Vejledning om overførsel af personoplysninger til tredjelande
|
|
- Laurits Lorentzen
- 6 år siden
- Visninger:
Transkript
1 Vejledning om overførsel af personoplysninger til tredjelande Side 1 af 17
2 Indhold 1. Forord Kort om tredjelandsoverførsler Hvad er en overførsel? Hvad er et tredjeland eller en international organisation? Sikre og usikre tredjelande og organisationer De fire essentielle europæiske garantier Overførsel til sikre tredjelande, områder, sektorer m.fl Overførsel til usikre tredjelande m.fl. fornødne garantier Retligt bindende instrumenter (aftaler mv.) mellem offentlige myndigheder eller organer Bindende virksomhedsregler Indholdsmæssige minimumskrav til bindende virksomhedsregler Godkendelsesprocedure i forbindelse med bindende virksomhedsregler Adfærdskodekser og certificeringsmekanismer Standardbestemmelser om databeskyttelse Ad hoc -kontrakter Overførsel til usikre tredjelande m.fl. særlige undtagelser Samtykke Nødvendig af hensyn til indgåelse eller opfyldelse af en kontrakt mellem den dataansvarlig og den registrerede Nødvendig af hensyn til indgåelse eller opfyldelse af en kontrakt mellem den dataansvarlig og en anden fysisk eller juridisk person Nødvendig af hensyn til vigtige samfundsinteresser Nødvendig for, at et retskrav kan fastlægges, gøres gældende eller forsvares Nødvendig for at beskytte vitale interesser Overførsel fra et register Interesseafvejning med passende garantier Kvikguide til tredjelandsoverførsel Side 2 af 17
3 1. Forord Når private virksomheder og offentlige myndigheder behandler personoplysninger skal det ske i overensstemmelse med behandlingsreglerne i databeskyttelsesforordningens kapitel II. En behandling kan således f.eks. ske, hvis det sker med samtykke fra den registrerede, eller hvis behandlingen er nødvendig af hensyn til opfyldelsen af en kontrakt mv. I nogle situationer kan virksomheder og myndigheder i forbindelse med deres behandlinger af personoplysninger have et ønske om eller et behov for at overføre personoplysninger til et land uden for EU et såkaldt tredjeland. Det kan f.eks. være tilfældet, hvis en virksomhed eller en myndighed ønsker at benytte en anden virksomhed i et tredjeland, herunder f.eks. USA eller Indien, til at drifte sine IT-systemer, eller hvis en myndighed, som følge af en aftale med et tredjeland, er forpligtet til at overføre f.eks. skatteoplysninger. Ønsker du at overføre personoplysninger til et tredjeland eller en international organisation, skal du være opmærksom på, at det i så fald ikke er nok at overholde behandlingsreglerne i databeskyttelsesforordningens kapitel II. De særlige regler om overførsel af personoplysninger til tredjelande i databeskyttelsesforordningens kapitel V skal også iagttages. I denne vejledning får du en kort introduktion til reglerne i databeskyttelsesforordningens kapitel V om overførsel af personoplysninger til tredjelande eller internationale organisationer. Du kan også i vejledningens afsnit 6 finde en kvikguide til tredjelandsoverførsler. Ønsker du en nærmere gennemgang af reglerne, kan du bl.a. læse selve lovteksten i databeskyttelsesforordningens kapitel 5, artikel (Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger) eller kapitel 6 i Justitsministeriets betænkning om databeskyttelsesforordningen og de retlige rammer for dansk lovgivning (betænkning nr. 1565/2017). Herudover kan du også læse mere om tredjelandsoverførsel på Datatilsynets hjemmeside der også indeholder links til andre relevante hjemmesider. Side 3 af 17
4 2. Kort om tredjelandsoverførsler Databeskyttelsesforordningen indeholder i kapitel V en række særlige regler for overførsel af personoplysninger til tredjelande eller til internationale organisationer ( tredjelandsoverførsler ). Forordningens regler om overførsel af personoplysninger til tredjelande kendes i meget vidt omfang fra det nuværende databeskyttelsesdirektiv samt fra praksis fra bl.a. Artikel 29-gruppen (fremover Det Europæiske Databeskyttelsesråd). Formålet med de særlige regler er at sikre, at den databeskyttelse som de registrerede borgere, kunder m.fl. er sikret i EU efter forordningens regler ikke bliver udvandet, blot fordi oplysningerne overføres til lande eller organisationer uden for EU s grænser Hvad er en overførsel? Begrebet overførsel dækker både den situation, hvor en dataansvarlig i EU videregiver personoplysninger til en dataansvarlig uden for EU og den situation, hvor en dataansvarlig (eller en databehandler) i EU overlader en behandling af personoplysninger til en databehandler uden for EU. En overførsel kan f.eks. bestå i en elektronisk transmission eller i en fremsendelse af en USB nøgle, men en overførsel kan også bestå i, at personer i et tredjeland blot gives se-adgang til oplysninger, der befinder sig i EU. Eksempel 1: En virksomhed etableret i Danmark ønsker at benytte en virksomhed i Indien til ITsupport. De indiske medarbejdere har ikke teknisk adgang til at lagre eller printe personoplysninger, men har alene adgang til at se oplysningerne. Der er tale om en overførsel til et tredjeland, da personoplysninger i Danmark gøres tilgængelige for medarbejderne i den indiske virksomhed. Det gør ingen forskel, at oplysningerne alene kan ses i Indien eller, at medarbejderne ikke forstår dansk Hvad er et tredjeland eller en international organisation? Et tredjeland er et land, som ikke er medlem af EU eller EØS (Island, Liechtenstein og Norge). En international organisation kan f.eks. være Røde Kors, WHO, FN, OECD m.fl. For at reglerne i forordningens kapitel V finder anvendelse på internationale organisationer, er det en forudsætning, at den internationale organisation befinder sig i et tredjeland Sikre og usikre tredjelande og organisationer I forordningen sondres der mellem, om en overførsel sker til såkaldte sikre (artikel 45) eller usikre (artiklerne 46, 47 og 49) tredjelande eller internationale organisationer. Bemærk dog, at sprogbrugen sikre og usikre tredjelande ikke stammer fra forordningen, men derimod er betegnelser, der er almindeligt anvendt i praksis. Side 4 af 17
5 Er der tale om sikre tredjelande eller organisationer kan en overførsel som udgangspunkt ske uden videre, hvorimod en overførsel til usikre tredjelande eller organisationer kræver, at der fastsættes fornødne garantier eller at nogle særlige undtagelser finder anvendelse. I afsnit 3 og 4 i denne vejledning kan du læse mere om overførsel til henholdsvis sikre og usikre tredjelande og organisationer, herunder en beskrivelse af, hvad der ligger i begreberne sikre og usikre tredjelande De fire essentielle europæiske garantier Når du overfører personoplysninger til et tredjeland, skal du være opmærksom på, at de europæiske datatilsyn (i regi af den såkaldte Artikel 29-gruppe) i 2016 har opstillet fire essentielle europæiske garantier, der altid skal efterleves, uanset om man overfører personoplysninger til sikre eller usikre tredjelande. De fire essentielle europæiske garantier er udledt af praksis fra EU-Domstolen og Den Europæiske Menneskerettighedsdomstol og har følgende indhold: 1. Myndigheder i tredjelandes adgang til og brug af personoplysninger hidrørende fra EU skal ske på grundlag af klare, præcise og tilgængelige regler. 2. Myndigheder i tredjelandes adgang til og brug af personoplysninger hidrørende fra EU skal være nødvendig og proportional (der skal være balance mellem formålet (national sikkerhed) og indgrebet i de registreredes ret til beskyttelse af deres privatliv. 3. Der skal være en uafhængig og effektiv tilsynsmyndighed i tredjelandet. 4. Der skal være tilgængelige og effektive retsmidler for de registrerede i tredjelandet. De fire essentielle europæiske garantier er bl.a. nødvendige at være opmærksomme på i den situation, hvor en efterretningstjeneste i et tredjeland kræver at få adgang til oplysninger, som en dataimportør i det pågældende tredjeland har modtaget fra en dataeksportør i EU. I disse situationer skal den pågældende efterretningstjenestes adgang til oplysningerne ske under iagttagelse af garantierne. Konsekvensen af de fire essentielle europæiske garantier er i princippet, at der ikke kan overføres personoplysninger om europæiske registrerede til et tredjeland, hvis dette tredjelands lovgivning, praksisser mv., i forhold til offentlige myndigheders mulighed for at tilgå oplysninger af hensyn til national sikkerhed og retshåndhævelse, ikke muliggør en efterlevelse af garantierne. Bliver du således som dataeksportør opmærksom på f.eks. fra sin dataimportør at et tredjeland indsamler overførte personoplysninger, af hensyn til national sikkerhed, i et uproportionalt omfang, skal du stoppe med at overføre personoplysninger til det pågældende tredjeland. Side 5 af 17
6 3. Overførsel til sikre tredjelande, områder, sektorer m.fl. Hvis du ønsker at overføre personoplysninger til et tredjeland, bør du først undersøge, om Europa- Kommissionen (herefter Kommissionen ) har truffet afgørelse om, at beskyttelsesniveauet i det pågældende tredjeland eller den internationale organisation er tilstrækkeligt. I daglig tale kaldes dette for sikre tredjelande. Har Kommissionen truffet en såkaldt tilstrækkelighedsafgørelse, kan oplysningerne som udgangspunkt overføres uden videre. Det er kun Kommissionen, der kan fastslå, at et tredjeland, et område i et tredjeland, en sektor i et tredjeland eller en internationale organisation beliggende i et tredjeland er sikkert, og dermed har et beskyttelsesniveau, som i det væsentlige svarer til det beskyttelsesniveau, der gælder i EU. Ved sin vurdering foretager Kommissionen bl.a. en analyse af de regler, der gælder for behandling af personoplysninger i tredjelandet eller den internationale organisation, men også en analyse af, hvordan landet eller organisationen efterlever retsstatsprincippet, regler for klageadgang og domstolsprøvelse m.m. Når Kommissionen har truffet afgørelse om, at et tredjeland eller en organisation er sikkert betyder det, at der kan overføres personoplysninger til en modtager i det pågældende land eller i den pågældende organisation, uden at der først skal søges om godkendelse fra en kompetent tilsynsmyndighed eller lignende dog under forudsætning af, at forordningens øvrige regler, herunder behandlingsreglerne i forordningens kapitel II samt de fire essentielle europæiske garantier overholdes. Kommissionen har efter det gældende databeskyttelsesdirektivs regler allerede truffet afgørelse om, at visse lande eller områder/sektorer i tredjelande er sikre. Disse afgørelser vil fortsat være gældende, når databeskyttelsesforordningen finder anvendelse fra den 25. maj 2018, indtil Kommissionen måtte ændre, erstatte eller ophæve afgørelserne. Du skal som virksomhed eller myndighed være opmærksom på, at Kommissionen vil foretage regelmæssige gennemgange af sine afgørelser om, at et tredjeland eller en organisation er sikkert. Der er altså en mulighed for, at lande som tidligere af Kommissionen er fastslået som sikre, efter en revision ikke kan opretholde denne status. Du bør derfor altid orientere dig på f.eks. Kommissionens hjemmeside for at få en opdateret status på Kommissionens tilstrækkelighedsafgørelser. Nedenfor i figur 1 og 2 kan man finde en liste over de tredjelande eller områder/sektorer i tredjelande, som Kommissionen på nuværende tidspunkt har vurderet som værende sikre: Figur 1: Oversigt over sikre tredjelande Andorra Argentina Færøerne Guernsey Isle of Man Israel Jersey New Zealand Schweiz Uruguay Side 6 af 17
7 Figur 2: Oversigt over sikre områder/sektorer i tredjelande Australien Canada USA Overførsel af oplysninger om flypassagerer Modtagere underlagt den canadiske Personal Information Protection and Electronic Documents Act (PIPED ACT)) Overførsel af oplysninger om flypassagerer, og overførsel til organisationer/virksomheder, der har tilsluttet sig EU-U.S. Privacy Shield Side 7 af 17
8 4. Overførsel til usikre tredjelande m.fl. fornødne garantier Hvis du ønsker at overføre personoplysninger til et tredjeland eller en organisation, som Kommissionen ikke har vurderet som værende sikkert, vil der være tale om en overførsel til et usikkert tredjeland eller en usikker organisation i et tredjeland. I disse situationer kan der kun overføres personoplysninger, hvis dataeksportøren (dataansvarlig eller databehandler i EU) har givet de fornødne garantier for databeskyttelse. Det er også en betingelse, at der findes rettigheder, som kan håndhæves, og effektive retsmidler for de registrerede, som er tilgængelige. Fornødne garantier kan f.eks. gives ved indgåelse af en kontrakt mellem dataeksportøren (i EU) og dataimportøren (i et tredjeland). I afsnit nedenfor beskrives de muligheder, som en dataeksportør 1 har for at give de fornødne garantier i forbindelse med overførsel af personoplysninger til en dataimportør 2 i et usikkert tredjeland. Det drejer sig om: 1) Retligt bindende instrumenter (aftaler mv.) mellem offentlige myndigheder eller organer, 2) bindende virksomhedsregler, 3) adfærdskodeks og certificeringsmekanismer, 4) standardbestemmelser om databeskyttelse og 5) ad hoc-kontrakter Retligt bindende instrumenter (aftaler mv.) mellem offentlige myndigheder eller organer Det er muligt at overføre personoplysninger mellem offentlige myndigheder eller organer på baggrund af såkaldte retligt bindende instrumenter. Et sådan instrument kan bl.a. være et aftalememorandum eller en udvekslingsaftale, f.eks. på skatteområdet. Det er vigtigt at fastslå, om et instrument er retligt bindende eller ej det vil sige, om parterne kan håndhæve instrumentet over for hinanden. Hvis instrumentet er retligt bindende, kræves der ikke en specifik godkendelse fra en kompetent tilsynsmyndighed (Datatilsynet hvis en overførsel foretages af en dansk myndighed). Er instrumentet derimod ikke retligt bindende, kræves der en godkendelse fra den kompetente tilsynsmyndighed (Datatilsynet). Eksempel 2: Skatteministeriet har indgået dobbeltbeskatningsaftale med skattemyndighederne i USA. I denne aftale er der retligt bindende regler om, i hvilket omfang der kan ske udveksling af skatteoplysninger. Da der er tale om et retligt bindende instrument (aftale), kan der ske overførsel af personoplysninger til skattemyndighederne i USA, uden at Skatteministeriet forudgående skal indhente en godkendelse fra Datatilsynet. 1 En dataeksportør er en dataansvarlig eller en databehandler i EU. 2 En dataimportør er en dataansvarlig eller en databehandler i et tredjeland. Side 8 af 17
9 4.2. Bindende virksomhedsregler Bindende virksomhedsregler er regler om beskyttelse af personoplysninger, som en virksomhed, der er etableret i EU, overholder i forbindelse med overførsel af personoplysninger til en dataansvarlig eller en databehandler i et eller flere tredjelande, når virksomhederne er del af en koncern eller en gruppe af foretagender, der udøver en fælles økonomisk aktivitet. Benytter man bindende virksomhedsregler, kræves der ikke specifik godkendelse til de enkelte tredjelandsoverførsler. Inden bindende virksomhedsregler kan anvendes, skal reglerne dog være godkendt af den kompetente tilsynsmyndighed, som normalt vil være tilsynsmyndigheden i den EU-medlemsstat, hvori en koncerns EU hovedvirksomhed er beliggende. Anvendelsen af bindende virksomhedsregler som fornødne garantier forudsætter ikke, at et moderselskab ejer over 50 % af kapitalandelene i et datterselskab, eller at moderselskabet kan udøve bestemmende indflydelse over datterselskabet, hvis selskaberne udøver en fælles økonomisk aktivitet. Fordelen ved at benytte bindende virksomhedsregler er, at der ikke skal tilvejebringes fornødne garantier, hver gang en koncernvirksomhed i EU ønsker at overføre oplysninger til en koncernvirksomhed uden for EU (se figur 3 til illustration). Figur 3: Koncern, der ikke benytter bindende virksomhedsregler Figur 3 viser et eksempel på kompleksiteten i forhold til overførsel af personoplysninger i en koncern, der ikke har bindende virksomhedsregler. For hver enkelt pil vil der skulle foreligge et garantigrundlag, f.eks. standardbestemmelser eller ad hoc-kontrakter. Side 9 af 17
10 Eksempel 3: Hvornår kan bindende virksomhedsregler bruges A DK Overførsel på baggrund af bindende virksomhedsregler B Indien Overførsel C Indien En koncernvirksomhed i Danmark (A) ønsker at benytte servere, som stilles til rådighed af virksomheden B i Indien, som er en del af samme koncern. Overførslen finder sted i overensstemmelse med et godkendt sæt bindende virksomhedsregler. Da B imidlertid oplever problemer med strømforsyningen til serverne, besluttes det for en kort periode at gøre brug af servere, som en lokal indisk virksomhed (C), stiller til rådighed. Overførslen fra A til B kan ske på baggrund af de bindende virksomhedsregler. Videreoverførslen fra B til C kræver imidlertid et særskilt overførselsgrundlag, da C ikke er en del af koncernen eller i øvrigt har en fælles økonomisk aktivitet med koncernen. Et sådan overførselsgrundlag kunne f.eks. være indgåelse af en Indholdsmæssige minimumskrav til bindende virksomhedsregler De indholdsmæssige krav til bindende virksomhedsregler omfatter overordnet set krav til 1) reglernes bindende virkning, 2) reglernes efterlevelse, 3) samarbejdsforpligtelser med tilsynsmyndighederne, 4) beskrivelse af behandlinger og data flows, 5) mekanisme til rapportering af ændringer og 6) databeskyttelse. Indholdet og struktureringen af bindende virksomhedsregler afhænger meget af den virkelighed, som en koncern eller gruppe af foretagender, der udøver en fælles økonomisk aktivitet, befinder sig i. Der findes altså ikke en obligatorisk standardansøgning, opbygning m.m. Derimod er det op til ansøgeren selv at udarbejde et udkast, der på overbevisende måde, fastsætter de fornødne garantier. De specifikke krav kan ses i databeskyttelsesforordningens artikel 47, stk. 1 og 2. Det forventes endvidere, at Kommissionen vil præcisere, hvad der nærmere ligger i ovenstående krav Godkendelsesprocedure i forbindelse med bindende virksomhedsregler Når den kompetente tilsynsmyndighed har gennemgået virksomhedens udkast til bindende virksomhedsregler og finder, at disse lever op til de indholdsmæssige minimumskrav og dermed giver fornødne garantier (typisk efter drøftelser med koncernen), godkender tilsynsmyndigheden de bindende virksomhedsregler. Inden den kompetente tilsynsmyndighed kan godkende et sæt bindende virksomhedsregler, skal den dog forelægge sit udkast til godkendelse for Det Europæiske Databeskyttelsesråd. Rådet skal derefter, inden for nogle bestemte frister, komme med en udtalelse til den kompetente tilsynsmyndigheds udkast til godkendelse, og den kompetente myndighed skal i videst muligt omfang tage hensyn til rådets udtalelse. Side 10 af 17
11 Følger den kompetente tilsynsmyndighed Databeskyttelsesrådets udtalelse, vil tilsynsmyndigheden kunne godkende de bindende virksomhedsregler, når den tilrettede godkendelse har været forelagt for rådets formand. Ønsker den kompetente tilsynsmyndighed derimod ikke at tage højde for Databeskyttelsesrådets udtalelse, skal tilsynsmyndigheden underrette rådet herom, hvorefter sagen skal afgøres efter nogle særlige regler om tvistbilæggelse ved Databeskyttelsesrådet. Det forventes i øvrigt, at det meste af arbejdet med godkendelse af bindende virksomhedsregler vil finde sted i undergrupper til Databeskyttelsesrådet, og at der vil blive anvendt en procedure, der minder om den, der anvendes i dag. For nærmere om denne procedure henvises der til afsnit i Justitsministeriets betænkning om databeskyttelsesforordningen og de retlige rammer for dansk lovgivning (betænkning nr. 1565/2017) Adfærdskodekser og certificeringsmekanismer Hvor bindende virksomhedsregler hovedsagligt kan benyttes af store internationale koncerner, er det tanken, at adfærdskodekser og certificeringsmekanismer især vil kunne være interessante at benytte for små og mellemstore virksomheder. Dette skyldes bl.a., at adfærdskodekser og certificeringsmekanismer vil kunne udarbejdes af andre end de dataansvarlige og databehandlerne selv, herunder f.eks. af brancheorganisationer mv., som kan have en interesse i at lette deres medlemmers overholdelse af databeskyttelsesforordningens regler. I en tredjelandssammenhæng kan et adfærdskodeks eller en certificeringsmekanisme (krav) f.eks. indeholde regler og krav, som dataansvarlige og databehandlere der tilslutter sig et adfærdskodeks eller en certificeringsmekanisme forpligter sig til at overholde i forbindelse med overførsel af personoplysninger til tredjelande. De indholdsmæssige regler og krav vil skulle indeholde nogle af de elementer, der også indgår i et sæt bindende virksomhedsregler (se afsnit ) eller i en standardaftale (se afsnit 4.4.). Tilslutter en dataansvarlig eller en databehandler i et tredjeland sig et godkendt adfærdskodeks eller en godkendt certificeringsordning, vil dataansvarlige og databehandlere i EU kunne overføre personoplysninger til de tilsluttede virksomheder mv. i et tredjeland uden forudgående godkendelse fra en tilsynsmyndighed. For at et adfærdskodeks eller en certificeringsordning kan benyttes i forbindelse med overførsel af personoplysninger til at tredjeland, skal disse betingelser være opfyldt: 1. Adfærdskodekset eller certificeringsordningen skal være godkendt af den kompetente tilsynsmyndighed eller af et certificeringsorgan. 2. Adfærdskodekset eller certificeringsordningen skal indeholde specifikke regler om tredjelandsoverførsel. 3. Der skal foreligger et bindende tilsagn fra dataimportøren i et tredjeland om at anvende adfærdskodekset eller certificeringsordningens regler om tredjelandsoverførsel. 4. Det bindende tilsagn skal kunne håndhæves af et kompetent kontrolorgan. Side 11 af 17
12 4.4. Standardbestemmelser om databeskyttelse Det er muligt at stille fornødne garantier i form af standardbestemmelser om databeskyttelse, når man ønsker at overføre personoplysninger til et tredjeland. Standardbestemmelser kan være vedtaget af Kommissionen eller af en tilsynsmyndighed. Standardbestemmelser vedtaget af en tilsynsmyndighed skal dog være godkendt af Kommissionen. Hverken Datatilsynet eller de øvrige tilsynsmyndigheder har hidtil haft mulighed for at vedtage standardbestemmelser. Der findes således på nuværende tidspunkt ikke sådanne bestemmelser. Derimod har Kommissionen efter reglerne i databeskyttelsesdirektivet vedtaget tre sæt standardbestemmelser om databeskyttelse. Disse standardbestemmelser vil forsat gyldigt kunne anvendes, når databeskyttelsesforordningen finder anvendelse. Det er meget tænkeligt, at tilsynsmyndighederne også vil vedtage standardbestemmelser i fremtiden, da de tidligere har udtrykt et ønske herom. Inden man gør brug af standardbestemmelser, skal man gøre sig klart, om man vil overføre oplysninger fra en dataansvarlig i EU til en dataansvarlig i et tredjeland, eller fra en dataansvarlig i EU til en databehandler i et tredjeland. Dette skyldes, at der findes forskellige standardbestemmelser til de to situationer. De gældende standardbestemmelser kan findes på Kommissionens hjemmeside Hvis man benytter standardbestemmelser, skal man ikke have en specifik godkendelse fra tilsynsmyndigheden. Man bør dog sikre sig, at standardbestemmelserne er rigtigt indgået, og at man i øvrigt er i stand til at leve op til de forpligtelser, der følger med brugen af standardbestemmelserne. Det er derfor vigtigt, at man sætter sig grundigt ind i indholdet af standardbestemmelserne. Det er muligt at lade standardbestemmelserne være en del af en bredere kontrakt mellem to parter, ligesom det også er muligt at medtage andre bestemmelser eller yderligere garantier. Man bør imidlertid ikke foretage ændringer i standardbestemmelsernes indhold eller medtage andre bestemmelser, der direkte eller indirekte har betydning for standardbestemmelsernes indhold. Gør man dette, vil der ikke længere være tale om standardbestemmelser, der uden videre kan benyttes ved en overførsel. Se mere herom i afsnit 4.5. nedenfor Ad hoc -kontrakter Ad hoc -kontrakter er kontrakter, der sprogligt og formmæssigt har et andet indhold end de standardbestemmelser om databeskyttelse, der er vedtaget af Kommissionen eller af en tilsynsmyndighed. Fordelen ved at benytte en ad hoc -kontrakt kan være, at virksomheder og myndigheder får mulighed for selv at påvirke indholdet i en kontrakt. Ulempen ved at benytte ad hoc -kontrakter er derimod, at overførsler baseret på disse kræver specifik godkendelse fra en kompetent tilsynsmyndighed. Der må endvidere påregnes en vis Side 12 af 17
13 sagsbehandlingstid ved godkendelse af ad hoc -kontrakter, da tilsynsmyndighederne vil være nødt til at foretage en konkret vurdering af, om der med kontrakten gives de fornødne garantier. Ønsker man at udarbejde en ad-hoc -kontrakt, kan man med fordel tage udgangspunkt i Kommissionens standardbestemmelser, da ad hoc -kontrakter vil skulle indeholde mange af de samme elementer, hvis den skal kunne anses for at stille fornødne garantier. Side 13 af 17
14 5. Overførsel til usikre tredjelande m.fl. særlige undtagelser Forudsat at Kommissionen ikke har fastslået, at et tredjeland eller en internationale organisation er sikker (se afsnit 3), og forudsat at der ikke på anden vis kan gives de fornødne garantier (afsnit 4), kan en overførsel finde sted, hvis en af de særlige undtagelser, der omtales nedenfor er opfyldt. Man skal være opmærksom på, at undtagelserne kun kan benyttes i et begrænset omfang. Tilsynsmyndighederne har således tidligere fastslået, at undtagelser, lig dem der nævnes nedenfor, skal fortolkes restriktivt, og at de ikke kan anvendes i forhold til overførsler, der må betegnes som 1) repeterede overførsler, 2) masseoverførsler eller 3) strukturelle overførsler Samtykke En overførsel til et tredjeland kan finde sted, hvis den registrerede person har givet sit udtrykkelige samtykke til overførslen. Dette betyder, at der skal være tale om en frivillig, specifik, informeret og utvetydig viljestilkendegivelse fra den registrerede. Herudover skal den registrerede informeres om de mulige risici, som overførslen kan medføre for den registrerede. Risikoen ved at overføre personoplysninger til et usikkert tredjeland uden at der stilles fornødne garantier kan bl.a. bestå i, at der i det pågældende tredjeland ikke nødvendigvis gælder regler om datasikkerhed, der f.eks. sikrer, at oplysninger ikke kommer til uvedkommendes kendskab mv. Bemærk, at samtykke ikke kan anvendes ved offentlige myndigheders overførsel af personoplysninger til tredjelande Nødvendig af hensyn til indgåelse eller opfyldelse af en kontrakt mellem den dataansvarlig og den registrerede Hvis en overførsel af personoplysninger til et tredjeland er nødvendig af hensyn til opfyldelse af en kontrakt mellem den registrerede og den dataansvarlige eller af hensyn til gennemførsel af foranstaltninger, der træffes på den registreredes anmodning forud for indgåelsen af en sådan kontrakt, kan en tredjelandsoverførsel finde sted. Eksempel 4 Et dansk rejsebureau har indgået en aftale med en gruppe rejsende om at arrangere en rygsækrundrejse i Peru. I den forbindelse sender rejsebureauet de rejsendes navne til en lokal buschauffør i Lima, som skal køre de rejsende fra Lima til Machu Picchu. Hvis det er en del af aftalen mellem rejsebureauet og gruppen af rejsende, at bureauet skal sørge for, at de rejsende bliver fragtet med bus fra Lima til Machu Picchu, da vil rejsebureauet kunne sende de rejsendes navne til den lokale buschauffør i Lima, hvis navnene er en forudsætning for, at chaufføren kan køre de rejsende til Machu Picchu. Denne undtagelse kan i lighed med samtykke ikke benyttes ved offentlige myndigheders overførsel af personoplysninger til tredjelande. Side 14 af 17
15 5.3. Nødvendig af hensyn til indgåelse eller opfyldelse af en kontrakt mellem den dataansvarlig og en anden fysisk eller juridisk person En overførsel kan også finde sted, hvis overførslen er nødvendig af hensyn til indgåelse eller opfyldelse af en kontrakt, der i den registreredes interesse indgås mellem den dataansvarlige og en anden fysisk eller juridisk person. I modsætning til undtagelsen ovenfor, er det ikke en betingelse at kontrakten er indgået med den registrerede som part, men blot, at indgåelsen eller opfyldelsen af kontrakten er i den registreredes interesse. Denne undtagelse kan heller ikke benyttes af offentlige myndigheder Nødvendig af hensyn til vigtige samfundsinteresser Overførsler til tredjelande, der er nødvendige af hensyn til vigtige samfundsinteresser i EU-retten eller i national ret, kan finde sted. Som eksempler på vigtige samfundsinteresser kan nævnes international udveksling oplysninger mellem konkurrencemyndigheder eller udveksling af hensyn til folkesundheden, herunder i tilfælde af kontaktsporing i forbindelse med smitsomme sygdomme. Eksempel 5 En dansk statsborger bliver efter en ferie i Burkina Faso indlagt med symptomer på Ebola virus. Da den pågældende borger har rejst med en gruppe amerikanske statsborgere, vælger de danske sundhedsmyndigheder at tage kontakt til de amerikanske sundhedsmyndigheder for at orientere dem om det mulige tilfælde af Ebola. I den forbindelse overføres der oplysninger om den danske statsborger. Da der er en vigtig samfundsinteresse i såvel EU og USA i at begrænse antallet af smittede med en potentiel meget dødelig sydom som Ebola, må overførslen i denne situation siges at være nødvendig af hensyn til vigtige samfundsinteresser Nødvendig for, at et retskrav kan fastlægges, gøres gældende eller forsvares Herudover kan en tredjelandsoverførsel finde sted, hvis det er nødvendig for, at et retskrav kan fastlægges, gøres gældende eller forsvares. Ved retskrav forstås domme og afgørelser truffet af administrative myndigheder og som er anerkendt i EU Nødvendig for at beskytte vitale interesser En tredjelandsoverførsel kan endvidere finde sted, hvis overførslen er nødvendig for at beskytte den registrerede eller andre personers vitale interesse. Side 15 af 17
16 Eksempel 6 En dansk kvinde bliver under en ferie i Brasilien fundet bevidstløs på gaden og bliver i den forbindelse indlagt på et lokalt sygehus. Under indlæggelsen har det brasilianske sygehuset til brug for behandlingen behov for nogle specifikke sundhedsoplysninger fra Danmark. Da det er i den indlagte kvindes vitale interesse, at hun modtager en så god og korrekt behandling som muligt, kan der overføres oplysninger fra de danske sundhedsmyndigheder til det brasilianske sygehus Overførsel fra et register En tredjelandsoverførsel kan også finde sted, hvis den sker fra et register, der, ifølge EU-ret eller medlemsstaternes nationale ret, er beregnet til at informere offentligheden, og som er tilgængeligt for offentligheden generelt eller for personer, der kan godtgøre at have en legitim interesse heri. Overførslen må dog ikke omfatte alle personoplysninger eller hele kategorier af personoplysninger i et register. F.eks. vil en anmodning om overførsel af alle helbredsoplysninger for personer af en bestemt religiøs overbevisning i et offentligt register ikke lovligt kunne finde sted Interesseafvejning med passende garantier Som den sidste undtagelse kan en tredjelandsoverførsel finde sted, hvis en overførsel er nødvendigt af hensyn til vægtige legitime interesser, som forfølges af den dataansvarlige, og hvis den registreredes interesser eller rettigheder ikke går forud for disse interesser. Bestemmelsen kan alene anvendes i enkelte tilfælde, og bl.a. kun hvis der er tale om et begrænset antal registrerede, og hvis ingen af de øvrige undtagelser i afsnit kan anvendes. Endvidere kræves det, at den dataansvarlige foretager en vurdering af personoplysningernes karakter, formålet med og varigheden af behandlingen, situationen i oprindelseslandet, tredjelandet og det endelige bestemmelsesland, og på baggrund heraf kan garantere en fornøden databeskyttelse. Udover ovennævnte betingelser er det et krav, at den kompetente tilsynsmyndighed underrettes om overførelsen, og at den registrerede underrettes om de vægtige interesser, som begrunder overførelsen. Undtagelsen kan ikke anvendes af offentlige myndigheder og må i øvrigt antages kun at blive benyttet i meget begrænset omfang. Side 16 af 17
17 6. Kvikguide til tredjelandsoverførsel 1. Tredjelandsoverførsel? Overvej om de pågældende oplysninger er personoplysninger, om der sker en overførsel, om overførslen sker til et tredjeland eller en international organisation og om de fire essentielle europæiske garantier overholdes. Hvis dette er tilfældet, så gå videre til næste boks. 2. Iagttagelse af forordningen? Overvej om alle forordningens regler overholdes inden tredjelandsoverførsel påtænkes. Hvis dette er tilfældet, så gå videre til næste boks. Hvis dette ikke er tilfældet, kan overførslen ikke ske. 3. Overførsel til sikre tredjelande? Undersøg om tredjelandet eller den internationale organisation er vurderet af Kommissionen som sikkert. Hvis dette er tilfældet, kan du uden videre overføre oplysningerne. Hvis dette ikke er tilfældet, så gå videre til næste boks. 4. Overførsel til usikre tredjelande? Undersøg om der er fastsat fornødne garantier for tredjelandsoverførslen. Hvis dette er tilfældet, kan overførslen lovligt ske. Hvis dette ikke er tilfældet, så gå videre til næste boks. 5. Særlige undtagelser? Overvej om tredjelandsoverførslen kan ske ved anvendelse af de særlige undtagelser i forordningen. Hvis dette er tilfældet, kan overførslen lovligt ske. Hvis dette ikke er tilfældet, kan overførsel ikke ske. Side 17 af 17
Bilag 3 Personoplysninger Den registrerede Behandling af personoplysninger Dataansvarlig Databehandler Brud på persondatasikkerheden
Bilag 3 Anvendelsesområde Retningslinje om overførsel til tredjelande er udarbejdet i overensstemmelse med kravene i Europa- Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse
Læs mereRetningslinje om overførsel til tredjelande
Retningslinje om overførsel til tredjelande Indhold Anvendelsesområde... 1 Formål... 1 Definitioner... 1 Hvad er et tredjeland?... 2 Hvad er en overførsel?... 2 Overførsel til sikre tredjelande?... 3 Overførsel
Læs mereRigsarkivets konference 2. november 2016
Pligten til at huske retten til at blive glemt Rigsarkivets konference 2. november 2016 Birgit Kleis, kommitteret i Datatilsynet Persondatabeskyttelse: afvejning af hensyn Privatlivets fred Informations-
Læs merePersondataforordningen - set med danske øjne
Dansk Industris konference den 15. juni 2017 Persondataforordningen - set med danske øjne v/ direktør Cristina Angela Gulisano Emner Forordningen set med danske øjne Tiden frem og efter den 25. maj 2018
Læs mereEuropaudvalget 2012 KOM (2012) 0011 Bilag 18 Offentligt
Europaudvalget 2012 KOM (2012) 0011 Bilag 18 Offentligt Folketinget Grønlandsudvalget Christiansborg 1240 København K Lovafdelingen Dato: 21. marts 2016 Kontor: Databeskyttelseskontoret Sagsbeh: André
Læs mereOVERORDNET INTERN PERSONDATAPOLITIK FOR BEHANDLING AF PERSONLIGE OPLYSNINGER I. INDHOLDSFORTEGNELSE: 1. Generelt... 2
OVERORDNET INTERN PERSONDATAPOLITIK FOR BEHANDLING AF PERSONLIGE OPLYSNINGER I DANSK FORENING FOR OSTEOGENEIS IMPERFECTA (DFOI) INDHOLDSFORTEGNELSE: 1. Generelt... 2 2. Om nærværende persondatapolitik...
Læs mereDatabehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD
INDHOLD INDHOLD... 1 1. Baggrund... 2 2. Definitioner... 2 3. Behandling af personoplysninger... 3 4. Behandlinger uden instruks... 3 5. Sikkerhedsforanstaltninger... 3 6. Underdatabehandling... 4 7. Overførsel
Læs mereDatabeskyttelsesforordningen. og de retlige rammer for dansk lovgivning. Betænkning nr Del I bind 2
Databeskyttelsesforordningen og de retlige rammer for dansk lovgivning Betænkning nr. 1565 Del I bind 2 Betænkning om Databeskyttelsesforordningen (2016/679) og de retlige rammer for dansk lovgivning
Læs mereAdfærdskodekser. v/rami Chr. Sørensen
v/rami Chr. Sørensen Hvad er en adfærdskodeks? I databeskyttelsesforordningens forstand er en adfærdskodeks et sæt retningslinjer, som skal bidrage til at sikre, at de virksomheder, der har tilsluttet
Læs mereOVERORDNET INTERN PERSONDATAPOLITIK FOR BEHANDLING AF PERSONLIGE OPLYSNINGER I LIONS MD 106.
OVERORDNET INTERN PERSONDATAPOLITIK FOR BEHANDLING AF PERSONLIGE OPLYSNINGER I LIONS MD 106. INDHOLDSFO RTEGNELSE: 1. Generelt 3 2. Om nærværende Persondatapolitik 3 3. Definitioner 4 4. Persondataprincipper
Læs mereRådet for Den Europæiske Union Bruxelles, den 3. maj 2018 (OR. en)
Rådet for Den Europæiske Union Bruxelles, den 3. maj 2018 (OR. en) Interinstitutionel sag: 2018/0117 (NLE) 8534/18 FØLGESKRIVELSE fra: modtaget: 2. maj 2018 til: Komm. dok. nr.: Vedr.: AELE 25 EEE 22 N
Læs mereHvis vi har brug for yderligere oplysninger end angivet ovenfor, vil vi orientere dig herom ved indsamlingen heraf.
Persondatapolitik Dataansvarlig ITD Forsikringsmægler A/S Lyren 1 6330 Padborg Danmark CVR-nummer: 38725440 1. Introduktion Denne persondatapolitik (herefter benævnt Politikken") beskriver, hvordan ITD
Læs mereKontrakt om IT-infrastruktur-services 2017
Kontrakt om IT-infrastruktur-services 2017 Sikkerhed og persondata 16. marts 2017 Sikkerhed Hvad siger kontrakten om sikkerhed Leverandøren skal iagttage de sikkerhedsforanstaltninger, der følger af Bilag
Læs merePrivatlivspolitik for frivillige
POLITIK 24. OKTOBER 2018 Privatlivspolitik for frivillige - hvordan vi behandler dine persondata Version 0.3 Godkendt af styregruppen for implementering af EU persondataforordning den 3. september 2018
Læs mereGDPR. Kom i gang med udarbejdelse af dokumentation. GDPR tjekliste til webshopejere
1 GDPR Kom i gang med udarbejdelse af dokumentation GDPR tjekliste til webshopejere GDPR - TJEKLISTE 2 GDPR - Tjekliste til Webshopejere 1. Få styr på de vigtigste begreber 2 2. Fortegnelse over persondata
Læs mereInformation om PenSam s behandling af ansøgeres personoplysninger mv.
Information om PenSam s behandling af ansøgeres personoplysninger mv. I PenSam passer vi godt på de personlige oplysninger, vi får i forbindelse med, at du søger en stilling hos os. Det gælder også, selvom
Læs mere! Databehandleraftale
! Databehandleraftale Indledning 1.1. Denne aftale vedrørende behandling af personoplysninger ( Databehandleraftalen ) regulerer Pensopay APS CVR-nr. 36410876 (databehandleren) og Kunden (den Dataansvarlige
Læs merePersondatapolitik til ansøgere og rekruttering
Persondatapolitik til ansøgere og rekruttering Dataansvarlig ITD, Brancheorganisation For Den Danske Vejgodstransport Lyren 1 6330 Padborg Danmark CVR-nummer: 40990917 1. Introduktion Denne persondatapolitik
Læs mereBEHANDLING AF PERSONOPLYSNINGER OM SAMARBEJDSPARTNERE OG LEVERANDØRER I REFA DATTERSELSKABER
BEHANDLING AF PERSONOPLYSNINGER OM SAMARBEJDSPARTNERE OG LEVERANDØRER I REFA DATTERSELSKABER 1. INTRODUKTION 1.1 Denne informationsskrivelse har til formål at oplyse dig om, hvordan vi behandler dine personoplysninger,
Læs mereBEHANDLING AF PERSONOPLYSNINGER OM KUNDER I REFA DATTERSELSKABER
BEHANDLING AF PERSONOPLYSNINGER OM KUNDER I REFA DATTERSELSKABER 1. INTRODUKTION 1.1 Denne informationsskrivelse har til formål at oplyse dig om, hvordan vi behandler dine personoplysninger, som vi har
Læs mereopfylde vores kontraktuelle forpligtelser over for dig, samt at
PRIVATLIVSPOLITIK Det er vigtigt for FloodFrame A/S ( FloodFrame ), at du føler dig tryg ved at overlade persondata til os. Det er derfor også vigtigt, at du er oplyst om, hvilke oplysninger FloodFrame
Læs mereRetningslinjer 2/2018 vedrørende undtagelser i artikel 49 i forordning 2016/679
Retningslinjer 2/2018 vedrørende undtagelser i artikel 49 i forordning 2016/679 Vedtaget den 25. maj 2018 1 Indholdsfortegnelse 1. GENERELT... 3 2. SPECIFIK FORTOLKNING AF BESTEMMELSERNE I ARTIKEL 49...
Læs mereRetsudvalget, Retsudvalget L 68 endeligt svar på spørgsmål 4, L 69 endeligt svar på spørgsmål 4 Offentligt
Retsudvalget, Retsudvalget 2017-18 L 68 endeligt svar på spørgsmål 4, L 69 endeligt svar på spørgsmål 4 Offentligt Spørgsmål 4 fra Folketingets Retsudvalg vedrørende L 68 og L 69: Vil ministeren overveje
Læs mereBILAG 14: DATABEHANDLERAFTALE
BILAG 14: DATABEHANDLERAFTALE Side 1/9 Aftale om databehandling mellem Kunden og Leverandøren Side 2/9 Vejledning: [Dette bilag kan ikke ændres af tilbudsgiver. Bilaget udgør således i sin helhed et mindstekrav
Læs merePrivatlivspolitik CBS Executive
Privatlivspolitik CBS Executive Indhold 1. Hvorfor er CBS Executives Privatlivspolitik vigtig?... 1 2. Ordliste over de vigtigste juridiske udtryk, der anvendes i dette dokument... 2 3. Hvem er ansvarlig
Læs mereInformation om PenSam s behandling af personoplysninger m.v. til dig, som ikke er kunde i PenSam
Information om PenSam s behandling af personoplysninger m.v. til dig, som ikke er kunde i PenSam I PenSam passer vi godt på de personlige oplysninger, vi får i forbindelse med sagsbehandling af vores kunders
Læs mere1. Har jeres organisation kendskab til den nye databeskyttelsesforordning?
Her finder I 12 spørgsmål, som I, der er dataansvarlige, med fordel kan forholde jer til allerede nu for at forberede jer på den nye databeskyttelsesforordning, som finder anvendelse fra den 25. maj 2018.
Læs mereGML-HR A/S CVR-nr.:
Erklæring fra uafhængig revisor Erklæringsafgivelse i forbindelse med overholdelse af persondataforordningen (GDPR) pr. 25-05-2018 ISAE 3000-I CVR-nr.: 33 07 66 49 Maj 2018 REVI-IT A/S statsautoriseret
Læs mereVejledning om adfærdskodekser. og certificeringsordninger. Januar Januar /23. Vejledning om adfærdskodekser og certificeringsordninger
Vejledning om adfærdskodekser og certificeringsordninger Januar 2018 1/23 Januar 2018 Indhold 1.0 Forord 3 2.0 Adfærdskodekser 4 2.1 Hvad er en adfærdskodeks? 4 2.2 Hvem kan udarbejde en adfærdskodeks?
Læs mereAFGØRELSER. (EØS-relevant tekst)
22.6.2018 DA L 159/31 AFGØRELSER RÅDETS AFGØRELSE (EU) 2018/893 af 18. juni 2018 om den holdning, der skal indtages på Den Europæiske Unions vegne i Det Blandede EØS-Udvalg, vedrørende ændringen af bilag
Læs mereDen Dataansvarlige og Databehandleren benævnes herefter samlet "Parter" og hver for sig "Part".
DATABEHANDLERAFTALE mellem KUNDEN (som defineret i punkt 2 nedenfor) (den "Dataansvarlige") og TECHEM DANMARK A/S CVR-nr. 29 41 69 82 Trindsøvej 7 A-B 8000 Aarhus C ("Databehandleren") Den Dataansvarlige
Læs mereDatabeskyttelsesdagen 2016
Databeskyttelsesdagen 2016 Christiansborg v/ direktør Cris-na Angela Gulisano Emner Datatilsynet i dag Ny forordning på vej Hvilken tilsynsmyndighed? Nye opgaver? Nye måder at samarbejde på? Fremtidens
Læs mereKontraktbilag 3. Databehandleraftale
Kontraktbilag 3 Databehandleraftale 1. DATABEHANDLERAFTALENS OMFANG OG FORMÅL Formålet med behandlingen af personoplysninger er overordnet set at drive en iværksætterpilotordning som nærmere fastlagt i
Læs mere1. Oplysningspligt overfor den registrerede hvor oplysningerne indsamles hos den registrerede
RETNIGSLINJER OM SIKRING AF REGISTREREDES RETTIGHEDER IHT. DATABESKYTTELSESFORORDNINGEN Vinde Helsinge Friskole, Vestsjællands Idrætsefterskole Vinde Helsingevej 41, 4281 Gørlev CVR-nummer: 57 24 02 10
Læs mereKomiteen for Sundhedsoplysning CVR-nr.:
Erklæring fra uafhængig revisor Erklæringsafgivelse i forbindelse med overholdelse af databeskyttelsesforordningen (GDPR) pr. 20-12-2018 ISAE 3000 Komiteen for Sundhedsoplysning CVR-nr.: 14 03 53 38 December
Læs meregenerel information om databeskyttelse til jobansøgere
generel information om databeskyttelse til jobansøgere indledning Formålet med denne generelle information er at beskrive, hvordan og hvorfor vi behandler dine personoplysninger, samt dine rettigheder
Læs mereForslag til Lov om ændring af lov om arbejdsskadesikring i Grønland
1 Forslag til Lov om ændring af lov om arbejdsskadesikring i Grønland (Overførsel af personoplysninger til tredjeland) 1 I lov om arbejdsskadesikring i Grønland, jf. lovbekendtgørelse nr. 75 af 16. januar
Læs mereVedtaget den 9. juli Vedtaget 1
Udtalelse 8/2019 om en tilsynsmyndigheds kompetence i tilfælde af en ændring af omstændighederne vedrørende hovedvirksomheden eller den eneste etablering Vedtaget den 9. juli 2019 Vedtaget 1 Indholdsfortegnelse
Læs mereForsvarsministeriets Materiel- og Indkøbsstyrelse
Bilag 8 Databehandleraftale [Vejledning til Tilbudsgiverne: Bilaget skal ikke udfyldes af Tilbudsgiver i forbindelse med afgivelse af tilbud. Bilag udfyldes i fællesskab med FMI, hvis det er nødvendigt.
Læs mereDatabehandleraftale Om Valeurs behandling af oplysninger på vegne af kunden
valeur@valeur.dk www.valeur.dk Databehandleraftale Om Valeurs behandling af oplysninger på vegne af kunden Indholdsfortegnelse Kapitel 1 Kapitel 4 Databehandleraftalens baggrund Anvendelsesområde og omfang
Læs merePrivatlivspolitik/- Persondatapolitik for HF & VUC Nordsjælland
Privatlivspolitik/- Persondatapolitik for HF & VUC Nordsjælland 2 Baggrund for persondatapolitikken HF & VUC Nordsjællands persondatapolitik er udarbejdet i overensstemmelse med kravene i Europa-Parlamentets
Læs mereFysiske personer. Vi ved jo alle, hvad en person er. Det er sådan en som os selv (Peter Blume: Databeskyttelsesret, 4. udg., 2013, s. 30f.
GDPR and all that Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne
Læs mereHvad betyder den nye persondataforordning for udvikling og brug af digitale sundhedsløsninger, og hvem har ansvaret for overholdelse?
Hvad betyder den nye persondataforordning for udvikling og brug af digitale sundhedsløsninger, og hvem har ansvaret for overholdelse? 1 KORT PRÆSENTATION 2 Svenn Bekmose, CISA Tem Schnell Christiansen,
Læs mereDatabehandleraftale. Mellem. Den dataansvarlige: Virksomhed: CVR: Adresse: Postnummer & By: Land: Databehandleren. Virksomhed: OnlineFox CVR:
Databehandleraftale Mellem Den dataansvarlige: Virksomhed: CVR: Adresse: Postnummer & By: Land: og Databehandleren Virksomhed: OnlineFox CVR: 38687794 Adresse: Pilagervej 32 Postnummer & By: 4200 Slagelse
Læs mereRetsudvalget L 68 endeligt svar på spørgsmål 2 Offentligt
Retsudvalget 2017-18 L 68 endeligt svar på spørgsmål 2 Offentligt Spørgsmål 2 fra Folketingets Retsudvalg vedrørende forslag L 68 til lov om supplerende bestemmelser til forordning om beskyttelse af fysiske
Læs mereAftale om fælles dataansvar for Dansk Boldspil-Union s fælles ITsystemer, der udbydes i Dansk Boldspil-Union s regi
Aftale om fælles dataansvar for Dansk Boldspil-Union s fælles ITsystemer, der udbydes i Dansk Boldspil-Union s regi Indledning Denne aftale er udarbejdet af Dansk Boldspil-Union under henvisning til databeskyttelsesforordningen
Læs mereOplysninger om vores behandling af personoplysninger vi indsamler om dig
Oplysninger om vores behandling af personoplysninger vi indsamler om dig 1. Vi er den dataansvarlige hvordan kontakter du os? Klinik Bettina er dataansvarlig for behandlingen af de personoplysninger, som
Læs mereBEK nr 529 af 02/05/2019 (Gældende) Udskriftsdato: 20. juni Senere ændringer til forskriften Ingen
BEK nr 529 af 02/05/2019 (Gældende) Udskriftsdato: 20. juni 2019 Ministerium: Undervisningsministeriet Journalnummer: Undervisningsmin., Styrelsen for It og Læring, j.nr. 18/13045 Senere ændringer til
Læs mereLector ApS CVR-nr.:
Erklæring fra uafhængig revisor Erklæringsafgivelse i forbindelse med overholdelse af databeskyttelsesloven (GDPR) pr. 06-07-2018 ISAE 3000-I Lector ApS CVR-nr.: 10 02 16 18 Juli 2018 REVI-IT A/S statsautoriseret
Læs mereINTERN HR PERSONDATAPOLITIK FOR LIONS MD106. Nærværende gælder for MD 106, dvs. alle ansatte og medlemmer i Lions MD 106.
INTERN HR PERSONDATAPOLITIK FOR LIONS MD106 Nærværende gælder for MD 106, dvs. alle ansatte og medlemmer i Lions MD 106. INDHOLDSFO RTEGNELSE: Generelt 3 2 Definitioner 3 3 Formål med Behandlingen af dine
Læs mereForsikring & Pension Philip Heymans Allé 1 2900 Hellerup
Forsikring & Pension Philip Heymans Allé 1 2900 Hellerup 14. maj 2012 Orientering om nye regler om private dataansvarliges anmeldelsespligt Datatilsynet Borgergade 28, 5. 1300 København K CVR-nr. 11-88-37-29
Læs mereCuranet A/S Databehandleraftale. Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")
DATABEHANDLERAFTALE Databehandleraftalen foreligger mellem Åstvej 10, B 7190 Billund CVR. nr. 30 56 13 17 (i det følgende betegnet Dataansvarlig ) og Curanet A/S Højvangen 4 8660 Skanderborg CVR. nr. 29
Læs mereVilkår for behandling af personoplysninger
Vilkår for behandling af personoplysninger Indsamling og behandling af personoplysninger AL Finans (ALF) indhenter oplysninger til brug for tilbud af finansielle ydelser af enhver art, herunder betalinger,
Læs mereNye regler på vej Status på arbejdet med databeskyttelsesforordningen. 8. november 2017
Nye regler på vej Status på arbejdet med databeskyttelsesforordningen 8. november 2017 Program Baggrunden for betænkningen Betænkningens hovedkonklusioner og konkrete nedslag Det kommende lovforslag Vejledninger
Læs mereDatabehandleraftale. Mellem. Den dataansvarlige. Databehandleren. ErhvervsHjemmesider.dk ApS CVR Haslegårdsvej 8.
Databehandleraftale Mellem Den dataansvarlige og Databehandleren ErhvervsHjemmesider.dk ApS CVR 36944293 Haslegårdsvej 8 8210 Aarhus V DK 1 Indhold 2 Baggrund for databehandleraftalen... 3 3 Den dataansvarliges
Læs merePlan og Handling CVR-nr.:
Erklæring fra uafhængig revisor Erklæringsafgivelse i forbindelse med overholdelse af databeskyttelsesforordningen (GDPR) og tilhørende databeskyttelseslov pr. 29-01-2019 ISAE 3000 CVR-nr.: 18 13 74 37
Læs merePersondatapolitik. Dataansvarlig Paarup Hansen ApS Enghaven Roskilde Danmark CVR-nr.:
Persondatapolitik Dataansvarlig Paarup Hansen ApS Enghaven 59 4000 Roskilde Danmark CVR-nr.: 66234118 1 1. Indledning 1.1 Denne politik om indsamling og behandling af personoplysninger og anvendelse af
Læs merePersondatapolitik. 1. Dataansvarlig
Persondatapolitik Denne persondatapolitik forklarer, hvordan Innovation CPHsound Design (''vi'') behandler og sikrer dine personoplysninger. 1. Dataansvarlig Den juridiske enhed, som er ansvarlig for behandlingen
Læs merePERSONDATA. Politik om Privatlivsbeskyttelse og Datasikkerhed for Ejendomsadministration hos EcoVillage.
PERSONDATA Politik om Privatlivsbeskyttelse og Datasikkerhed for Ejendomsadministration hos EcoVillage. EcoVillage tager som dataansvarlig beskyttelsen af dine persondata alvorligt. Vi vil altid gøre vores
Læs mereGDPR og borgerne og arkiverne og arkivloven
GDPR og borgerne og arkiverne og arkivloven GDPR og databeskyttelsesloven trådte i kraft den 25. maj 2018. Samme dato ændredes arkivloven, men kun redaktionelt. Vi venter stadig på de materielle ændringer,
Læs mereDATABEHANDLERAFTALE Databehandleren skal overholde Persondataloven og Persondataforordningen, samt heraf afledt national lovgivning.
DATABEHANDLERAFTALE Opdateret 24. maj 2018 Virksomhedsnavn: Virksomhedens adresse: Postnummer og by: Virksomhedens CVR nr.: (herefter benævnt Dataansvarlig ) og SpotOn Marketing ApS Ryesgade 106A, 4. th.
Læs mereJeres virksomhed ( Kunden ); og Digital-servicebook.com, Vordingborgvej 79, 4700 Næstved DK ( Leverandøren )
DATABEHANDLERAFTALEN Databehandleraftale ( Aftalen ) mellem: Jeres virksomhed ( Kunden ); og Digital-servicebook.com, Vordingborgvej 79, 4700 Næstved DK-36726350 ( Leverandøren ) A: OMFANG A.1 Databehandleraftale
Læs mereRetningslinjer for behandling af personoplysninger for kunder og leverandører i med Anker Hansen og Co. A/S ( AHC ) CVR-nr
OPLYSNINGER OM PERSONDATA TIL KUNDER OG ØVRIGE SAMARBEJDSPARTNERE Retningslinjer for behandling af personoplysninger for kunder og leverandører i med Anker Hansen og Co. A/S ( AHC ) CVR-nr. 11 57 33 47.
Læs mere(den Dataansvarlige og Databehandleren i det følgende hver for sig benævnt Part og under et Parterne )
MySolutionSpace ApS Måløv Byvej 229.V. 2760 Måløv CVR: 34 46 36 89 [Part] [Adresse] [Adresse] CVR-nr.: [XX] (den Dataansvarlige ) og MySolutionSpace ApS Måløv Byvej 229.V. 2760 Måløv Danmark CVR-nr.: 34
Læs mereCC GROUP DENMARK Databehandleraftale Kunde Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")
DATABEHANDLERAFTALE Aftalen foreligger mellem Adresse Post nr. og By CVR. nr. xx xx xx xx (i det følgende betegnet Dataansvarlig ) og CC GROUP DENMARK Møllebugtvej 5 7000 Fredericia Att: CVR. nr. 27415032
Læs mereOplysningerne opbevares hos den dataansvarlige og/eller Oplysningerne opbevares hos databehandler
Blankettype: Stillingsbesættende virksomhed Datatilsynet Borgergade 28 1300 København K Anmeldelse af behandlinger af oplysninger der foretages for en privat dataansvarlig, og som sker med henblik på erhvervsmæssig
Læs mereBilag A Databehandleraftale pr
1. BAGGRUND, FORMÅL OG OMFANG 1.1 Som led i den Dataansvarliges (Beierholms kunde) indgåelse af aftale om levering af finansielle ydelser, som beskrevet i samarbejdsaftale, foretager Databehandleren (Beierholm)
Læs merePersondatabeskyttelsespolitik for REFA
Persondatabeskyttelsespolitik for REFA 1. Introduktion... 3 2. Ansvarlighed... 3 3. Hvem er Persondatabeskyttelsespolitikken rettet til... 3 4. Hvem er ansvarlig for denne politik... 3 5. Hvilke oplysninger...
Læs merePersondata politik for GHP Gildhøj Privathospital
Persondata politik for GHP Gildhøj Privathospital Baggrund for persondatapolitikken Denne persondatapolitik er udarbejdet i overensstemmelse med kravene i Europa- Parlamentets og Rådets forordning (EU)
Læs mereCirkulæreskrivelse om fælles dataansvar for visse administrative systemer, som stilles til rådighed af Styrelsen for It og Læring
Cirkulæreskrivelse om fælles dataansvar for visse administrative systemer, som stilles til rådighed af Styrelsen for It og Læring 1. Indledning 1.1. Denne cirkulæreskrivelse er udarbejdet af Styrelsen
Læs mereBilag B Databehandleraftale pr
1. BAGGRUND, FORMÅL OG OMFANG 1.1 Som led i den Dataansvarliges (s kunde) indgåelse af aftale om levering af ydelser, som beskrevet i Aftalen, foretager Databehandleren () behandling af personoplysninger,
Læs mereBehandling af personoplysninger
Behandling af personoplysninger Orientering til kunder om Zibo Athene A/S behandling af personoplysninger. Nærværende dokument er en information til dig som kunde hos Zibo Athene A/S (herefter Zibo Athene)
Læs mereDe Europæiske Fællesskabers Tidende. (Retsakter hvis offentliggørelse ikke er obligatorisk) KOMMISSIONEN
L 181/19 II (Retsakter hvis offentliggørelse ikke er obligatorisk) KOMMISSIONEN KOMMISSIONENS BESLUTNING af 15. juni 2001 om standardkontraktbestemmelser for overførsel af personoplysninger til tredjelande
Læs merePersondatapolitikken er godkendt på Nykøbing Katedralskoles bestyrelsesmøde den [bliver taget op på bestyrelsesmøde i september 2018].
Baggrund for persondatapolitikken Nykøbing Katedralskoles persondatapolitik er udarbejdet i overensstemmelse med kravene i Europa- Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse
Læs mere- med dig i fremtiden DATABEHANDLERAFTALE. Aftale omkring behandling af persondata. Udarbejdet af: Mentor IT
DATABEHANDLERAFTALE Aftale omkring behandling af persondata Udarbejdet af: Mentor IT Aftalen Denne databehandleraftale (Aftalen) er er et tillæg til den indgåede kontrakt mellem kunden (Dataansvarlig)
Læs mereDATABEHANDLERAFTALE. Aftale omkring behandling af persondata Januar 2018 Version 1.1
DATABEHANDLERAFTALE Aftale omkring behandling af persondata Januar 2018 Version 1.1 Udarbejdet af: Jansson Gruppen A/S på vegne af: Jansson EL A/S, CVR nr.: 73 28 93 19 Jansson Alarm A/S, CVR nr.: 74 78
Læs merePRIVATLIVSPOLITIK FOR MATCHWORK, OFIR OG BRANDERO
PRIVATLIVSPOLITIK FOR MATCHWORK, OFIR OG BRANDERO 1. BESKYTTELSE AF DIT PRIVATLIV MatchWork A/S (herefter Udbyder ) tager behandling af dine persondata alvorligt. Vi sikrer rimelig og gennemsigtig databehandling
Læs mereKOMMISSIONENS DELEGEREDE FORORDNING (EU)
L 125/4 KOMMISSIONENS DELEGEREDE FORORDNING (EU) 2019/758 af 31. januar 2019 om supplerende regler til Europa-Parlamentets og Rådets direktiv (EU) 2015/849 for så vidt angår reguleringsmæssige tekniske
Læs mereKERTEMINDE FORSYNING - VARME A/S Kohaven Kerteminde CVR-nr Kundeservice:
Side 1 af 6 Privatlivspolitik Nuværende og tidligere kunder hos vores 5 forskellige selskaber der repræsenterer: Kerteminde Forsyning A/S Kerteminde Forsyning - Spildevand A/S Kerteminde Forsyning - Vand
Læs mere(Kunden og Databehandleren herefter hver for sig kaldet en Part eller Parten og tilsammen Parter eller Parterne )
Databehandleraftale Denne databehandleraftale er indgået dags dato mellem: klinikforafspaending.easyme.dk (CVR: 30978595) kontakt@klinikforafspaending.dk klinikforafspaending.easyme.dk (herefter kaldet
Læs mereDATABEHANDLERAFTALE. Omsorgsbemanding
DATABEHANDLERAFTALE Omsorgsbemanding Nærværende databehandleraftale er indgået mellem Omsorgsbemanding, via Manningsmart IVS (CVR-nr.: 40217231) og brugeren af Omsorgsbemanding. Partnerne omtales i nærværende
Læs mereDATABEHANDLERAFTALE. Conscia A/S. Conscia A/S Kirkebjerg Parkvej 9 DK-2605 Brøndby Tlf
DATABEHANDLERAFTALE Conscia A/S Conscia A/S Kirkebjerg Parkvej 9 DK-2605 Brøndby Tlf. +45 7020 7780 www.conscia.com 1 INDHOLDSFORTEGNELSE 1. BAGGRUND OG FORMÅL... 3 2. OMFANG... 3 3. VARIGHED... 3 4. DEN
Læs mereAftale vedrørende fælles dataansvar
Aftale vedrørende fælles dataansvar Mellem Dataansvarlig 1 og Dataansvarlig 2 Baptisternes Børne- og Ungdomsforbund CVR 28536364 Fælledvej 16 7200 Grindsted 1. Fælles dataansvar 1.1. Denne aftale fastsætter
Læs mereRETNIGSLINJER OM SIKRING AF REGISTREREDES RETTIGHEDER
Bostedet Skovmosen Skovmosen 8, 3450 Allerød Hovmosegaard STU Gammel Bregnerødvej 16, 3520 Farum CVR.nr. 17814001 har den 31.01.2018 fastlagt følgende retningslinjer om sikring af registreredes rettigheder
Læs mereDatabeskyttelsespolitik for:
Databeskyttelsespolitik for: Forsikringsmæglerne på Roskilde Lufthavn A/S CVR. nr. 29838003 Forsikringsformidling og rådgivning Torben Lund Simonsen CVR. nr. 57112158 25. maj 2018 1. Introduktion... 3
Læs mereAftalen foreligger mellem kunden (i det følgende betegnet Dataansvarlig )
Aftalen foreligger mellem kunden (i det følgende betegnet Dataansvarlig ) og Steuermann ApS Flæsketorvet 68 1711 København V CVR. nr. 35809422 (i det følgende betegnet Databehandler ) (herefter samlet
Læs mereStandard Document. Persondataforordningen og Privatpolitikker (eller på engelsk, The general data protection regulation)
Indhold 1. Indhold... 1 Vi er den dataansvarlige hvordan kontakter du os?... 2 Kontaktoplysninger... 2 Formålene med og retsgrundlaget for behandlingen af dine personoplysninger... 2 Kategorier af personoplysninger...
Læs mereARTIKEL 29-Gruppen vedrørende Databeskyttelse
ARTIKEL 29-Gruppen vedrørende Databeskyttelse 1112/05/DA WP 103 Udtalelse 1/2005 om databeskyttelsesniveauet i Canada i forbindelse med luftfartsselskabers overførsel af PNR- og API-oplysninger Vedtaget
Læs mereTilsynsbesøget fandt sted den 9. november 2018.
Randers Kommune Laksetorvet 1 8900 Randers C Sendt med Digital Post 5. august 2019 Tilsyn med Randers Kommunes behandling af personoplysninger Datatilsynet Borgergade 28, 5. 1300 København K CVR-nr. 11-88-37-29
Læs mereI denne privatlivspolitik beskriver vi vores behandling af oplysninger om kunder.
Nuværende og tidligere gæster hos Royal Scandinavian Casino I/S Som dataansvarlig virksomhed ligger databeskyttelse os meget på sinde. Vi værner om de personoplysninger, som vi håndterer, og vi sikrer
Læs merePersondataforordningen
Klik for at tilføje en undertiteltitel Persondataforordningen Ved adv.fm. Kasper Hendrup Andersen Persondataretten: Før og nu Data Protection Directive General Data Protection Regulation (GDPR) Lighed
Læs mereStandardvilkår. Databehandleraftale
Standardvilkår Databehandleraftale 1 Indhold 2 Vilkårenes status... 2 3 Baggrund for databehandleraftalen... 2 4 Formål med databehandlingen... 2 5 Personoplysninger omfattet af databehandleraftalen...
Læs mereSurftown A/S. Regionsgolf-Danmark DATABEHANDLERAFTALE. Databehandleraftalen foreligger mellem. Regionsgolf-Danmark.
Surftown A/S Regionsgolf-Danmark 08-05-2018 DATABEHANDLERAFTALE Databehandleraftalen foreligger mellem Regionsgolf-Danmark Michael Hansen Søndermarkvej, 60 4200 Slagelse CVR. nr. 34759316 (i det følgende
Læs mereNuværende og tidligere kunder hos GRIP Danmark, ACTAS A/S. GRIP Danmark tilhører den landsdækkende sikringsvirksomhed ACTAS A/S
Privatlivspolitik Nuværende og tidligere kunder hos GRIP Danmark, ACTAS A/S. GRIP Danmark tilhører den landsdækkende sikringsvirksomhed ACTAS A/S Som dataansvarlig virksomhed ligger databeskyttelse os
Læs merePersondatapolitikken er godkendt på Horsens HF & VUCs bestyrelsesmøde den 14. juni 2018.
Persondatapolitik for Horsens HF & VUC Baggrund for persondatapolitikken Horsens HF & VUCs persondatapolitik er udarbejdet i overensstemmelse med kravene i Europa-Parlamentets og Rådets forordning (EU)
Læs mereRetningslinje om de registreredes rettigheder
N. Zahles Skole Nørre Voldgade 5 1358 København K Danmark t: + 45 33 69 79 00 e: kontakt@zahles.dk Retningslinje om de registreredes rettigheder Anvendelsesområde Retningslinje om de registreredes rettigheder
Læs mereKOMMISSIONENS DELEGEREDE FORORDNING (EU) / af
EUROPA- KOMMISSIONEN Bruxelles, den 1.3.2016 C(2016) 1224 final KOMMISSIONENS DELEGEREDE FORORDNING (EU) / af 1.3.2016 om supplerende regler til Europa-Parlamentets og Rådets forordning (EU) nr. 596/2014
Læs mereBilag 1 Databehandler aftale (v.1.2)
Denne databehandleraftale er et tillæg til gældende rammeaftale mellem Kunden og Telefonmøder ApS. Databehandleraftalens underbilag B opdateres løbende for at sikre korrekt overblik over vores underdatabehandlere.
Læs merePersondatapolitik for Tørring Gymnasium 2018
Persondatapolitik for Tørring Gymnasium 2018 Baggrund for persondatapolitikken Tørring Gymnasiums persondatapolitik er udarbejdet i overensstemmelse med kravene i Europa- Parlamentets og Rådets forordning
Læs mere