Overfører du personlysninger til tredjelande?
Compliance EU-ret Persondata og cybersikkerhed
Overførsler af personoplysninger til tredjelande kræver et gyldigt grundlag efter GDPR kapitel V. Vurder om landet er omfattet af en tilstrækkelighedsafgørelse, eller brug SCC, BCR m.v. Gennemfør en TIA og etabler supplerende foranstaltninger. Husk skærpet oplysningspligt.

Overførsel af personoplysninger til lande uden for EU/EØS udløser særlige krav efter GDPR kapitel V. Først skal det afklares, om der overhovedet sker en overførsel, og hvilket land eller hvilken aktør der modtager oplysningerne. Dernæst skal der vælges et gyldigt overførselsgrundlag og gennemføres en risikovurdering af modtagerlandets retlige og faktiske forhold. Endelig skal den øgede oplysningspligt over for de registrerede efterleves med klare og tilgængelige oplysninger.

Overførsel og tredjelande

En overførsel foreligger, når en dataansvarlig eller databehandler i EU/EØS videregiver eller stiller personoplysninger til rådighed for en modtager i et tredjeland. Det gælder også ved fjernadgang, hvor data rent fysisk forbliver i EU, men kan ses af en modtager uden for EU, fx ved outsourcing af IT-support. Den kvalifikation følger Datatilsynets praksis og vejledning.

Er modtagerlandet omfattet af en tilstrækkelighedsafgørelse fra EU-Kommissionen, kan overførslen ske uden yderligere garantier, men kun inden for afgørelsens materielle og sektorielle rammer. Listen over lande, der anses for at yde et tilstrækkeligt beskyttelsesniveau, findes hos Datatilsynet. Se listen over sikre tredjelande hos Datatilsynet her.

Overførselsgrundlag til usikre tredjelande

Mangler der tilstrækkelighed, kræves et gyldigt overførselsgrundlag i GDPR kapitel V. De mest anvendte er EU-Kommissionens standardkontraktbestemmelser, som er forholdsvis hurtige at implementere, men ofte skal suppleres med tekniske og organisatoriske foranstaltninger. Bindende virksomhedsregler kan være velegnede i koncerner med mange interne overførsler, men kræver en omfattende godkendelsesproces.

Andre muligheder omfatter ad hoc-kontrakter og visse administrative ordninger, som forudsætter Datatilsynets forhåndsgodkendelse, samt retligt bindende instrumenter mellem offentlige myndigheder. Adfærdskodekser og certificeringsmekanismer kan på sigt blive praktiske, men kræver godkendte ordninger. Se Datatilsynets vejledning om overførsel til tredjelande her.

Supplerende krav og oplysningspligt

Et gyldigt overførselsgrundlag er ikke altid tilstrækkeligt i praksis. Den dataansvarlige skal vurdere, om modtagerlandets lovgivning og myndighedsadgang i realiteten kan undergrave beskyttelsesniveauet. Hvor der er risiko, skal der implementeres supplerende foranstaltninger, fx effektiv kryptering med nøglekontrol i EU, robust pseudonymisering, stram adgangsstyring, logging og kontraktlige forbud mod udlevering uden retslig prøvelse.

En struktureret tilgang kan med fordel følge disse trin:

  1. Gennemfør en Transfer Impact Assessment, der dækker retsgrundlag, myndighedsadgang og håndhævelsesmuligheder i modtagerlandet.
  2. Involver dataimportøren og relevante kilder, herunder branchevejledning og sikkerhedsanbefalinger, for at identificere effektive foranstaltninger.
  3. Dokumentér valg og implementering, og genbesøg vurderingen løbende, hvis forholdene ændrer sig.

Der gælder skærpede oplysningskrav. Ved overførsel til et sikkert land skal den registrerede informeres om, at overførslen sker på grundlag af en tilstrækkelighedsafgørelse. Ved usikre lande skal overførselsgrundlaget beskrives, fx SCC, og hvordan der kan opnås indsigt i væsentligt indhold. Undtagelserne i artikel 49 er forbeholdt særlige, enkeltstående situationer og kan ikke bære gentagne eller omfattende overførsler.

Praktisk anbefales en fastlagt proces: afklar om der sker overførsel, identificér land og rollefordeling, vælg og implementér overførselsgrundlag, udfør TIA med passende supplerende foranstaltninger, og opfyld oplysningspligten. Løbende overvågning og dokumentation er afgørende for at kunne påvise overholdelse.

Læs hele artiklen hos WTC advokaterne →
Søgeord
GDPR, Databehandleraftale, EU Kommissionen, Risikovurdering, Tekniske foranstaltninger, Datatilsynet, Databeskyttelse, Standardkontraktbestemmelser, Dataansvarlig, Pseudonymisering, GDPR art 44, Kryptering, EDPB, Personoplysninger, Oplysningspligt, Databehandler, Adfærdskodeks, GDPR kapitel V, Organisatoriske foranstaltninger, Transparens, Overførselsgrundlag, Tilstrækkelighedsafgørelse, Bindende virksomhedsregler, GDPR art 46, Tredjelande, SCC, BCR, Transfer impact assessment, Myndighedsadgang, Tia, Supplerende foranstaltninger, Gdpr art 49, Cloud, Internationale aftaler, Ad hoc kontrakter, Administrative ordninger, Retligt bindende instrumenter, Certificeringsmekanismer, Fjernadgang, Kontraktuelle foranstaltninger
Relaterede artikler
Datatilsynet indleder undersøgelse af Region Hovedstaden
I går
Datatilsynet
Datatilsynet indleder undersøgelse af Region Hovedstaden
Datatilsynet undersøger et forskningsprojekt i Region Hovedstaden og efterspørger grundlaget for persondatabehandlingen. Myndigheden betoner krav om DPIA ved høj risiko, især ved sundhedsdata og AI. Ulovlig behandling kan medføre stop og sletning af data og resultater.
Fodboldklubberne i Superligaen får tilladelse til brug af ansigtsgenkendelse
5 dage siden
Datatilsynet
Fodboldklubberne i Superligaen får tilladelse til brug af ansigtsgenkendelse
Datatilsynet godkender ansigtsgenkendelse ved Superligaklubbernes kampe i 2025/2026 for at håndhæve karantæner, men afslår 1. division af proportionalitetshensyn. Tilladelsen kræver forudgående DPIA og kan være omfattet af tv-overvågningsloven. Eksisterende tilladelser til FCK og Brøndby består.
Afgørelse i principiel GDPR-sag: EU-Domstolen har taget stilling til fortolkning af, hvad der er en personoplysning
4 dage siden
HjulmandKaptain
Afgørelse i principiel GDPR-sag: EU-Domstolen har taget stilling til fortolkning af, hvad der er en personoplysning
EU-Domstolen fastslår, at pseudonymiserede data kan være anonyme for modtageren uden adgang til nøglen, mens den dataansvarliges oplysningspligt stadig gælder før videregivelse. Afgørelsen letter deling og tredjelandsoverførsler, men kræver robuste foranstaltninger og solid dokumentation.
Ny vejledning om kontrolundersøgelser
5 dage siden
Kromann Reumert
Ny vejledning om kontrolundersøgelser
Konkurrence- og Forbrugerstyrelsens nye vejledning om kontrolundersøgelser tydeliggør forløb, rettigheder og pligter ved dawn raids. Out-of-scope-indsigelser er udfaset under dansk ret efter Højesteret, mens proportionalitet og LPP fortsat begrænser bevisanvendelsen.
Relaterede kurser
Årlig ansættelsesretlig opdatering
1.
sep
7
JUC
Årlig ansættelsesretlig opdatering
Risikovurderinger og GDPR
2.
sep
4
JUC
Risikovurderinger og GDPR
AI og jura - Forstå hvad AI kan, og hvad du må
3.
sep
Dansk Industri
AI og jura - Forstå hvad AI kan, og hvad du må
Relaterede jobs
Accura Advokatpartnerselskab
Erfaren jurist til Fund Formation & Alternative Investments
Accura Advokatpartnerselskab
Erhvervsministeriet
Erhvervsministeriets departement søger retschef
Erhvervsministeriet
Styrelsen for Undervisning og Kvalitet
Jurastuderende med interesse for forvaltnings- og databeskyttelsesret søges til Styrelsen for Undervisning og Kvalitet
Styrelsen for Undervisning og Kvalitet
Klima-, Energi- og Forsyningsministeriet
Ambitiøs chefjurist og faglig teamleder til tværgående juridisk sekretariat
Klima-, Energi- og Forsyningsministeriet
Erhvervsministeriet
Vil du være med til at styrke konkurrencen på markedet for internet til forbrugere?
Erhvervsministeriet
ATP
Juridisk konsulent til International Social Sikring
ATP
Gratis adgang til alle juridiske nyheder, artikler og opdateringer.
Opret dig gratis i dag, vælg dine fagområder, og få adgang til et skræddersyet nyhedsoverblik, der gør dig klogere – og holder dig foran.
Opret gratis profil →