GDPR › Databehandlere

Tredjelandsoverførsler af Personoplysninger: Komplet Guide til GDPR-Reglerne

Når du overfører personoplysninger til lande uden for EU/EØS, skal du efterleve GDPR's regler om tredjelandsoverførsler. Få overblik over sikre og usikre tredjelande, overførselsgrundlag og praktiske krav.

Illustration af en globus opdelt i EU- og tredjelands-zone med et dokument og en pil, der krydser grænsen — symboliserer overførsel af persondata til tredjelande under GDPR.

I en globaliseret verden er det nødvendigt at samarbejde med organisationer i andre lande, både inden for EU og udenfor. Men når samarbejdet indebærer personoplysninger, stiller GDPR-reglerne særlige krav til overførsler til lande uden for EU/EØS, de såkaldte tredjelandsoverførsler.

I denne guide gennemgår vi, hvad en tredjelandsoverførsel er, hvornår reglerne aktiveres, og hvilke overførselsgrundlag du kan benytte for at sikre lovlig håndtering af persondata på tværs af landegrænser.

Hvad er en tredjelandsoverførsel?

Et tredjeland i GDPR's forstand er ethvert land, som ikke er medlem af EU/EØS. Hvis du ønsker at overføre personoplysninger til sådanne tredjelande, skal du efterleve GDPR-reglernes bestemmelser om tredjelandsoverførsler.

En overførsel til et tredjeland sker for eksempel når:

Du anvender en databehandler med base i et tredjeland.
Du anvender en databehandler med base i EU/EØS, men som har underdatabehandlere baseret i et tredjeland.
Du har et callcenter i et tredjeland, som besvarer kundeopkald.
En it-konsulent i et tredjeland får adgang til en database med kundeoplysninger.

Al fysisk lagring, visning eller fjernadgang til persondata fra et område uden for EU/EØS aktiverer reglerne om tredjelandsoverførsel.

Hvorfor er der særlige regler for tredjelandsoverførsler?

De særlige krav til tredjelandsoverførsler eksisterer, fordi EU-borgeres rettigheder ikke skal kunne forringes ved, at en dataansvarlig "eksporterer" behandlingen af personoplysninger til et tredjeland. Det skal ikke være muligt blot at udlicitere behandlingen og dermed omgå reglerne og stille de registrerede dårligere.

Et EU-skjold med stjernekrans repræsenterer GDPR's databeskyttelse, mens en pil peger mod en globe med et advarselsmærke — illustrerer risikoen ved at overføre data til lande uden tilsvarende beskyttelsesniveau.

I mange lande har man som borger ikke den samme persondatabeskyttelse som i EU, og der kan også være særlige efterretningslove, som gør det muligt for tredjelande at udspionere udlændinges data.

Derfor har man i GDPR-reglernes artikel 44-50 fastsat kravene til overførsler af personoplysninger til tredjelande. Formålet er, at persondatabeskyttelsen fra EU følger persondata i hele behandlingen, også når den foregår uden for EU.

Krav til tredjelandsoverførsler

Alle overførsler af personoplysninger til tredjelande skal efterleve kravene i GDPR-reglerne. Der er groft sagt to kategorier af tredjelande, som man skal forholde sig til: sikre og usikre tredjelande.

Sikre tredjelande

EU-Kommissionen har truffet afgørelse om, at nogle tredjelande er såkaldt "sikre tredjelande". Det betyder, at behandlingen af persondata kan foregå i disse lande uden at forringe EU-borgeres rettigheder. Derfor kræver det ikke tilladelse eller godkendelse under GDPR at benytte fx databehandlere i sikre tredjelande.

Du kan finde en opdateret liste med sikre tredjelande på Datatilsynets hjemmeside.

Usikre tredjelande

Alle lande uden for EU/EØS som ikke er optaget på EU's liste over sikre tredjelande er at betragte som usikre tredjelande. Overførsler af personoplysninger til disse kan kun ske på baggrund af et specifikt overførselsgrundlag i GDPR-reglerne.

Overførselsgrundlag til usikre tredjelande

Hvis du ønsker at overføre personoplysninger til usikre tredjelande, skal overførslen være "omfattet af fornødne garantier". Det betyder, at overførslen skal efterleve overførselsgrundlagene i GDPR's artikel 46.

Når du vurderer, hvilket overførselsgrundlag der er bedst for din organisation, kan du tage i betragtning, om du er en privat eller offentlig virksomhed, om du er del af en koncern, og hvornår overførselsgrundlaget skal anvendes.

Standardbestemmelser om databeskyttelse (SCC)

Det mest anvendte overførselsgrundlag til usikre tredjelande er EU-Kommissionens standardbestemmelser eller standardkontrakter (standard contractual clauses). Disse er udarbejdet af myndighederne og fungerer som en aftaleskabelon for, hvordan behandlingen af persondata skal foregå i forbindelse med overførslen til tredjelandet.

Et hvidt dokumentkort med afkrydsede kontraktklausuler og et rundt SCC-stempel — illustrerer brugen af standardkontraktbestemmelser som overførselsmekanisme ved tredjelandsoverførsler.

Når du benytter disse standardbestemmelser som overførselsgrundlag, behøver du ikke forudgående godkendelse fra Datatilsynet. Det kræver dog, at du anvender standardbestemmelserne korrekt, og at alle parter kan efterleve kravene.

Når du er dataansvarlig og benytter standardbestemmelserne i forbindelse med en overførsel til en databehandler, gælder bestemmelserne også som en databehandleraftale, så længe du bruger de tilhørende moduler hertil.

Ad hoc-kontrakter

Hvis du ønsker at foretage en overførsel til et usikkert tredjeland og har behov for at tilpasse indholdet i standardbestemmelserne, bliver dette til en ad hoc-kontrakt. Dine ad hoc-kontrakter skal godkendes af Datatilsynet, som også skal indhente en udtalelse fra Det Europæiske Databeskyttelsesråd (EDPB). Det kan derfor tage ekstra tid sammenlignet med standardbestemmelserne.

Bindende virksomhedsregler (BCR)

For koncerner med flere virksomheder og behov for at overføre persondata mellem koncernvirksomheder i usikre tredjelande kan der gøres brug af "bindende virksomhedsregler" som overførselsgrundlag.

Fordelen ved bindende virksomhedsregler er, at en koncern kan anskaffe et samlet overførselsgrundlag for alle koncernens overførsler til usikre tredjelande. Man skal derfor ikke etablere et overførselsgrundlag for alle separate overførsler.

I praksis vil koncernen skulle indarbejde disse virksomhedsregler i sin databeskyttelsespolitik på tværs af koncernen for at sikre, at behandlingen af persondata foregår i overensstemmelse med overførselsgrundlaget. Bindende virksomhedsregler skal godkendes af Datatilsynet og Det Europæiske Databeskyttelsesråd, hvilket kan tage længere tid.

Retligt bindende instrumenter

Offentlige myndigheder kan overføre persondata til myndigheder i tredjelande, hvis dette kræves af en international traktat eller konvention, som er retligt bindende og kan håndhæves i landet. Private virksomheder kan også gøre brug af disse, hvis aftalen fastsætter dette.

Administrative ordninger mellem offentlige myndigheder

En offentlig myndighed kan overføre persondata til et tredjelands myndighed, hvis det er beskrevet i en administrativ ordning. Denne skal dog stadig sikre de registreredes rettigheder, og at de kan håndhæves.

Adfærdskodekser og certificeringsmekanismer

Adfærdskodekser og certificeringsmekanismer kan også bruges som overførselsgrundlag til tredjelande, men i praksis er disse ikke anvendt og derfor næppe relevante. Det vil formentlig være brancheorganisationer eller lignende, som skulle udarbejde disse til fordel for deres medlemmer inden for en bestemt sektor.

Supplerende foranstaltninger ved tredjelandsoverførsler

EU-Domstolen har vurderet, at overførsler til usikre tredjelande med et gyldigt overførselsgrundlag ikke er tilstrækkelige i sig selv. Forud for overførslen skal man sikre sig, at man har de fornødne garantier.

Man skal derfor inden en overførsel til et tredjeland foretage en såkaldt Transfer Impact Assessment (TIA), som vurderer forholdene i tredjelandet i forhold til, om overførselsgrundlaget giver de registrerede tilstrækkelig beskyttelse.

Hvis vurderingen viser, at beskyttelsen ikke er tilstrækkelig, skal der tilvejebringes supplerende foranstaltninger for at sikre den registreredes oplysninger.

Ved udarbejdelsen af din Transfer Impact Assessment kan du også inddrage din risikovurdering af behandlingsaktiviteten, som ligger til grund for overførslen.

I EDPB's vejledning kan du læse nærmere om, hvilke foranstaltninger du kan supplere overførselsgrundlaget med. I denne situation vil det altid være nødvendigt at implementere tekniske foranstaltninger, og organisatoriske og kontraktuelle foranstaltninger kan derfor ikke stå alene.

Undtagelser: Særlige situationer for tredjelandsoverførsler

Undtagelsesvis kan du overføre persondata til et usikkert tredjeland uden et af de tidligere nævnte overførselsgrundlag, jf. GDPR's artikel 49. Det er dog kun i "særlige situationer", at du kan benytte disse. Hvis du har brug for et overførselsgrundlag til en etableret og tilbagevendende forretningsproces, bør du ikke benytte disse undtagelser.

Et dokumentkort med et pink undtagelsesbadge og en "Art. 49"-etiket — illustrerer de særlige undtagelsesbestemmelser, der under særlige omstændigheder tillader overførsel af persondata til tredjelande uden standardoverførselsmekanisme.

Udtrykkeligt samtykke til overførslen

Du kan undtagelsesvist bede om den registreredes udtrykkelige samtykke til at foretage overførslen, hvis du samtidigt specifikt informerer om risikoen ved overførslen til det usikre tredjeland.

Kontraktforhold med den registrerede

Du kan undtagelsesvist overføre den registreredes personoplysninger, hvis det er nødvendigt med henblik på indgåelse eller opfyldelse af en kontrakt med den registrerede. Du kan også bruge undtagelsen, hvis det på den registreredes anmodning er nødvendigt at gennemføre foranstaltninger i forbindelse med kontraktens indgåelse.

Kontraktforhold med en anden end den registrerede

Undtagelsesvist kan du overføre personoplysninger om en tredje person til et usikkert tredjeland, hvis det er nødvendigt for at indgå eller opfylde en kontrakt, som er i den registreredes interesse, og som er indgået mellem dig og en anden part.

Samfundsinteresser

Undtagelsesvist kan du overføre personoplysninger til et usikkert tredjeland, hvis det er nødvendigt af hensyn til vigtige samfundsinteresser, som dog skal være anerkendt i national lovgivning eller i EU-lovgivningen.

Retskrav

Du kan undtagelsesvist overføre personoplysninger til et usikkert tredjeland, hvis det er nødvendigt for at fastlægge, gøre et retskrav gældende eller forsvare sig mod et krav, fx i forbindelse med en retssag eller en tvist. Du skal sikre dig, at overførslen af personoplysninger er nødvendig for retskravet.

Vitale interesser

Hvis en persons liv eller helbred er i fare, og personen ikke selv kan give samtykke, kan du undtagelsesvist overføre personoplysninger til et usikkert tredjeland for at beskytte deres vitale interesser.

Overførsel fra et register

Hvis personoplysninger er en del af et offentligt tilgængeligt register, og en overførsel følger de regler, der gælder for adgang til registret, kan du undtagelsesvist gennemføre overførslen, men kun i det konkrete tilfælde og ikke for hele registret eller store datamængder.

Legitime interesser

Hvis de foregående undtagelser ikke kan anvendes, kan du i helt særlige tilfælde overføre data til et usikkert tredjeland. Det må kun ske i enkeltstående tilfælde, gælde et begrænset antal personer og være nødvendigt for en tungtvejende legitim interesse. Du skal vurdere risikoen ved overførslen, sikre passende beskyttelse, informere tilsynsmyndigheden og den registrerede.

Din vurdering og dine garantier for denne overførsel skal desuden dokumenteres i din artikel 30-fortegnelse.

Overblik: Overførselsgrundlag for tredjelandsoverførsler

Overførselsgrundlag	Hvem kan bruge det?	Kræver godkendelse?
Sikre tredjelande	Alle	Nej
Standardbestemmelser (SCC)	Alle	Nej (men korrekt brug krævet)
Ad hoc-kontrakter	Alle	Ja, af Datatilsynet + EDPB
Bindende virksomhedsregler (BCR)	Koncerner	Ja, af Datatilsynet + EDPB
Retligt bindende instrumenter	Primært offentlige myndigheder	Nej
Administrative ordninger	Offentlige myndigheder	Nej (men rettigheder skal sikres)
Samtykke (art. 49)	Alle, kun særlige situationer	Nej
Kontraktforhold (art. 49)	Alle, kun særlige situationer	Nej

Praktisk tilgang: Sådan håndterer du tredjelandsoverførsler

For at sikre, at din organisation efterlever reglerne om tredjelandsoverførsler, anbefaler vi følgende trin:

Kortlæg dine overførsler — Identificer alle tilfælde, hvor personoplysninger forlader EU/EØS. Brug din artikel 30-fortegnelse og behandlingsaktiviteter som udgangspunkt.
Klassificer tredjelandet — Tjek om modtagerlandet er et sikkert eller usikkert tredjeland via Datatilsynets liste.
Vælg overførselsgrundlag — Til usikre tredjelande skal du vælge det rette overførselsgrundlag, typisk standardbestemmelser (SCC).
Gennemfør Transfer Impact Assessment — Vurder om overførselsgrundlaget giver tilstrækkelig beskyttelse i det pågældende tredjeland.
Implementer supplerende foranstaltninger — Hvis TIA'en viser utilstrækkelig beskyttelse, skal du implementere tekniske foranstaltninger.
Dokumenter alt — Sørg for, at overførselsgrundlaget er dokumenteret i din fortegnelse.

Med en compliance platform som .legal kan du holde styr på dine tredjelandsoverførsler, overførselsgrundlag og TIA-vurderinger i ét samlet system. Du kan også bruge vendor management til at holde overblik over, hvilke leverandører der opererer i tredjelande.

Se hvordan .legal kan hjælpe din organisation med GDPR-compliance, eller book en demo for at se platformen i aktion.

Opsummering

Ved overførsel af personoplysninger til tredjelande skal du altid have et hjemmelsgrundlag, som skal dokumenteres i din fortegnelse. Sikre tredjelande kræver ingen yderligere foranstaltninger, mens usikre tredjelande kræver et specifikt overførselsgrundlag, typisk standardbestemmelser (SCC), samt en Transfer Impact Assessment.

Husk, at artikel 49-undtagelserne kun kan bruges i særlige situationer og ikke til løbende forretningsprocesser. Sørg for at dokumentere alle overførsler og deres grundlag i din artikel 30-fortegnelse.

Oftest stillede spørgsmål om tredjelandsoverførsler

Hvad er en tredjelandsoverførsel under GDPR?

En tredjelandsoverførsel sker, når personoplysninger overføres til et land uden for EU/EØS. Det gælder ved fysisk lagring, visning eller fjernadgang til persondata fra et tredjeland, fx ved brug af en databehandler eller underdatabehandler baseret uden for EU/EØS.

Hvad er et sikkert tredjeland?

Et sikkert tredjeland er et land uden for EU/EØS, som EU-Kommissionen har vurderet har et tilstrækkeligt beskyttelsesniveau for personoplysninger. Overførsler til sikre tredjelande kræver ikke yderligere overførselsgrundlag. Den opdaterede liste findes på Datatilsynets hjemmeside.

Hvad er standardbestemmelser (SCC)?

Standardbestemmelser om databeskyttelse (Standard Contractual Clauses, SCC) er EU-Kommissionens standardkontrakter for overførsel af personoplysninger til usikre tredjelande. De er det mest brugte overførselsgrundlag og kræver ikke forudgående godkendelse fra Datatilsynet, så længe de anvendes korrekt.

Skal jeg lave en Transfer Impact Assessment (TIA)?

Ja, EU-Domstolen har fastslået, at et gyldigt overførselsgrundlag som SCC ikke er tilstrækkeligt i sig selv. Du skal foretage en Transfer Impact Assessment, der vurderer forholdene i tredjelandet, inden overførslen kan finde sted. Hvis beskyttelsen er utilstrækkelig, skal der implementeres supplerende foranstaltninger.

Hvad er forskellen mellem SCC og en ad hoc-kontrakt?

SCC er standardiserede kontrakter fra EU-Kommissionen, som kan bruges direkte uden godkendelse. Ad hoc-kontrakter er tilpassede aftaler, der afviger fra standardbestemmelserne, og som kræver forudgående godkendelse fra Datatilsynet og en udtalelse fra Det Europæiske Databeskyttelsesråd (EDPB).

Hvad er bindende virksomhedsregler (BCR)?

Bindende virksomhedsregler (Binding Corporate Rules, BCR) er et overførselsgrundlag, der giver koncerner mulighed for at have ét samlet grundlag for alle overførsler mellem koncernvirksomheder i usikre tredjelande. BCR skal godkendes af Datatilsynet og EDPB, og reglerne skal indarbejdes i koncernens databeskyttelsespolitik.

Kan jeg overføre persondata til USA under GDPR?

USA har fået status som sikkert tredjeland under EU-US Data Privacy Framework. Virksomheder, der er certificeret under dette framework, kan modtage personoplysninger fra EU uden yderligere overførselsgrundlag. For ikke-certificerede amerikanske virksomheder skal du benytte et overførselsgrundlag som SCC og gennemføre en Transfer Impact Assessment.

Hvornår kan jeg bruge artikel 49-undtagelserne?

Artikel 49-undtagelserne kan kun bruges i særlige situationer og ikke til etablerede, tilbagevendende forretningsprocesser. Undtagelserne omfatter udtrykkeligt samtykke, kontraktopfyldelse, retskrav, vitale interesser og vigtige samfundsinteresser. De er tiltænkt som en sidste udvej.

Hvad er supplerende foranstaltninger ved tredjelandsoverførsler?

Supplerende foranstaltninger er ekstra tiltag, der implementeres, når overførselsgrundlaget alene ikke giver tilstrækkelig beskyttelse. Det kan være tekniske foranstaltninger som kryptering, organisatoriske foranstaltninger som politikker, og kontraktuelle foranstaltninger. Tekniske foranstaltninger er altid nødvendige og kan ikke erstattes af organisatoriske alene.

Hvordan dokumenterer jeg mine tredjelandsoverførsler?

Du skal dokumentere alle tredjelandsoverførsler i din artikel 30-fortegnelse. Det inkluderer modtagerlandet, overførselsgrundlaget, eventuelle supplerende foranstaltninger og din Transfer Impact Assessment. En compliance platform som .legal kan hjælpe dig med at holde styr på denne dokumentation systematisk.

Har du fortsat spørgsmål?

Spørg Johannes direkte, han giver de fleste af vores demoer personligt

Book ham her

.legal compliance platform Administrér tredjelandsoverførsler i compliance

Brug .legal til at dokumentere og overvåge alle dine internationale dataoverførsler, gennemføre overførselskonsekvensvurderinger og sikre korrekte sikkerhedsgarantier.