Datatilsynet klar med opdateret vejledning om overførsel til tredjelande: Her er reglerne

Den opdaterede vejledning kommer efter en række nye vejledninger fra det Europæiske Databeskyttelsesråd (EDPB) samt den nye tilstrækkelighedsafgørelse vedrørende USA.

Artikel top billede

(Foto: Datatilsynet)

Datatilsynet har opdateret sin vejledning om overførsel af personoplysninger til tredjelande - altså lande udenfor EU.

Det sker i forbindelse med den seneste udvikling på området siden den sidste opdatering.

Den opdaterede vejledning henvender sig til dataansvarlige og databehandlere i virksomheder og myndigheder.

Disse får en kort introduktion til reglerne i databeskyttelsesforordningens kapitel fem, der handler om overførsel af personoplysninger til tredjelande og internationale organisationer.

Den nye vejledning omfatter blandt andet en række nye vejledninger fra det Europæiske Databeskyttelsesråd (EDPB).

Den væsentligste del af den nye vejledning er, at der nu tages højde for EU-Kommissionens vedtagelse af en ny tilstrækkelighedsafgørelse vedrørende USA.

Eksempler på eksempler

Vejledningen består af en gennemgang af en lang række forskellige eksempler på situationer, hvor der er tale om en overførsel til et tredjeland.

Nedenfor er tre af disse eksempler.

Brug af cloud-løsning

I det første eksempel, er der tale om et forsikringsselskab i Danmark, der behandler oplysninger om sine kunder i et sagsbehandlingssystem, der er baseret på en cloud-løsning.

Cloud-leverandør til denne løsning befinder sig i Tyrkiet.

Sagsbehandlingssystemet og de personoplysninger, som behandles i systemet, bliver derfor lagret i et datacenter i Tyrkiet.

Når personoplysningerne lagres på en server hos cloud-leverandøren i Tyrkiet, sker
der en overførsel, fordi personoplysningerne, som behandles af det danske forsikringsselskab, der anses som dataeksportør, forlader EU/EØS og stilles til rådighed for cloudleverandøren i Tyrkiet, der anses som dataimportør.

Outsourcing af it-support

I det andet eksempel, handler det om et dansk teleselskab, der ønsker at benytte en virksomhed i Indien til it-support, hvilket vil indebære behandling af personoplysninger.

De indiske medarbejdere har ikke teknisk adgang til at lagre eller printe personoplysningerne hos den danske virksomhed, men har alene via en fjernadgang mulighed for at se oplysningerne, når de yder it-support. Oplysningerne forlader således ikke EU/EØS.

Alligevel er der dog tale om en overførsel til et tredjeland, da oplysningerne, som behandles af det danske teleselskab, der også kaldes for 'dataeksportøren', gøres tilgængelige for supportmedarbejderne i den indiske virksomhed, der også kaldes for 'dataimportøren'.

Det er irrelevant, at de indiske medarbejdere hverken taler eller forstår dansk, eller at de instrueres i ikke at søge i personoplysningerne.

Brug af konsulentservice

Det tredje eksempel handler om en dansk konsulentvirksomhed, der tilbyder en service, som går ud på at udarbejde statistik på baggrund af forbrugsvaner.

En e-handelsplatform i Kina ønsker at gøre brug af denne service og sender til i den forbindelse oplysninger om sine kinesiske kunder til konsulentvirksomheden i Danmark.

Når virksomheden i Kina sender personoplysninger til virksomheden i Danmark, er
der ikke tale om en overførsel til et tredjeland, da oplysningerne overføres fra Kina til
Danmark.

Hvis personoplysningerne efter endt behandling hos den danske virksomhed returneres til virksomheden i Kina, vil dette imidlertid være en overførsel, fordi personoplysningerne forlader EU/EØS og stilles til rådighed for en virksomhed i et tredjeland.

Det har i den forbindelse ingen betydning, at der er tale om oplysninger om kinesiske personer, som fysisk befinder sig uden for EU/EØS.

Der er i alt 18 forskellige eksempler i Datatilsynets opdaterede vejledning.

Se hele vejledningen her.

Netcompany A/S

Microsoft Operations Engineer

Midtjylland

Red Barnet

Software developer til Red Barnets IT-team

Københavnsområdet

Forsvarsministeriets Materiel- og Indkøbsstyrelse

MLOps Engineer til opbygning af Forsvarets nye AI-platform

Københavnsområdet

Navnenyt fra it-Danmark

Pinksky ApS har pr. 1. maj 2026 ansat Dan Toft, 29 år,  som Rådgivende konsulent, Partner. Han skal især beskæftige sig med digitalisering med Microsoftplatformen. Han kommer fra en stilling som Microsoft 365 & SharePoint Specialist hos Evobis ApS. Han er uddannet datamatiker. Han har tidligere beskæftiget sig med Microsoft 365 og SharePoint udvikling. Nyt job

Dan Toft

Pinksky ApS

Sharp Consumer Electronics har pr. 1. april 2026 ansat Daniel Eriksson som salgsdirektør for de nordiske lande. Han skal især beskæftige sig med at accelerere virksomhedens vækst i Norden. Han kommer fra en stilling som nordisk salgsdirektør hos Hisense. Han har tidligere beskæftiget sig med detailhandel, kommerciel strategi og markedsudvidelser med bemærkelsesværdige resultater til følge. Nyt job

Daniel Eriksson

Sharp Consumer Electronics

Pinksky har pr. 1. maj 2026 ansat Alexander Skou Henkel, 39 år,  som Rådgivende konsulent. Han skal især beskæftige sig med optimering af forretningsprocesser i Microsoft platformen. Han kommer fra en stilling som IT forretningskonsulent hos Evobis ApS. Han har tidligere beskæftiget sig med forretningsudvikling i Microsoft platformen. Nyt job
Jakob Dirksen, SVP, Nordic Customer Delivery & Operations hos GlobalConnect, er pr. 1. maj 2026 forfremmet til EVP, Infrastructure Delivery & Operations. Han skal fremover især beskæftige sig med at lede Infrastructure Delivery & Operations, der har til opgave at drive og udvikle fibernetværket på tværs af virksomheden. Forfremmelse

Jakob Dirksen

GlobalConnect