Modelkontrakter skal ikke længere godkendes af Datatilsynet/ Underretning ved udlevering af personoplysninger til uvedkommende/ Lancering af bindende koncerrnregler for databehandlere

Dato 5 feb. 2013
Download PDF version PDF

 

Denne gang ser MWB Updated – Persondataret på ændringer af Persondataloven omkring overførsel af personoplysninger til usikre tredjelande, som ikke længere skal godkendes af Datatilsynet. Endvidere ser vi på bindende koncernregler (BCR) for databehandlere.

 

Modelkontrakter skal ikke længere godkendes af Datatilsynet

Hidtil har tilladelse fra Datatilsynet været påkrævet, når en virksomhed skulle overføre personoplysninger til såkaldte usikre tredjelande, dvs. til virksomheder i lande uden for EU/EØS.

Folketinget har vedtaget en ændring af Persondataloven, hvorefter det ikke længere er nødvendigt at indhente tilladelse fra Datatilsynet, når der ikke er foretaget ændringer i forhold til Kommissionens standardkontrakter.

Ved lovændringen er der samtidig indført en bestemmelse, som i særlige tilfælde giver Datatilsynet mulighed for at forbyde eller suspendere en overførsel af personoplysninger til usikre tredjelande. Forbuddet eller suspensionen omfatter også overførsler, hvor modelkontrakterne fra Europa Kommissionen benyttes. Bestemmelsen er tiltænkt tilfælde, hvor f.eks. en myndighed har fastslået, at modtageren ikke overholder bestemmelserne i modelkontrakten.

 

Vores vurdering

Lovændringen medfører en forenklet procedure for overførsel af personoplysninger til usikre tredjelande. Vi anbefaler, at der ved benyttelse af modelkontrakterne udvises agtpågivenhed for at sikre, at der ikke foretages ændringer i standardkontraktbestemmelserne, med mindre der er et konkret behov for det.

[Lov nr. 1245/2012 vedtaget af Folketinget den 11. december 2012]



Underretning ved udlevering af personoplysninger til uvedkommende

I forbindelse med en sag om aktindsigt havde Ankestyrelsen ved en fejl videregivet oplysninger om to personer til en uvedkommende person. Fejlen var opstået i forbindelse med scanning af dokumenter og efterfølgende håndtering i et elektronisk dokumenthåndteringsprogram.

Datatilsynet vurderede, at der var sket en ganske omfattende videregivelse af personoplysninger, og videregivelsen kunne ikke udelukkes at have haft konsekvenser for de berørte personer. Datatilsynet lagde vægt på, at Ankestyrelsen ikke havde taget initiativ til at få oplysningerne retur eller slettet hos den person, der havde modtaget oplysningerne. Datatilsynet udtalte, at de berørte personer burde være blevet underrettet om den uretmæssige videregivelse.

 

Vores vurdering

Vi anbefaler, at virksomheder og offentlige myndigheder udarbejder procedurer for, hvordan behandlingsfejl og sikkerhedsbrist i forhold til personoplysninger håndteres. Procedurerene skal indeholde tiltag i forhold til at få oplysninger retur eller slettet og bestemmelser om underretning af de berørte personer.

[Datatilsynets afgørelse af 29. juni 2012, journalnummer: 2011-632-0103]

 


Lancering af bindende koncerrnregler for databehandlere

Bindende koncernregler for databehandlere (”Binding Corporate Rules” eller ”BCR”) er regler, der vedtages af en koncern, der har virksomheder i flere lande. Formålet med reglerne er at sikre, at overførsel af persondata til lande i koncernen uden for EU sker i overensstemmelse med de europæiske regler om databeskyttelse.

BCR giver udelukkende mulighed for at overføre oplysningerne, og der skal fortsat være grundlag i loven for at kunne videregive oplysningerne til koncernselskaberne. Kravene til udformningen og indholdet af BCR findes i artikel 29-gruppens udtalelser.

Artikel 29-gruppen består af en repræsentant fra hvert af EU-medlemsstaternes datatilsyn og vedtager henstillinger og udtalelser vedrørende beskyttelsen af personoplysninger. Artikel-29-gruppen har med virkning fra 1. januar 2013 lanceret bindende koncernregler, der kan tiltrædes af databehandlere for eksempel i forbindelse med outsourcing og cloud computing, således at de individuelle kontrakter med it-leverandører ikke behøver at indeholde særskilte databehandlerklausuler.

De nye BCR er kun bindende for de databehandlere, som har ansøgt om tilladelse. Ansøgning om tilladelse til at blive en del af de nye bindende koncernregler for databehandlere sker ved at udfylde en ansøgning, som kan hentes på både arbejdsgruppens og Datatilsynets hjemmesider.

[Artikel-29-gruppens pressemeddelelse fra 21. december 2012, Artikel-29-gruppens Working Document 02/2012 - 00930/12/EN - WP 195 fra 6. juni 2012, og ansøgningsformular for databehandlere udstedt den 17. september 2012.]


 

Kontakt os, hvis du har spørgsmål eller brug for rådgivning.

Nicolai Hesgaard
nhe@mwblaw.dk
+45 33 77 90 30

Henrik Syskind
hsp@mwblaw.dk
+45 33 77 90 25


Maria Thomsen
mth@mwblaw.dk
+ 45 33 77 90 17

 

Ovenstående er ikke juridisk rådgivning, og Moalem Weitemeyer Bendtsen indestår ikke for, at indholdet af ovenstående er korrekt. Moalem Weitemeyer Bendtsen har med ovenstående ikke påtaget sig ansvar af nogen art som konsekvens af en læsers benyttelse af ovenstående.