Databeskyttelsesretlige begreber og forkortelser
Den engelsksproget betegnelse for ansvarlighed
Residualbetegnelse for personoplysninger, der ikke har karakter af følsomme personoplysninger.
Residualbetegnelse for personoplysninger, der ikke har karakter af følsomme personoplysninger. Synonymt med begrebet anvendes ”ikke-følsomme personoplysninger”
En sammenslutning af ledelsesrepræsentanter for de nationale tilsynsmyndigheder samt repræsentanter fra EU-institutionerne nedsat i henhold til art. 29 i det tidligere persondatadirektiv.
Art. 29-gruppen blev afløst af Det Europæiske Databeskyttelsesråd i forbindelse med overgangen fra persondatadirektivet til databeskyttelsesforordningen.
Art. 29-gruppen har udgivet en række vejledninger og udtalelser, der fortsat kan have værdi for forståelsen af forordningen. Nogle af disse er tiltrådt af Det Europæiske Databeskyttelsesråd.
Forkortelse for ”Binding Corporate Rules” (dansk: bindende virksomhedsregler).
Defineret i forordningens art. 4, nr. 2, som ”enhver aktivitet eller række af aktiviteter – med eller uden brug af automatisk behandling – som personoplysninger eller en samling af personoplysninger gøres til genstand for, f.eks. indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse”.
Behandlingsbegrebet er således et af databeskyttelsesrettens centrale begreber. Som følge af begrebets brede, giver det dog sjældent anledning til fortolkningstvivl.
I sin generelle form betegnelse for kravet om, at en behandling af personoplysninger, skal være omfattet af et konkret behandlingsgrundlag for at være lovlig (som f.eks. i dette udsagn: ”lovlig behandling af personoplysninger kræver et behandlingsgrundlag”).
I sin konkrete form en henvisning til et eller flere af de seks behandlingsgrundlag, der følger af forordningens art. 6, stk. 1.
Synonymt med begrebet anvendes ”hjemmelsgrundlag”. Om de seks behandlingsgrundlag i art. 6, stk. 1, anvendes også begrebet ”behandlingsregler”.
Betegnelse for de grundlæggende principper for behandling af personoplysninger, der følger af databeskyttelsesforordningens art. 5, stk. 1.
Betegnelse for de seks behandlingsgrundlag i art. 6, stk. 1
Defineret i forordningens art. 4, nr. 22, som ”en tilsynsmyndighed, der er berørt af en behandling af personoplysninger, fordi a) den dataansvarlige eller databehandleren er etableret på denne tilsynsmyndigheds medlemsstats område b) de registrerede, der har bopæl i denne tilsynsmyndigheds medlemsstat, i væsentlig grad er påvirket af eller sandsynligvis i væsentlig grad vil kunne blive påvirket af behandlingen, eller c) en klage er blevet indgivet til denne tilsynsmyndighed.
Som led i one-stop-shop ordningen er en dataansvarlig som udgangspunkt kun underlagt tilsynsmyndigheden i det land, hvor den dataansvarlige er etableret eller har sit hovedkontor. I sager om grænseoverskridende behandling af personoplysninger vil denne tilsynsmyndighed (benævnt den ledende tilsynsmyndighed ofte samarbejde med tilsynsmyndigheder fra andre berørte lande. Disse øvrige tilsynsmyndigheder benævnes i denne type sager for ”berørte tilsynsmyndigheder”.
Betænkning nr. 1565 om databeskyttelsesforordningen (2016/679) og de retlige rammer for dansk lovgivning udgivet af Justitsministeriet i 2017.
Betænkningen beskriver de dagældende databeskyttelsesregler i persondataloven og persondatadirektivet, de nye regler i databeskyttelsesforordningen, mulighederne for nationale særregler under forordningen og behovet for ændringer af gældende ret.
Defineret i forordningens art. 4, nr. 20, som ”regler om beskyttelse af personoplysninger, som en dataansvarlig eller databehandler, der er etableret på en medlemsstats område, overholder i forbindelse med en overførsel eller en række overførsler af personoplysninger til en dataansvarlig eller databehandler i et eller flere tredjelande inden for en koncern eller gruppe af foretagender, der udøver en fælles økonomisk aktivitet”.
Den engelsksproget betegnelse for bindende virksomhedsregler.
Forkortelse for “Commission Nationale de l’Informatique et des Libertés”. Tilsynsmyndighed for Frankrig.
Forkortelse for “Conserned Supervisor Authority” (dansk: “berørt tilsynsmyndighed“).
Ordning, der skal etablere et grundlag for overførsel af personoplysninger fra EU til amerikanske virksomheder efter databeskyttelsesforordningens art. 45. Ordningen skal afløse Privacy Shield-ordningen, der blev statueret ugyldig af EU-Domstolen i Schrems II-dommen.
Den engelsksprogede betegnelse for konsekvensanalyse.
Den engelsksproget betegnelse for databeskyttelsesrådgiver.
Defineret i forordningens art. 4, nr. 7, som “den fysiske eller juridiske person, en offentlig myndighed, en institution eller et andet organ, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger”.
Den dataansvarlige er forordningens primært pligtsubjekt.
Defineret i forordningens art. 4, nr. 8, som “en fysisk eller juridisk person, en offentlige myndighed, en institution eller andet organ, der behandler oplysninger på den dataansvarliges vegne”.
Databehandleren handler på vegne af og efter instruks fra den dataansvarlige og er derfor ikke databeskyttelsesforordningens primære pligtsubjekt. En række af forordningens bestemmelser pålægger dog databehandleren selvstændige pligter, ligesom databehandleren kan blive pålagt erstatningsansvar og bødestraf efter forordningens art. 82 og 83.
Aftale mellem den dataansvarlige og en databehandler om sidstnævntes behandling af personoplysninger på vegne af den dataansvarlige. Det er efter forordningens art. 28, stk. 3, et krav, at der indgås en aftale mellem parterne, når den dataansvarlige overlader behandlingen til en databehandler. Bestemmelsen fastsætter også krav til indholdet af aftalen.
Forordning 2016/679 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).
Ofte blot benævnt “GDPR” (forkortelse for General Data Protection Regulation).
Forordningen afløste det tidligere persondatadirektiv med virkning fra 25. maj 2018.
Lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger om fri udveksling af sådanne oplysninger (databeskyttelsesloven).
Som titlen angiver, indeholder databeskyttelsesloven bestemmelser, der supplerer databeskyttelsesforordningen.
Synonym for Det Europæiske Databeskyttelsesråd.
Person der har til formål at sikre en organisations
overholdelse af de databeskyttelsesretlige regler. Offentlige
myndigheder og visse private virksomheder har
pligt til at udpege en databeskyttelsesrådgiver i henhold
til databeskyttelsesforordningens art. 37. Databeskyttelsesrådgiveren
kan være ansat i organisationen eller tilknyttet
som ekstern rådgiver. Databeskyttelsesrådgiveren
skal under alle omstændigheder leve op til de krav, der
følger af art. 38 og varetage de opgaver, der er angivet i
art. 39.
Betegnelse for en dataansvarlig eller databehandler, der
overfører personoplysninger til en dataimportør.
Betegnelse for en fysisk eller juridisk person i et tredjeland,
som en dataeksportør overfører personoplysninger til.
Datarådet udgør sammen med et sekretariat Datatilsynet.
Rådet er nedsat i henhold til databeskyttelseslovens §
27, stk. 3, og består af otte medlemmer. Formanden skal
være landsdommer eller højesteretsdommer.
Datarådets primære opgave er at træffe afgørelse i principielle
sager. Hovedparten af Datatilsynets arbejde varetages
således af sekretariatet under ledelse af tilsynets
direktør.
Uafhængig tilsynsmyndighed i Danmark, der fører tilsyn med overholdelse af databeskyttelsesforordningen, databeskyttelsesloven og særregler om behandling af personoplysninger, der ligger inden for forordningens rammer. Nedsat med hjemmel i forordningens art. 51 og databeskyttelseslovens § 27.
Datatilsynet udgøres af Datarådet og et sekretariat, der ledes af en direktør. Hovedparten af Datatilsynets arbejde varetages af sekretariatet.
Synonym for den registrerede.
Uafhængigt EU-instans, der fører tilsyn med EU-institutionernes overholdelse af de regler for behandling af personoplysninger, som institutionerne er underlagt efter forordning 2018/1725 (der i det væsentlige svarer til reglerne i databeskyttelsesforordningen). Etableret i hen- hold til forordning 2018/1725 art. 52.
Ofte anvendes ”EDPS” (forkortelse for ”European Data Protection Supervisor”) som betegnelse for Den Europæiske Tilsynsførende for Databeskyttelse.
I forordningens terminologi betegnelse for den person, hvis personoplysninger bliver behandlet. Den registrerede er forordningens beskyttelsessubjekt og den, som tildeles en række rettigheder.
Begrebet ”datasubjekt” anvendes synonymt med ”den registrerede”.
Et EU-organ bestående af cheferne for de 27 nationale tilsynsmyndigheder og Den Europæiske Tilsynsførende for Databeskyttelse oprettet i henhold til databeskyttelsesforordningens art. 68.
Det Europæiske Databeskyttelsesråd afløste art. 29-gruppen da persondatadirektivet blev afløst af forordningen. Rådet skal navnlig sikre en ensartet anvendelse af forordningen på tværs af medlemsstaterne og de nationale tilsynsmyndigheder. Den nærmere regulering af rådet og dets arbejdsopgaver følger af forordningens art. 68 ff.
Ofte anvendes ”EDPB” (European Data Protection Board”) eller ”Databeskyttelsesrådet” som synonym for Det Europæiske Databeskyttelsesråd.
Betegnelse for det ”rum” medlemsstaterne har til at vedtage nationale særregler om databeskyttelse, der supplerer databeskyttelsesforordningen.
Direktiv 95/46 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger.
Direktivet, der i Danmark var implementeret ved persondataloven, blev erstattet af databeskyttelsesforordningen den 25. maj 2018.
Direktivet benævnes ofte ”persondatadirektivet”.
Kan både være en forkortelse for ”Data Protection Aut- hority” (dansk: tilsynsmyndighed) og for ”Data Processor Agreement” (dansk: databehandleraftale).
Forkortelse for ”the Data Protection Commission”. Tilsynsmyndighed for Irland.
Forkortelse for Data Privacy Framework.
Forkortelse for ”Data Protection Impact Assessment”
(dansk: konsekvensanalyse).
Forkortelse for ”Data Protection Officer” (dansk: databeskyttelsesrådgiver).
Forkortelse for ”European Data Protection Board”
(dansk: Det Europæiske Databeskyttelsesråd).
Forkortelse for ”European Data Protection Supervisor”
(dansk: Den Europæiske Tilsynsførende for Databeskyttelse).
Forkortelse for ”European Essential Guarantees”
(dansk: europæiske væsentlige garantier).
Fire garantier, der er oplistet af Det Europæiske Databeskyttelsesråd i anbefalinger 02/2020 på baggrund af Schrems-dommene og anden praksis fra EU-Domstolen og Den Europæiske Menneskerettighedsdomstol. Garantierne har følgende indhold:
- Behandling skal være baseret på klare, præcise og tilgængelige regler.
- Nødvendighed og proportionalitet hvad angår de legitime mål, der forfølges, skal godtgøres.
- Der skal findes en uafhængig tilsynsmekanisme.
- Der skal være effektive retsmidler til rådighed
for de enkelte personer.
Garantierne udgør krav, som skal være opfyldt, før lovgivningen i et tredjeland yder en beskyttelse af personoplysninger, der lever op til de grundlæggende rettigheder efter EU’s charter om grundlæggende rettigheder.
Forordning 2016/679 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).
Ofte blot benævnt ”GDPR” (forkortelse for General Data Protection Regulation) eller ”databeskyttelsesforordningen”.
Forordningen afløste det tidligere persondatadirektiv med virkning fra 25. maj 2018.
Forordning 2018/1725 af 23. oktober 2018 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i Unionens institutioner, organer, kontorer og agenturer og om fri udveksling af sådanne oplysninger og om ophævelse af forordning (EF) nr. 45/2001 og afgørelse nr. 1247/2002/EF.
Forordning 2018/1725 regulerer EU-institutionernes behandling af personoplysninger, idet denne behandling ikke er omfattet af den generelle databeskyttelsesforordning. Forordningen er i vidt omfang identisk med den generelle databeskyttelsesforordning.
Betegnelse for en særlig kategori af personoplysninger, der ikke nævnes udtrykkeligt i databeskyttelsesreglerne, men som anvendes i Datatilsynets praksis. Der er således tale om et særligt nationalt begreb.
En personoplysning anses for fortrolig, hvis den efter den almindelige samfundsopfattelse bør kunne forlanges unddraget offentlighedskendskab.
Følsomme personoplysninger vil altid have karakter af fortrolige personoplysninger, men det omvendt ikke nødvendigvis vil være tilfældet.
Ikke-følsomme personoplysninger kan i visse situationer have karakter af følsomme personoplysninger. Det gælder efter omstændighederne oplysninger om indtægts- og formueforhold, arbejds-, uddannelses- og ansættelsesmæssige forhold. Det samme gælder oplysninger om interne familieforhold, herunder for oplysninger om for eksempel selvmordsforsøg og ulykkestilfælde.
Betegnelse for den særlige kategori af personoplysninger, der er oplistet i databeskyttelsesforordningens art. 9, stk. 1.
Begrebet anvendes ikke i nogen af forordningens bestemmelser men er anvendt i præambelbetragtning 10 og anvendes også i databeskyttelsesloven, jf. dennes § 7.
Forkortelse for ”General Data Protection Regulation”
(dansk: databeskyttelsesforordningen).
Synonym for behandlingsgrundlag.
Forkortelse for ”Information Commissioner’s Office”. Tilsynsmyndighed for Storbritannien.
Residualbetegnelse for personoplysninger, der ikke har karakter af følsomme personoplysninger. Synonymt med begrebet anvendes ”almindelige personoplysninger”.
Betegnelse for den forudgående analyse af mulige konsekvenser for beskyttelsen af personoplysninger, som en dataansvarlig skal foretage efter forordningens art. 35, når behandlingen indebærer en høj risiko for fysiske personers rettigheder og frihedsrettigheder.
Europarådets konvention af 28. januar 1981 om beskyttelse af det enkelte menneske i forbindelse med elektronisk databehandling af personoplysninger.
Opdateret version af konvention 108 fra 2018. Opdateringen har bl.a. til formål at skabe en større ensartethed med databeskyttelsesforordningen.
Den tilsynsmyndighed der i henhold til proceduren i databeskyttelsesforordningens art. 60 leder en sag om grænseoverskridende behandling af personoplysninger. Den ledende tilsynsmyndighed er som regel tilsynsmyndigheden i det land, hvor den dataansvarlige har sit hovedsæde. I sager om grænseoverskridende behandling af personoplysninger samarbejder den ledende tilsynsmyndighed med tilsynsmyndigheder i de andre lande, hvis borgere også får behandlet deres personoplysninger. Disse andre tilsynsmyndigheder benævnes berørte tilsynsmyndigheder.
Forkortelse for ”Legitimate Interest Assessment”, der er en engelsksproget betegnelse for den interesseafvejning, der skal foretages efter databeskyttelsesforordningens art. 6, stk. 1, litra f.
Forkortelse for ”Lead Supervisor Authority” (dansk: ledende tilsynsmyndighed).
Betegnelse for den ordning, hvorefter en dataansvarlig kun er underlagt én tilsynsmyndighed, typisk der hvor den dataansvarlige har hovedsæde, også selvom den dataansvarlige foretage grænseoverskridende behandling af personoplysninger, som også omfatter registrerede i andre medlemsstater.
Anvendes ofte synonymt med personoplysning.
Betegnelse for den situation, hvor en dataeksportør overfører personoplysninger fra et EØS-land til en dataimportør i et tredjeland.
Begrebet er centralt i reguleringen af overførsler til tredjeland i databeskyttelsesforordningens kap. V men er ikke defineret i forordningen.
Synonymt med tredjelandsoverførsel.
Betegnelse for direktiv 95/46 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger.
Direktivet, der i Danmark var implementeret ved persondataloven, blev erstattet af databeskyttelsesforordningen den 25. maj 2018.
Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger.
Persondataloven implementerede persondatadirektivet og blev ophævet med virkning fra 25. maj 2018, hvor databeskyttelsesforordningen fik virkning og databeskyttelsesloven trådte i kraft.
Begreb der mest bruges i den offentlige debat om databeskyttelsesretlige spørgsmål. Det er ikke et begreb, der normalt anvendes i databeskyttelsesretten, og når begrebet bruges, er det som regel uklart, om det sigter til personoplysninger i generel forstand, til følsomme personoplysninger eller til noget tredje. Af samme grund bør begrebet undgås.
Begrebet er defineret i databeskyttelsesforordningens art. 4, nr. 1, som ”enhver form for information om en identificeret eller identificerbar fysisk person (’den registrerede’); ved identificerbar fysisk person forstås en fysisk person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator som f.eks. et navn, et identifikationsnummer, lokaliseringsdata, en onlineidentifikator eller et eller flere elementer, der er særlige for denne fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet”.
Kernen i afgrænsningen af databeskyttelsesforordningens anvendelsesområde er ”behandling” af ”personoplysninger”. Personoplysningsbegrebet er således et af databeskyttelsesrettens mest centrale begreber.
Ordning, der etablerede et grundlag for at overføre personoplysninger fra EU til amerikanske virksomheder efter databeskyttelsesforordningens art. 45. Ordningen blev statueret ugyldig af EU-Domstolen i Schrems II-dommen.
Ældre udtryk for dataansvarlig, der blev anvendt i direktiv 95/46.
Se den registrerede.
Forkortelse for ”Supervisor Authority” (dansk: tilsynsmyndighed).
Ordning, der etablerede et grundlag for at overføre personoplysninger fra EU til amerikanske virksomheder efter persondatadirektivets art. 26. Ordningen blev statueret ugyldig af EU-Domstolen i Schrems I-dommen.
Forkortelse for ”Standard Contractual Clauses” (dansk: standardkontraktbestemmelser).
EU-Domstolens dom af 6. oktober 2015 i sag C-362/14 (Maximillian Schrems mod Data Protection Commissioner).
Dommen fastslog, at Safe Harbor-ordningen ikke ydede et tilstrækkeligt beskyttelsesniveau efter persondatadirektivets art. 26, når personoplysninger blev overført til USA. Dommen fastslog, at det kan være i strid med EU’s charter om grundlæggende rettigheder, hvis lovgivningen i et tredjeland gør det muligt for offentlige myndigheder på generel vis at få adgang til indholdet af elektronisk kommunikation, herunder personoplysninger, eller hvis lovgivningen ikke indeholder retsmidler, der gør det muligt at få adgang til egne oplysninger eller få oplysninger berigtiget eller slettet.
EU-Domstolens dom af 16. juli 2020 i sag C-311/18 (Data Protection Commissioner mod Facebook Ireland Ltd og Maximilliam Schrems).
Dommen fastslog, at Privacy Shield-ordningen ikke ydede et tilstrækkeligt beskyttelsesniveau efter databeskyttelsesforordningens art. 45, når personoplysninger blev overført til USA. Dommen fastslog endvidere, at der kun kan overføres personoplysninger efter forordningens art. 46, hvis lovgivningen i tredjelandet sikrer et beskyttelsesniveau for de grundlæggende rettigheder, som i det væsentlige svarer til det niveau, der er sikret i EU i medfør af forordningen sammenholdt med charteret. EU-Domstolen fandt ikke, at den amerikanske lovgivning levede op til disse krav. Dommen har medført betydelig usikkerhed om muligheden for lovligt at overføre oplysninger til USA og andre usikre tredjelande.
Betegnelse for tredjelande, som Kommissionen har fast- slået har et tilstrækkeligt beskyttelsesniveau efter databeskyttelsesforordningens art. 45.
Den engelsksproget betegnelse for standardkontraktbestemmelser.
Efter databeskyttelsesforordningens art. 46, stk. 2, litra c og d, kan Kommissionen henholdsvis tilsynsmyndighederne udstede standardbestemmelser, der regulerer forholdet mellem en dataeksportør og en dataimportør ved en overførsel af personoplysninger til et usikkert tredjeland.
Som regel anvendes begrebet standardkontraktbestemmelser frem for ”standardbestemmelser”.
I forordningens art. 64, stk. 1, litra d, anvendes begrebet også om de standardkontraktbestemmelser, en tilsynsmyndighed kan udstedes efter art. 28, stk. 8. Forordningen indeholder således en ikke-konsekvent brug af de to synonyme begreber ”standardbestemmelser” og ”standardkontraktbestemmelser”.
Databeskyttelsesforordningen giver Kommissionen og tilsynsmyndighederne hjemmel til at udstede to typer af standardkontraktbestemmelser.
Efter art. 28, stk. 7 og 8, kan Kommissionen henholdsvis tilsynsmyndighederne udstede standardkontraktbestemmelser, der regulerer forholdet mellem en dataansvarlig og en databehandler. I denne situation er der med andre ord tale om en standard databehandleraftale.
Efter art. 46, stk. 2, litra c og d, kan Kommissionen henholdsvis tilsynsmyndighederne udstede standardbestemmelser, der regulerer forholdet mellem en dataeksportør og en dataimportør ved en overførsel af personoplysninger til et usikkert tredjeland. Bestemmelsen anvender begrebet ”standardbestemmelser” og ikke ”standardkontraktbestemmelser”. I forordningens art. 57, stk. 1, litra j, anvendes begrebet ”standardkontraktbestemmelser” imidlertid også om standardbestemmelserne efter art. 46. Kommissionen har med gennemførelsesafgørelse 2021/914 af 4. juni 2021, vedtaget standardkontraktbestemmelser efter art. 46, hvor Kommissionen også anvender betegnelsen ”standardkontraktbestemmelser”.
Når begrebet anvendes, vil det oftest være om standardkontraktbestemmelser for tredjelandsoverførsler efter art. 46.
Ofte anvendes betegnelsen SCC (”standard contractual clauses”) om standardkontraktbestemmelser.
Betegnelse for foranstaltninger, der eventuelt kan lovliggøre en overførsel af personoplysninger til et usikkert tredjeland, hvis lovgivningen i det pågældende tredjeland ikke sikrer de registreredes grundlæggende rettigheder. Begrebet er introduceret af EU-Domstolen i Schrems II- dommen.
Betegnelse for den særlige kategori af personoplysninger, der er oplistet i databeskyttelsesforordningens art. 9, stk. 1.
Ofte anvendes betegnelsen følsomme personoplysninger om denne type af oplysninger.
Forkortelse for Transfer Impact Assessment.
I databeskyttelsesforordningens art. 4, nr. 21, defineret som ”en uafhængig offentlig myndighed, der er etableret i en medlemsstat i henhold til artikel 51”.
Tilsynsmyndigheden er således en nationale offentlige myndighed, der fører tilsyn med overholdelse af databeskyttelsesreglerne. I Danmark varetages funktionen af Datatilsynet.
Medlemsstaternes pligt til at udpege en tilsynsmyndighed og de nærmere regler for tilsynsmyndigheden følger af forordningens art. 51 ff.
Afgørelse truffet af Kommissionen efter databeskyttelsesforordningens art. 45 om, at et tredjeland har et tilstrækkeligt beskyttelsesniveau. Tredjelandet får hermed status som sikkert tredjeland.
En vurdering af, om en overførsel af personoplysninger til et tredjeland vil være lovlig.
I Schrems II-dommen fastslog EU-Domstolen, at dataeksportøren i hvert enkelt tilfælde skal foretage en konkret vurdering af, om lovgivningen i tredjelandet sikrer den fornødne beskyttelse, før en overførsel foretages.
Betegnelse for lande, der ikke er medlem af EU eller deltager i EØS-samarbejdet. EØS-landene er udover EU-medlemsstaterne Norge, Island og Liechtenstein.
Betegnelse for den situation, hvor en dataeksportør overfører personoplysninger fra et EØS-land til en dataimportør i et tredjeland.
Begrebet er centralt i reguleringen af overførsler til tredjelande i databeskyttelsesforordningens kap. V men er ikke defineret i forordningen.
Synonymt med overførsel.
I databeskyttelsesforordningens art. 4, nr. 10, defineret som ”en anden fysisk eller juridisk person, offentlig myndighed eller institution eller ethvert andet organ end den registrerede, den dataansvarlige, databehandleren og de personer under den dataansvarliges eller databehandlerens direkte myndighed, der er beføjet til at behandle personoplysninger”.
Fysisk eller juridisk person der behandler personoplysninger på vegne af en databehandler. Begrebet anvendes ikke i databeskyttelsesforordningen, der i art. 28, stk. 4, i stedet anvender betegnelserne ”oprindelig databehandler” om databehandleren og ”anden databehandler” om underdatabehandleren.
Aftale mellem en databehandler og en underdatabehandler om sidstnævntes behandling af personoplysninger på vegne af databehandleren. Det er efter databeskyttelsesforordningens art. 28, stk. 4, et krav, at der indgås en aftale mellem parterne, når databehandleren overlader behandlingen til en underdatabehandler. Bestemmelsen fastsætter også krav til indholdet af aftalen.
Betegnelse for tredjelande, som Kommissionen ikke har fastslået har et tilstrækkeligt beskyttelsesniveau efter databeskyttelsesforordningens art. 45.
Betegnelse for en dataimportørs videregivelse af personoplysninger til en tredjepart fra et land uden for EØS.
Begrebet er ikke anvendt i forordningen men anvendt i Kommissionens standardkontraktbestemmelser for overførsel af personoplysninger til tredjelande.