OVERFØRSLER TIL TREDJELANDE
Bindende virksomhedsregler
Det er almindeligt for internationale koncerner og virksomheder i tredjelande at overføre personoplysninger mellem virksomheder.
Bindende virksomhedsregler vedtaget af Europa-Kommissionen
Det kan være tilladt, hvis de udarbejder bindende virksomhedsregler for behandling af personoplysninger. Desuden kan en koncern f.eks. oprette bindende virksomhedsregler, hvis de har en økonomisk aktivitet sammen.
Bindende virksomhedsregler er et eksempel på en passende sikkerhedsforanstaltning i henhold til artikel 46, stk. 2, litra b), i GDPR. Reglerne om bindende virksomhedsregler er reguleret i artikel 47 i GDPR og i betragtning 110.
Formålet med bindende virksomhedsregler er at regulere koncernens overførsel af personoplysninger til virksomheder i dens egen koncern i et tredjeland.
Bindende virksomhedsregler skal godkendes
Bemærk, at en EU-databeskyttelsesmyndighed skal godkende de bindende virksomhedsregler, for at de er gyldige. Desuden skal databeskyttelsesmyndigheden anmode Databeskyttelsesrådet om en udtalelse. Den omfatter alle GDPR-tilsynsmyndigheder fra EU- og EØS-landene. Det er vigtigt, at virksomheden træffer passende sikkerhedsforanstaltninger for at beskytte personoplysninger, hvilket der tages hensyn til ved godkendelsen af bindende virksomhedsregler.
Yderligere oplysninger om kriterierne for godkendelse af bindende virksomhedsregler findes her.
Fordele ved bindende virksomhedsregler
- Det er både et bevis på og et billede af virksomhedens forpligtelse til at overholde databeskyttelsesreglerne.
- Virksomheden behandler personoplysninger i overensstemmelse med principperne og reglerne i GDPR.
- Alle virksomheder i koncernen er fritaget for at indgå særskilte aftaler om overførsel af personoplysninger mellem hinanden.
- Koncernen kan have en ensartet databeskyttelsespraksis i alle sine virksomheder.
Skridt til at få de bindende virksomhedsregler godkendt
1. Den ansvarlige databeskyttelsesmyndighed
Virksomheden skal foreslå og begrunde, hvilket lands tilsynsmyndighed der vil være den ledende databeskyttelsesmyndighed i sagen. Forslaget bør begrundes på grundlag af visse kriterier. Bemærk, at disse kriterier ikke udgør et formelt krav, men ikke desto mindre tages i betragtning. Det er nogle elementer, der skal tages i betragtning ved vurderingen:
Moderselskaber
Det EU- eller EØS-land, hvor moderselskabet er etableret.
Uddelegerede ansvarsområder
Det EU- eller EØS-land, hvor den virksomhed i koncernen, der er blevet gjort ansvarlig for databeskyttelse, er etableret.
Administrer ansøgningsprocedure
Hvilket EU- eller EØS-land koncernvirksomheden bedst kan forvalte ansøgningsprocessen og anvende de bindende virksomhedsregler inden for koncernen.
Beslutningstagning i forbindelse med GDPR
Det EU- eller EØS-land, hvorfra størstedelen af GDPR-beslutningstagningen stammer.
Overførselsland
Hvilket land inden for EU eller EØS, hvorfra personoplysninger vil blive overført til det pågældende tredjeland.
2. Send ansøgning
Udfyld ansøgningsskemaet og send det til den ansvarlige databeskyttelsesmyndighed. Desuden kan det være nyttigt at indsende en liste over de virksomheder i koncernen, som de bindende virksomhedsregler skal finde anvendelse på, for at lette Datatilsynets behandling af sagen.
Bemærk, at virksomhederne skal indsende to særskilte ansøgningsskemaer, hvis de bindende virksomhedsregler gælder for både dataansvarlige og databehandlere.
3. Den ledende databeskyttelsesmyndigheds vurdering
Blot fordi en virksomhed anser en databeskyttelsesmyndighed i et givet land for at være den ledende myndighed, betyder det ikke, at databeskyttelsesmyndigheden eller Det Europæiske Databeskyttelsesråd anser den for at være den ledende myndighed.
Databeskyttelsesmyndigheden vil derfor efter anmodning foretage sin egen vurdering af, om de er mest hensigtsmæssige. Hvis ikke, kan de sende ansøgningen til en anden databeskyttelsesmyndighed, som de finder mere hensigtsmæssig.
4. Indgivelse af udkast til bindende virksomhedsregler
Virksomheden forelægger sit forslag til de bindende virksomhedsregler, den har udarbejdet. Databeskyttelsesmyndigheden kan desuden anmode om yderligere oplysninger, hvis den mener, at de fremlagte oplysninger ikke er fuldstændige.
5. Gennemgang af ansøgninger
Ansøgningen vil derefter blive behandlet af den udpegede ledende databeskyttelsesmyndighed. Bemærk, at databeskyttelsesmyndigheden ikke selv foretager revisionen. Mindst én anden databeskyttelsesmyndighed er involveret i gennemførelsen af revisionen. Desuden vil alle andre EU/EØS-databeskyttelsesmyndigheder have mulighed for at afgive udtalelse, inden ansøgningen sendes til Det Europæiske Databeskyttelsesråd.
6. Udtalelse fra Det Europæiske Databeskyttelsesråd
Det Europæiske Databeskyttelsesråd afgiver udtalelse efter at have fået adgang til al dokumentation. På den anden side træffes afgørelsen ikke af Det Europæiske Databeskyttelsesråd, som kun afgiver udtalelse om spørgsmålet.
7. Den ledende databeskyttelsesmyndigheds afgørelse
Når Det Europæiske Databeskyttelsesråd har afgivet udtalelse, får virksomheden mulighed for at foretage eventuelle ændringer i sit udkast. Den ledende databeskyttelsesmyndighed kan derefter træffe en endelig afgørelse. Bemærk dog, at sagsbehandlingstiden kan afhænge af antallet af tilføjelser, dokumenter osv., der er relevante.
MERE OM OVERFØRSLER TIL TREDJELANDE
Tilstrækkeligt beskyttelsesniveau
Det er tilladt for virksomheder, uanset om de er dataansvarlige eller databehandlere, at overføre personoplysninger til et tredjeland, hvis dette land sikrer et tilstrækkeligt beskyttelsesniveau. Kun Europa-Kommissionen kan træffe en sådan afgørelse. Med andre ord kan en virksomhed ikke selv vurdere, om beskyttelsesniveauet i et tredjeland er tilstrækkeligt, og dermed overføre personoplysninger dertil. Bemærk, at afgørelsen om tilstrækkeligheden af beskyttelsesniveauet ikke nødvendigvis skal omfatte et helt land. Det kan f.eks. også være et område i det pågældende tredjeland, såsom en forbundsstat eller en specifik sektor, der anses for at have et tilstrækkeligt beskyttelsesniveau.