PDF to HTML - Convert PDF files to HTML files

Retsudvalget 2013-14
REU Alm.del
Offentligt

Lovafdelingen

Folketinget

Retsudvalget

Christiansborg

1240 København K

Dato:

Kontor:

Sagsbeh:

Sagsnr.:

Dok.:

6. august 2014

Forvaltningsretskontoret

Kristian Gyde Poulsen

2014-0030-2341

1260394

Hermed sendes endelig besvarelse af spørgsmål nr. 1281 (Alm. del), som

Folketingets Retsudvalg har stillet til justitsministeren den 30. juni 2014.

Spørgsmålet er stillet efter ønske fra Pernille Skipper (EL).

Karen Hækkerup

Carsten Madsen

Slotsholmsgade 10

1216 København K.

Telefon 7226 8400

Telefax 3393 3510

www.justitsministeriet.dk

[email protected]

PDF to HTML - Convert PDF files to HTML files

Spørgsmål nr. 1281 (Alm. del) fra Folketingets Retsudvalg:

”Vil ministeren i forlængelse af svar på REU alm. del –

spørgsmål 1120 oplyse, om Ikano Bank med Datatilsynets til-

ladelse opbevarer de nævnte personoplysninger i lande uden

for EU, og i givet fald ønskes oplyst, hvilke lande der er tale

om, hvorvidt det indebærer, at Ikano Bank er mindre bundet af

dansk lovgivning eller EU-lovgivning, end hvis oplysningerne

havde været opbevaret i Danmark eller EU, og hvorvidt der er

andre eksempler på, at virksomheder har fået Datatilsynets til-

ladelse til at opbevare sådanne personoplysninger uden for

EU?”

Svar:

Justitsministeriet har til brug for besvarelsen af spørgsmålet indhentet en

udtalelse fra Datatilsynet, der har oplyst følgende:

”Ikano Bank har den 31. januar 2012 anmeldt bankens behandling af

følsomme personoplysninger i forbindelse med personaleadministra-

tion

til Datatilsynet. I den anledning har Datatilsynets i brev af 23.

marts 2012 til Ikano Bank bl.a. anført:

”I forbindelse med anmeldelsen har Ikano Bank ansøgt om tilladelse

i henhold til persondatalovens

§ 50, stk. 2, til overførsel af person-

oplysninger til følgende databehandlere placeret i tredjelandene

Schweiz, USA og Singapore.

Det følger af persondatalovens § 27, stk. 1, at der kun må overføres

oplysninger til et tredjeland, såfremt dette land sikrer et tilstrække-

ligt beskyttelsesniveau, jf. dog stk. 3.

Af lovens forarbejder fremgår, at der ved udtrykket ”overførsel” skal

forstås såvel

videregivelse

som

overladelse

af oplysninger til modta-

gere i tredjelande. Ved videregivelse forstås overførsel af oplysnin-

ger til enhver anden end den registrerede, den dataansvarlige, data-

behandleren og personer under den dataansvarliges og databehandle-

rens direkte myndighed. Ved overladelse forstås overførsel af oplys-

ninger til en databehandler eller personer under databehandlerens di-

rekte myndighed. Endelig omfatter udtrykket den dataansvarliges in-

terne anvendelse af oplysningerne. Udtrykket overførsel er således

en samlet betegnelse for videregivelse og overladelse/intern anven-

delse af oplysninger.

Af § 27, stk. 2, fremgår, at vurderingen af, om beskyttelsesniveauet i

et tredjeland er tilstrækkeligt, sker på baggrund af samtlige de for-

hold, der har indflydelse på overførslen, herunder navnlig oplysnin-

gernes art, behandlingens formål og varighed, oprindelseslandet og

det endelige bestemmelsesland, samt de retsregler, regler for god

forretningsskik og sikkerhedsforanstaltninger, som gælder i tredje-

landet.

Datatilsynets j.nr. 2012-42-0047

Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer

PDF to HTML - Convert PDF files to HTML files

Europa-Kommissionen har besluttet, at bl.a. følgende lande er at be-

tragte som sikre tredjelande: Schweiz, Canada (begrænset område),

Argentina, Guernsey, USA (angår kun overførsel af personoplysnin-

ger vedrørende flypassagerer), Isle of Man, Jersey, Færøerne, An-

dorra og Israel. For så vidt angår USA er der indført en særlig ord-

ning - Safe Harbor-ordningen. Virksomheder, der har tilsluttet sig

denne ordning, betragtes som virksomheder i sikre tredjelande.

Yderligere er der i § 27, stk. 3, listet en række undtagelser til be-

stemmelsen i § 27, stk. 1. Herefter kan overførsel bl.a. ske med den

registreredes udtrykkelige samtykke, jf. stk. 3, nr. 1, eller hvis over-

førslen er nødvendig af hensyn til opfyldelsen af en aftale mellem

den registrerede og den dataansvarlige, jf. stk. 3, nr. 2.

Af § 50, stk. 2, fremgår bl.a., at ved overførsel af oplysninger som

nævnt i stk. 1, dvs. f.eks. følsomme oplysninger omfattet af lovens

§§ 7 og 8 eller oplysninger til bedømmelse af økonomisk soliditet og

kreditværdighed, til tredjelande i medfør af § 27, stk. 1, og stk. 3, nr.

2-4, skal Datatilsynets tilladelse indhentes til overførslen.

Overførsel til Singapore

Overførslen til Singapore vil ifølge det af Ikano Bank oplyste finde

sted i overensstemmelse med Kommissionens beslutning af 5. fe-

bruar 2010 om standardkontraktbestemmelser for overførsel af per-

sonoplysninger til en dataansvarlig etableret i et tredjeland. Der hen-

vises i den forbindelse til den fremsendte blanket af 6. februar 2012.

Ikano Bank har oplyst, at der ikke er foretaget ændringer i forhold til

standardkontrakternes ordlyd eller indhold. Ikano Bank har endvide-

re oplyst, at der vil blive overført følsomme personoplysninger om-

fattet af §§ 7 og 8 i persondataloven.

Datatilsynet har noteret sig og lægger afgørende vægt på, at den fo-

religgende overførsel finder sted i overensstemmelse med Kommis-

sionens standardkontraktbestemmelser.

Datatilsynet skal i den anledning meddele tilladelse til overførsel af

personoplysninger til Ikano Pte Ltd., North Drive 2, Singapore

528764 i medfør af § 50, stk. 2, jævnfør § 27, stk. 4.

Tilladelsen meddeles på følgende vilkår:

1. Enhver overførsel og/eller senere behandling af personoplysnin-

ger omfattet af standardkontraktbestemmelserne må udelukkende

finde sted i overensstemmelse med disse.

2. Enhver påtænkt ændring af standardkontraktbestemmelserne skal

meddeles Datatilsynet med henblik på forudgående godkendelse i

medfør af persondatalovens 27, stk. 4.

Overførsel til USA

Datatilsynet har noteret sig, at overførslen sker til en virksomhed i

USA, der er tilmeldt Safe Harbor-ordningen.

Datatilsynet skal i den anledning meddele tilladelse til overførsel af

personoplysninger til NuView Systems Inc., 200 Brickstone Square,

Suite 303, Andover, MA 01821 USA i medfør af § 50, stk. 2, jævn-

før § 27, stk. 1 og 2.

Overførsel til Schweiz

Datatilsynet har noteret sig, at overførslen sker til en virksomhed i

Schweiz. Datatilsynet skal i den anledning meddele tilladelse til

PDF to HTML - Convert PDF files to HTML files

overførsel af personoplysninger til Preaendex Europe S.A, Clergére

23, BP 44 CH-1009 Pully, Schweiz i medfør af § 50, stk. 2, jævnfør

§ 27, stk. 1 og 2.

Det bemærkes, at overtrædelse af ovenstående vilkår er strafbelagt

efter persondatalovens § 27, stk. 4, jf. § 70, stk. 1, nr. 5.

Datatilsynet skal samtidig særligt henlede opmærksomheden på be-

stemmelsen i § 27, stk. 5, hvoraf fremgår, at reglerne i persondatalo-

ven i øvrigt finder anvendelse ved overførsel af oplysninger til tred-

jelande efter bl.a. § 27, stk. 4.

Det betyder bl.a., at hvis der er tale om

videregivelse,

eksempelvis til

et andet selskab inden for samme koncern, skal der være hjemmel

hertil i behandlingsreglerne i kapitel 4.”

En dataansvarlig, der er etableret i Danmark, er bundet af den danske

persondatalov, uanset om der anvendes databehandlere uden for EU.

Persondataloven indebærer, at Datatilsynet i visse tilfælde skal give

tilladelse til overførslen. Det gælder bl.a. i en del tilfælde, hvor der

overføres følsomme personoplysninger (omfattet af persondatalo-

vens §§ 7 og 8).

Datatilsynet har ikke statistikker over, hvor mange danske dataan-

svarlige, der benytter databehandlere uden for EU. Ud fra de tilfæl-

de, som Datatilsynet hører om, er det i imidlertid tilsynets umiddel-

bare indtryk, at dette er ganske udbredt.”

Justitsministeriet kan supplerende oplyse, at det følger af persondatalovens

§ 42, stk. 1, at når en dataansvarlig overlader en behandling af oplysninger

til en databehandler, skal den dataansvarlige sikre sig, at databehandleren

kan træffe de i § 41, stk. 3-5, nævnte tekniske og organisatoriske sikker-

hedsforanstaltninger, og påse, at dette sker.

Det følger desuden af § 42, stk. 2, 1. pkt., at gennemførelse af en behand-

ling ved en databehandler skal ske i henhold til en skriftlig aftale parterne

imellem. Af aftalen skal det fremgå, at databehandleren alene handler efter

instruks fra den dataansvarlige, og at reglerne i § 41, stk. 3-5, ligeledes

gælder for behandlingen ved databehandleren.