Overførsel af personoplysninger til tredjelande
Personoplysninger må som udgangspunkt kun overføres til virksomheder m.v. beliggende i et tredjeland, som sikrer et tilstrækkeligt beskyttelsesniveau. Udgangspunktet gælder såvel ved overladelse af personoplysninger til en databehandler som ved videregivelse af personoplysninger til en ny dataansvarlig.
Overførsel af personoplysninger til virksomheder beliggende i sikre tredjelande (herunder til amerikanske virksomheder tilmeldt "Safe Harbor") kræver Datatilsynets forudgående tilladelse bl.a., hvis der overføres følsomme eller semi-følsomme oplysninger.
Overførsel af personoplysninger til virksomheder beliggende i usikre tredjelande (og til amerikanske virksomheder ikke tilmeldt "Safe Harbor") vil kunne ske, hvis den registrerede udtrykkeligt har samtykket til overførslen, eller hvis overførslen er nødvendig af hensyn til nærmere angivne formål m.v. I sådanne tilfælde vil en overførsel af følsomme og semi-følsomme oplysninger kræve Datatilsynets forudgående tilladelse, medmindre overførslen sker med den registreredes udtrykkelige samtykke, eller overførslen er nødvendig for at beskytte nærmere angivne interesser m.v.
Overførsel af personoplysninger til virksomheder beliggende i andre tredjelande (og til amerikanske virksomheder ikke tilmeldt "Safe Harbor") vil også kunne ske efter Datatilsynets forudgående tilladelse, når den dataansvarlige har ydet tilstrækkelige garantier for beskyttelse af de registreredes rettigheder. EU-Kommissionens standardkontraktbestemmelser frembyder tilstrækkelige garantier for beskyttelse af de registreredes rettigheder, og det er også muligt at yde tilstrækkelige garantier ved anvendelse af binding corporate rules.