Ulovlig overførsel af personoplysninger?

En selvejende institution kan have leverandører, der har adgang til de personoplysninger, som institutionen behandler om borgere, medarbejdere mv. Leverandørerne kunne fx være:

• Leverandører af it-systemer (ikke KK-systemer) hvor personoplysninger registreres eller
• Administrationsselskaber, der håndterer personaleadministration, lønudbetalinger mv. eller
• Andre virksomheder, der bistår institutionen - fx ifm. personaleudvikling.

I alle tilfælde betyder det, at I skal have en databehandleraftale med disse leverandører. Aftalen instruerer leverandøren i, hvad denne må gøre med personoplysningerne på vegne af jer.

I den forbindelse er der et helt særligt forhold, som vi skal gøre opmærksom på

En databehandler må ikke overføre personoplysninger til usikre 3. lande, medmindre der er helt specifikke sikkerhedsforanstaltninger til stede.

Typisk vil databehandleren selv befinde sig i Danmark, men kan bruge underdatabehandlere i udlandet.

Problemet er gældende både for jeres nuværende databehandleraftaler og fremtidige aftaler med leverandører.

Vi vil anbefale

At I gennemgår jeres databehandleraftaler og undersøger, om databehandler eller underdatabehandlers adresse ligger udenfor de lande, som fremgår af lande-listen herunder.

Hvis databehandler eller underdatabehandlers adresser ikke fremgår af aftalen, bør I skriftligt modtage adresserne på disse, så I kan sammenligne informationerne med listen herunder.

Er der adresser udenfor EU samt lande jf. landelisten herunder (dvs. data befinder sig i usikre 3. lande), vil vi anbefale, at I overvejer at udfase og på sigt udskifte system / leverandør med en anden leverandør.

LANDELISTEN: