som for eksempel navn og almindeligt offentligt kendte oplysninger, til såkaldte tredjelande, hvis de opfylder en række krav. Datatilsynet kan dog give tilladelse til en overførsel, selvom kravene ikke er opfyldt, hvis den dataansvarlige garanterer, at de registrerede personers rettigheder er beskyttet tilstrækkeligt.
Bliver lovforslaget vedtaget, er det fra nytår muligt at overføre ikke-følsomme personoplysninger uden først at få Datatilsynets særlige tilladelse. En ændring i persondataloven indebærer nemlig, at virksomheder kan overføre personoplysninger, når blot de benytter en aftale, der stemmer overens med Kommissionens standardkontraktbestemmelser.
Datatilsynet kan dog stadig i særlige tilfælde forbyde eller suspendere en overførsel for at beskytte de registreredes rettigheder.
Sådan er reglerne i dag
Persondatalovens bestemmelse omfatter både videregivelse af personoplysninger til andre dataansvarlige, overladelse til en databehandler og intern brug af personoplysninger.
- Dataansvarlig er den, der afgør, hvordan og hvorfor visse oplysninger skal videregives og faktisk sørger for at det sker. Det kan fx være en lokal HR-enhed, der videregiver personoplysninger til brug ved lønudbetaling.
- Databehandler er den, der behandler oplysningerne for den dataansvarlige. Det kan fx være en ekstern part, der står for det rent praktiske ved udbetaling af løn.
Både dataansvarlige og – behandlere kan være såvel personer, offentlige myndigheder som andre slags organer.
Udgangspunktet er, at overførsel af oplysninger til tredjelande kun er tilladt, hvis tredjelandet sikrer et tilstrækkeligt beskyttelsesniveau. Det fremgår af Kommissionens hjemmeside hvilke tredjelande, der lever op til dette krav. Ved ”tredjeland” forstås de lande, der ikke er medlemmer af EU, og som ikke i kraft af aftale har status af EØS-land. Det vil sige, at hverken Norge eller Island er et tredjeland. Det er USA derimod, til manges overraskelse.
I USA har myndighederne indført en særlig ordning; Safe Harbor-ordningen. Virksomheder, der har tilsluttet sig ordningen, anses som virksomheder i sikre tredjelande. Listen over de tilmeldte virksomheder findes på det amerikanske handelsministeriums hjemmeside.
Der findes visse undtagelser til kravet om det krævede ”tilstrækkelige beskyttelsesniveau” ved overførsel af personoplysninger til et tredjeland. Det kan fx overføres oplysninger til et ikke sikkert tredjeland hvis den registrerede person har givet samtykke. Derudover kan Datatilsynet altså give tilladelse til overførsel af oplysninger, selvom de nævnte betingelser ikke er opfyldt.
Datatilsynets tilladelse er betinget af, at den dataansvarlige giver de fornødne garantier for beskyttelsen af de registreredes rettigheder. Kommissionen har udstedt standardkontraktbestemmelser, der opfylder dette garantikrav.
IUNO mener
Lovændringen gælder kun overførsler af almindelige personoplysninger. Datatilsynets skal fortsat give tilladelse, når der overføres følsomme personoplysninger til tredjelande, for eksempel oplysninger om race, helbredsforhold, fagforeningsmæssigt tilhørsforhold mv.
IUNO anbefaler derfor, at multinationale virksomheder er yderst opmærksomme på, om der er tale om personoplysninger af almindelig eller følsom karakter.
Multinationale selskaber med hovedsæde eller HR-afdeling i et tredjeland, skal fortsat have Datatilsynets tilladelse, når de overfører og behandler følsomme personoplysninger til tredjelandet.
Ændringen i persondataloven har derfor ikke betydning for internationale selskabers whistleblower-systemer og globale HR-systemer, der netop typisk behandler følsomme personoplysninger.
Læs mere om reglerne for de multinationale whistleblower-systemer i nyhedsbrevet fra uge 34.
[LFF2012-2013.1.15: Ændring af lov om behandling af personoplysninger mv.]
Modtag vores nyhedsbrev
Anders
Etgen Reitz
PartnerLignende
Flere medarbejdere indberetter psykisk arbejdsmiljø til Datatilsynet
