Spørgsmål nr. 588 (Alm. del) fra Folketingets Retsudvalg:

”Vil ministeren indhente en udtalelse fra Datatilsynet vedrø-rende persondatalovens gyldighed samt håndhævelses- og kon-trolmuligheder, hvis Nets sælges til et såkaldt usikkert tredje-land?”

Svar:

Justitsministeriet har til brug for besvarelsen af spørgsmålet indhentet enudtalelse fra Datatilsynet. Datatilsynet, som er den uafhængige myndig-hed, som fører tilsyn med overholdelsen af persondataloven, har oplystfølgende:”Reglerne for persondatalovens1geografiske anvendelsesom-råde – og dermed Datatilsynets geografiske kompetence –fremgår af persondatalovens kapitel 3.Hvis behandlingen af oplysninger udføres foren dataansvar-lig, som er etableret i Danmark,vil persondataloven - indenfor lovens anvendelsesområde - gælde, hvis aktiviteterne findersted inden for Det Europæiske Fællesskabs område.Etablering foreligger, når der er tale om faktisk udøvelse af ak-tiviteter gennem en mere permanent struktur. Det kan f.eks.være aktiviteter, der udøves af en filial eller et datterselskabmed status som juridisk person.2Selv om den dataansvarlige benytter et edb-servicebureau elleren databehandler i et andet EU-land eller i et tredjeland, er detsåledes den danske persondatalov, der - inden for lovens al-mindelige anvendelsesområde - gælder, når den dataansvarligeer etableret i Danmark.Det bemærkes, at overførsel af personoplysninger til tredjelan-de kræver et særskilt hjemmelsgrundlag i persondatalovens §27. Bestemmelsen gælder både vedvideregivelseaf personop-lysninger til en anden dataansvarlig, vedoverladelseaf per-sonoplysninger til en databehandler samt vedintern brug,f.eks. inden for en koncern.Ved et tredjeland forstås en stat, som ikke indgår i Det Euro-pæiske Fællesskab, og som ikke har gennemført aftaler, der er12

indgået med Det Europæiske Fællesskab, og som indeholderregler svarende til databeskyttelsesdirektivet3.Overførsel af personoplysninger til tredjelande skal altid skalske inden for rammerne af persondataloven.Der må som udgangspunkt kun overføres oplysninger til ettredjeland, hvis dette land sikrer et tilstrækkeligt beskyttelses-niveau.Vurderingen af, om beskyttelsesniveauet i et tredjeland er til-strækkeligt, skal ske på grundlag af samtlige de forhold, derhar indflydelse på en overførsel, herunder navnlig oplysnin-gernes art, behandlingens formål og varighed, oprindelseslan-det og det endelige bestemmelsesland, samt de retsregler, her-under regler for god forretningsskik og sikkerhedsforanstalt-ninger, som gælder i tredjelandet.Europakommissionen (herefter ”Kommissionen”) kan medbindende virkning for medlemsstaterne træffe beslutning om,at et bestemt tredjeland sikrer et tilstrækkeligt beskyttelsesni-veau4.Kommissionen har endvidere truffet beslutning om den såkald-te Safe Harbor-ordning, som amerikanske virksomheder kantilmelde sig og dermed anses for sikre i forbindelse med importaf persondata fra EU.Datatilsynet kan give tilladelse til, at der overføres oplysningertil tredjelande, som ikke er sikre i persondatalovens § 27, stk.1, forstand, såfremt den dataansvarlige yder tilstrækkelige ga-rantier for beskyttelse af de registreredes rettigheder. Der kanfastsættes nærmere vilkår for overførslen.Overførsel til tredjelande, som ikke sikrer et tilstrækkeligt be-skyttelsesniveau, vil endvidere bl.a. kunne ske ved anvendelseaf Kommissionens standardkontraktbestemmelser, eller ved atden dataansvarlige stiller garantier, jf. persondatalovens § 27,stk. 4.Datatilsynet fører tilsyn med enhver behandling af personop-lysninger, der er omfattet af persondataloven. Det gælder dogikke behandling, der foretages for domstolene.Datatilsynet kan i princippet også foretage tilsyn – herunderinspektioner – med databehandlinger, som en dansk dataan-svarlig lader udføre hos en databehandler i udlandet. Datatilsy-Det vil sige de såkaldte EØS-lande. Dette betyder, at f.eks. Norge og Island ikke er atbetragte som tredjelande, men at Grønland og Færøerne skal betragtes som tredjelande4Se Datatilsynets hjemmeside for liste over sikre tredjelande:http://www.datatilsynet.dk/erhverv/tredjelande/sikre-tredjelande/33

nets inspektioner foretages dog i almindelighed hos den data-ansvarlige og ikke hos dennes databehandler.Datatilsynet kan endvidere føre tilsyn med databehandlinger,der foretages i Danmark, uanset at den pågældende behandlinger undergivet lovgivningen i et andet EU-land, jf. persondata-lovens § 64.Hvisen dataansvarlig er etableret i et tredjeland(dvs. et landudenfor EU), finder persondataloven efter lovens § 4, stk. 3,anvendelse, hvis:behandlingen af oplysninger sker under benyttelse afhjælpemidler, der befinder sig i Danmark, medmindrehjælpemidlerne kun benyttes med henblik på forsendelseaf oplysninger gennem Det Europæiske Fællesskabs om-råde, ellerindsamling af oplysninger i Danmark sker med henblikpå behandling i et tredjeland.

I de tilfælde, hvor der anvendes hjælpemidler her i landet, skalden dataansvarlige udpege en repræsentant, som er etableret iDanmark, og underrette Datatilsynet om, hvem der er udpegetsom repræsentant.Som eksempel på et hjælpemiddel er i forarbejderne til lovennævnt teknisk udstyr. Det er uden betydning, om det er EDB-baseret eller ej.Dette indebærer, at hvis en dataansvarlig, der er etableret i ettredjeland, benytter et edb-servicebureau eller en databehand-ler i Danmark, vil persondataloven finde anvendelse for så vidtangår den faktiske behandling, der finder sted her i landet.Datatilsynet skal endelig for god ordens skyld henlede op-mærksomheden på, at persondatalovens § 41, stk. 4, indeholderen særlig regel, hvorefter der for oplysninger, der behandlesfor den offentlige forvaltning, og som er af særlig interesse forfremmede magter, skal træffes foranstaltninger, der gør detmuligt at bortskaffe eller tilintetgøre oplysningerne i tilfælde afkrig eller lignende forhold.I forarbejderne til persondataloven er det bl.a. fremhævet, atnavnlig større landsdækkende systemer, som f.eks. Det Centra-le Personregister (CPR) og centrale skattesystemer, vil væreomfattet af bestemmelsen.Reglen finder efter sin ordlyd alene direkte anvendelse, når deter en offentlig myndighed, der er dataansvarlig.”