Videre til indhold
download
Download oversigten som pdf

Databeskyttelsesretlige begreber og forkortelser

Accountability

Den engelsksproget betegnelse for ansvarlighed

Almindelige personoplysninger

Residualbetegnelse for personoplysninger, der ikke har karakter af følsomme personoplysninger.

Ansvarlighed

Residualbetegnelse for personoplysninger, der ikke har karakter af følsomme personoplysninger. Synonymt med begrebet anvendes ”ikke-føl­somme personoplysninger”

Art. 29-gruppen

En sammenslutning af ledelsesrepræsentanter for de na­tionale tilsynsmyndigheder samt re­præsentanter fra EU-institutionerne nedsat i henhold til art. 29 i det tidligere persondatadi­rektiv.

 

Art. 29-gruppen blev afløst af Det Eu­ropæiske Databeskyttelsesråd i forbindelse med overgan­gen fra persondatadirektivet til databeskyttelsesforordning­en.

 

Art. 29-gruppen har udgi­vet en række vejledninger og udtalelser, der fortsat kan have værdi for forståelsen af forord­ningen. Nogle af disse er tiltrådt af Det Euro­pæiske Databeskyttelsesråd.

BCR

Forkortelse for ”Binding Corporate Rules” (dansk: bin­dende virksom­hedsregler).

Behandling

Defineret i forordningens art. 4, nr. 2, som ”enhver akti­vitet eller række af aktiviteter – med eller uden brug af automatisk behandling – som perso­noplysninger eller en samling af personoplysninger gøres til genstand for, f.eks. indsamling, registrering, organisering, systemati­sering, opbevaring, tilpasning eller ændring, genfin­ding, søgning, brug, videregi­velse ved transmission, for­midling eller enhver anden form for overladelse, sam­menstilling eller samkø­ring, begrænsning, sletning eller tilintetgørelse”.

 

Behandlingsbegrebet er således et af databe­skyttelsesrettens centrale begreber. Som følge af begre­bets brede, giver det dog sjældent anledning til fortolk­ningstvivl.

Behandlingsgrundlag

I sin generelle form betegnelse for kravet om, at en be­handling af perso­noplysninger, skal være omfattet af et konkret behandlingsgrundlag for at være lovlig (som f.eks. i dette udsagn: ”lovlig behandling af personop­lysninger kræver et behand­lingsgrundlag”).

 

I sin konkrete form en henvisning til et eller flere af de seks behandlings­grundlag, der følger af forordningens art. 6, stk. 1.

 

Synonymt med begrebet anvendes ”hjemmelsgrund­lag”. Om de seks be­handlingsgrundlag i art. 6, stk. 1, anvendes også begrebet ”behandlingsreg­ler”.

Behandlingsprincipper

Betegnelse for de grundlæggende principper for be­handling af personop­lysninger, der følger af databeskyttelsesforordnin­gens art. 5, stk. 1.

Behandlingsregler

Betegnelse for de seks behandlingsgrundlag i art. 6, stk. 1

Berørt tilsynsmyndighed

Defineret i forordningens art. 4, nr. 22, som ”en tilsyns­myndighed, der er be­rørt af en behandling af personoplysninger, fordi a) den dataansvarlige eller databehandleren er etableret på denne tilsynsmyndigheds medlemsstats område b) de registrerede, der har bopæl i denne tilsynsmyndigheds medlemsstat, i væsentlig grad er påvirket af eller sandsynligvis i væsentlig grad vil kunne blive påvirket af behandlingen, eller c) en klage er blevet indgivet til denne tilsynsmyndighed.

 

Som led i one-stop-shop ordningen er en dataansvarlig som udgangspunkt kun underlagt tilsynsmyndigheden i det land, hvor den dataansvarlige er etableret eller har sit hovedkontor. I sager om grænseoverskridende be­handling af personoplysninger vil denne tilsynsmyndig­hed (benævnt den ledende tilsynsmyndighed ofte samar­bejde med tilsynsmyndigheder fra andre berørte lande. Disse øvrige tilsynsmyndigheder benævnes i denne type sager for ”berørte tilsynsmyndigheder”.

 

Betænkning 1565/2017

Betænkning nr. 1565 om databeskyttelsesforordningen (2016/679) og de retlige rammer for dansk lovgivning udgivet af Justitsministeriet i 2017.

 

Betænkningen beskriver de dagældende databeskyt­telsesregler i personda­taloven og persondatadirektivet, de nye regler i databeskyttelsesforordnin­gen, mulighe­derne for nationale særregler under forordningen og be­hovet for ændringer af gældende ret.

Bindende virksomhedsregler

Defineret i forordningens art. 4, nr. 20, som ”regler om beskyttelse af personoplysninger, som en dataansvarlig eller databehandler, der er etableret på en medlemsstats område, overholder i forbindelse med en overførsel eller en række overførsler af personoplysninger til en dataansvarlig eller databehandler i et eller flere tredjelande inden for en koncern eller gruppe af foretagender, der udøver en fælles økonomisk aktivitet”.

Binding Corporate Rules

Den engelsksproget betegnelse for bindende virksom­hedsregler.

CNIL

Forkortelse for “Commission Nationale de l’Informa­tique et des Libertés”. Tilsynsmyndighed for Frankrig.

CSA

Forkortelse for “Conserned Supervisor Authority” (dansk: “berørt tilsynsmyndighed“).

Data Privacy Framework

Ordning, der skal etablere et grundlag for overførsel af personoplysninger fra EU til amerikanske virksomheder efter databeskyttelsesforordningens art. 45. Ordningen skal afløse Privacy Shield-ordningen, der blev statueret ugyldig af EU-Domstolen i Schrems II-dommen.

Data Protection Impact Assessment

Den engelsksprogede betegnelse for konsekvensanalyse.

Data Protection Officer

Den engelsksproget betegnelse for databeskyttelsesrådgiver.

Dataansvarlig

Defineret i forordningens art. 4, nr. 7, som “den fysiske eller juridiske per­son, en offentlig myndighed, en insti­tution eller et andet organ, der alene eller sammen med andre af­gør, til hvilke formål og med hvilke hjælpemid­ler der må foretages behandling af personoplysninger”.

 

Den dataansvarlige er forordningens primært pligtsub­jekt.

Databehandler

Defineret i forordningens art. 4, nr. 8, som “en fysisk el­ler juridisk person, en offentlige myndighed, en institut­ion eller andet organ, der behandler oplysninger på den dataansvarliges vegne”.

 

Databehandleren handler på vegne af og efter instruks fra den dataansvar­lige og er derfor ikke databeskyttelsesforordningens primære pligtsubjekt. En række af for­ordningens be­stemmelser pålægger dog databehandleren selvstændi­ge pligter, ligesom databehandleren kan blive pålagt er­statningsansvar og bødestraf efter forordningens art. 82 og 83.

Databehandleraftale

Aftale mellem den dataansvarlige og en databehandler om sidstnævntes behandling af personoplysninger på vegne af den dataansvarlige. Det er efter forordningens art. 28, stk. 3, et krav, at der indgås en aftale mellem parterne, når den dataansvarlige overlader behandlingen til en databehandler. Bestemmelsen fastsætter også krav til indholdet af aftalen.

Databeskyttelsesforordningen

Forordning 2016/679 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne op­lysninger og om ophæ­velse af direktiv 95/46/EF (generel forordning om data­beskyttelse).

 

Ofte blot benævnt “GDPR” (forkortelse for General Data Protection Regulation).

 

Forordningen afløste det tidligere persondatadirektiv med virkning fra 25. maj 2018.

 

Databeskyttelsesloven

Lov nr. 502 af 23. maj 2018 om supplerende bestemmel­ser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger om fri udveksling af sådanne oplysninger (databeskyttelses­loven).

 

Som titlen angiver, indeholder databeskyttelsesloven be­stemmelser, der supplerer databeskyttelsesforordningen.

Databeskyttelsesrådet

Synonym for Det Europæiske Databeskyttelsesråd.

Databeskyttelsesrådgiver

Person der har til formål at sikre en organisations
overholdelse af de databeskyttelsesretlige regler. Offentlige
myndigheder og visse private virksomheder har
pligt til at udpege en databeskyttelsesrådgiver i henhold
til databeskyttelsesforordningens art. 37. Databeskyttelsesrådgiveren
kan være ansat i organisationen eller tilknyttet
som ekstern rådgiver. Databeskyttelsesrådgiveren
skal under alle omstændigheder leve op til de krav, der
følger af art. 38 og varetage de opgaver, der er angivet i
art. 39.

Dataeksportør

Betegnelse for en dataansvarlig eller databehandler, der
overfører personoplysninger til en dataimportør.

Dataimportør

Betegnelse for en fysisk eller juridisk person i et tredjeland,
som en dataeksportør overfører personoplysninger til.

Datarådet

Datarådet udgør sammen med et sekretariat Datatilsynet.
Rådet er nedsat i henhold til databeskyttelseslovens §
27, stk. 3, og består af otte medlemmer. Formanden skal
være landsdommer eller højesteretsdommer.

 

Datarådets primære opgave er at træffe afgørelse i principielle
sager. Hovedparten af Datatilsynets arbejde varetages
således af sekretariatet under ledelse af tilsynets
direktør.

Datatilsynet

Uafhængig tilsynsmyndighed i Danmark, der fører tilsyn med overholdelse af databeskyttelsesforordningen, databeskyttelsesloven og særregler om behandling af personoplysninger, der ligger inden for forordningens rammer. Nedsat med hjemmel i forordningens art. 51 og databeskyttelseslovens § 27.

 

Datatilsynet udgøres af Datarådet og et sekretariat, der ledes af en direktør. Hovedparten af Datatilsynets arbejde varetages af sekretariatet.

 

 

Datasubjekt

Synonym for den registrerede.

Den Europæiske Tilsynsførende for Databeskyttelse

Uafhængigt EU-instans, der fører tilsyn med EU-institutionernes overholdelse af de regler for behandling af personoplysninger, som institutionerne er underlagt efter forordning 2018/1725 (der i det væsentlige svarer til reglerne i databeskyttelsesforordningen). Etableret i hen- hold til forordning 2018/1725 art. 52.

 

Ofte anvendes ”EDPS” (forkortelse for ”European Data Protection Supervisor”) som betegnelse for Den Europæiske Tilsynsførende for Databeskyttelse.

Den registrerede

I forordningens terminologi betegnelse for den person, hvis personoplysninger bliver behandlet. Den registrerede er forordningens beskyttelsessubjekt og den, som tildeles en række rettigheder.

 

Begrebet ”datasubjekt” anvendes synonymt med ”den registrerede”.

Det Europæiske Databeskyttelsesråd

Et EU-organ bestående af cheferne for de 27 nationale tilsynsmyndigheder og Den Europæiske Tilsynsførende for Databeskyttelse oprettet i henhold til databeskyttelsesforordningens art. 68.

 

Det Europæiske Databeskyttelsesråd afløste art. 29-gruppen da persondatadirektivet blev afløst af forordningen. Rådet skal navnlig sikre en ensartet anvendelse af forordningen på tværs af medlemsstaterne og de nationale tilsynsmyndigheder. Den nærmere regulering af rådet og dets arbejdsopgaver følger af forordningens art. 68 ff.

 

Ofte anvendes ”EDPB” (European Data Protection Board”) eller ”Databeskyttelsesrådet” som synonym for Det Europæiske Databeskyttelsesråd.

Det nationale råderum

Betegnelse for det ”rum” medlemsstaterne har til at vedtage nationale særregler om databeskyttelse, der supplerer databeskyttelsesforordningen.

Direktiv 95/46

Direktiv 95/46 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger.

 

Direktivet, der i Danmark var implementeret ved persondataloven, blev erstattet af databeskyttelsesforordningen den 25. maj 2018.

 

Direktivet benævnes ofte ”persondatadirektivet”.

DPA

Kan både være en forkortelse for ”Data Protection Aut- hority” (dansk: tilsynsmyndighed) og for ”Data Processor Agreement” (dansk: databehandleraftale).

DPC

Forkortelse for ”the Data Protection Commission”. Tilsynsmyndighed for Irland.

DFC

Forkortelse for Data Privacy Framework.

DPIA

Forkortelse for ”Data Protection Impact Assessment”

(dansk: konsekvensanalyse).

DPO

Forkortelse for ”Data Protection Officer” (dansk: databeskyttelsesrådgiver).

EDPB

Forkortelse for ”European Data Protection Board”

(dansk: Det Europæiske Databeskyttelsesråd).

EDPS

Forkortelse for ”European Data Protection Supervisor”

(dansk: Den Europæiske Tilsynsførende for Databeskyttelse).

EEG

Forkortelse for ”European Essential Guarantees”

(dansk: europæiske væsentlige garantier).

Europæiske væsentlige garantier

Fire garantier, der er oplistet af Det Europæiske Databeskyttelsesråd i anbefalinger 02/2020 på baggrund af Schrems-dommene og anden praksis fra EU-Domstolen og Den Europæiske Menneskerettighedsdomstol. Garantierne har følgende indhold:

  1. Behandling skal være baseret på klare, præcise og tilgængelige regler.
  2. Nødvendighed og proportionalitet hvad angår de legitime mål, der forfølges, skal godtgøres.
  3. Der skal findes en uafhængig tilsynsmekanisme.
  4. Der skal være effektive retsmidler til rådighed

    for de enkelte personer.

 

Garantierne udgør krav, som skal være opfyldt, før lovgivningen i et tredjeland yder en beskyttelse af personoplysninger, der lever op til de grundlæggende rettigheder efter EU’s charter om grundlæggende rettigheder.

Forordning 2016/679

Forordning 2016/679 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).

 

Ofte blot benævnt ”GDPR” (forkortelse for General Data Protection Regulation) eller ”databeskyttelsesforordningen”.

 

Forordningen afløste det tidligere persondatadirektiv med virkning fra 25. maj 2018.

Forordning 2018/1725

Forordning 2018/1725 af 23. oktober 2018 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i Unionens institutioner, organer, kontorer og agenturer og om fri udveksling af sådanne oplysninger og om ophævelse af forordning (EF) nr. 45/2001 og afgørelse nr. 1247/2002/EF.

 

Forordning 2018/1725 regulerer EU-institutionernes behandling af personoplysninger, idet denne behandling ikke er omfattet af den generelle databeskyttelsesforordning. Forordningen er i vidt omfang identisk med den generelle databeskyttelsesforordning.

Fortrolige personoplysninger

Betegnelse for en særlig kategori af personoplysninger, der ikke nævnes udtrykkeligt i databeskyttelsesreglerne, men som anvendes i Datatilsynets praksis. Der er således tale om et særligt nationalt begreb.

 

En personoplysning anses for fortrolig, hvis den efter den almindelige samfundsopfattelse bør kunne forlanges unddraget offentlighedskendskab.

 

Følsomme personoplysninger vil altid have karakter af fortrolige personoplysninger, men det omvendt ikke nødvendigvis vil være tilfældet.

 

Ikke-følsomme personoplysninger kan i visse situationer have karakter af følsomme personoplysninger. Det gælder efter omstændighederne oplysninger om indtægts- og formueforhold, arbejds-, uddannelses- og ansættelsesmæssige forhold. Det samme gælder oplysninger om interne familieforhold, herunder for oplysninger om for eksempel selvmordsforsøg og ulykkestilfælde.

Følsomme personoplysninger

Betegnelse for den særlige kategori af personoplysninger, der er oplistet i databeskyttelsesforordningens art. 9, stk. 1.

 

Begrebet anvendes ikke i nogen af forordningens bestemmelser men er anvendt i præambelbetragtning 10 og anvendes også i databeskyttelsesloven, jf. dennes § 7.

GDPR

Forkortelse for ”General Data Protection Regulation”

(dansk: databeskyttelsesforordningen).

Hjemmelsgrundlag

Synonym for behandlingsgrundlag.

ICO

Forkortelse for ”Information Commissioner’s Office”. Tilsynsmyndighed for Storbritannien.

Ikke-følsomme personoplysninger

Residualbetegnelse for personoplysninger, der ikke har karakter af følsomme personoplysninger. Synonymt med begrebet anvendes ”almindelige personoplysninger”.

Konsekvensanalyse

Betegnelse for den forudgående analyse af mulige konsekvenser for beskyttelsen af personoplysninger, som en dataansvarlig skal foretage efter forordningens art. 35, når behandlingen indebærer en høj risiko for fysiske personers rettigheder og frihedsrettigheder.

Konvention 108

Europarådets konvention af 28. januar 1981 om beskyttelse af det enkelte menneske i forbindelse med elektronisk databehandling af personoplysninger.

Konvention 108+

Opdateret version af konvention 108 fra 2018. Opdateringen har bl.a. til formål at skabe en større ensartethed med databeskyttelsesforordningen.

Ledende tilsynsmyndighed

Den tilsynsmyndighed der i henhold til proceduren i databeskyttelsesforordningens art. 60 leder en sag om grænseoverskridende behandling af personoplysninger. Den ledende tilsynsmyndighed er som regel tilsynsmyndigheden i det land, hvor den dataansvarlige har sit hovedsæde. I sager om grænseoverskridende behandling af personoplysninger samarbejder den ledende tilsynsmyndighed med tilsynsmyndigheder i de andre lande, hvis borgere også får behandlet deres personoplysninger. Disse andre tilsynsmyndigheder benævnes berørte tilsynsmyndigheder.

LIA

Forkortelse for ”Legitimate Interest Assessment”, der er en engelsksproget betegnelse for den interesseafvejning, der skal foretages efter databeskyttelsesforordningens art. 6, stk. 1, litra f.

LSA

Forkortelse for ”Lead Supervisor Authority” (dansk: ledende tilsynsmyndighed).

One-stop-shop ordningen

Betegnelse for den ordning, hvorefter en dataansvarlig kun er underlagt én tilsynsmyndighed, typisk der hvor den dataansvarlige har hovedsæde, også selvom den dataansvarlige foretage grænseoverskridende behandling af personoplysninger, som også omfatter registrerede i andre medlemsstater.

Oplysning

Anvendes ofte synonymt med personoplysning.

Overførsel

Betegnelse for den situation, hvor en dataeksportør overfører personoplysninger fra et EØS-land til en dataimportør i et tredjeland.

 

Begrebet er centralt i reguleringen af overførsler til tredjeland i databeskyttelsesforordningens kap. V men er ikke defineret i forordningen.

 

Synonymt med tredjelandsoverførsel.

Persondatadirektivet

Betegnelse for direktiv 95/46 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger.

 

Direktivet, der i Danmark var implementeret ved persondataloven, blev erstattet af databeskyttelsesforordningen den 25. maj 2018.

Persondataloven

Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger.

 

Persondataloven implementerede persondatadirektivet og blev ophævet med virkning fra 25. maj 2018, hvor databeskyttelsesforordningen fik virkning og databeskyttelsesloven trådte i kraft.

Personfølsomme oplysninger

Begreb der mest bruges i den offentlige debat om databeskyttelsesretlige spørgsmål. Det er ikke et begreb, der normalt anvendes i databeskyttelsesretten, og når begrebet bruges, er det som regel uklart, om det sigter til personoplysninger i generel forstand, til følsomme personoplysninger eller til noget tredje. Af samme grund bør begrebet undgås.

Personoplysning

Begrebet er defineret i databeskyttelsesforordningens art. 4, nr. 1, som ”enhver form for information om en identificeret eller identificerbar fysisk person (’den registrerede’); ved identificerbar fysisk person forstås en fysisk person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator som f.eks. et navn, et identifikationsnummer, lokaliseringsdata, en onlineidentifikator eller et eller flere elementer, der er særlige for denne fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet”.

 

Kernen i afgrænsningen af databeskyttelsesforordningens anvendelsesområde er ”behandling” af ”personoplysninger”. Personoplysningsbegrebet er således et af databeskyttelsesrettens mest centrale begreber.

Privacy Shield-ordningen

Ordning, der etablerede et grundlag for at overføre personoplysninger fra EU til amerikanske virksomheder efter databeskyttelsesforordningens art. 45. Ordningen blev statueret ugyldig af EU-Domstolen i Schrems II-dommen.

Registeransvarlig

Ældre udtryk for dataansvarlig, der blev anvendt i direktiv 95/46.

Registerede

Se den registrerede.

SA

Forkortelse for ”Supervisor Authority” (dansk: tilsynsmyndighed).

Safe Harborordningen

Ordning, der etablerede et grundlag for at overføre personoplysninger fra EU til amerikanske virksomheder efter persondatadirektivets art. 26. Ordningen blev statueret ugyldig af EU-Domstolen i Schrems I-dommen.

SCC

Forkortelse for ”Standard Contractual Clauses” (dansk: standardkontraktbestemmelser).

Schrems I-dommen

EU-Domstolens dom af 6. oktober 2015 i sag C-362/14 (Maximillian Schrems mod Data Protection Commissioner).

 

Dommen fastslog, at Safe Harbor-ordningen ikke ydede et tilstrækkeligt beskyttelsesniveau efter persondatadirektivets art. 26, når personoplysninger blev overført til USA. Dommen fastslog, at det kan være i strid med EU’s charter om grundlæggende rettigheder, hvis lovgivningen i et tredjeland gør det muligt for offentlige myndigheder på generel vis at få adgang til indholdet af elektronisk kommunikation, herunder personoplysninger, eller hvis lovgivningen ikke indeholder retsmidler, der gør det muligt at få adgang til egne oplysninger eller få oplysninger berigtiget eller slettet.

Schrems II-dommen

EU-Domstolens dom af 16. juli 2020 i sag C-311/18 (Data Protection Commissioner mod Facebook Ireland Ltd og Maximilliam Schrems).

 

Dommen fastslog, at Privacy Shield-ordningen ikke ydede et tilstrækkeligt beskyttelsesniveau efter databeskyttelsesforordningens art. 45, når personoplysninger blev overført til USA. Dommen fastslog endvidere, at der kun kan overføres personoplysninger efter forordningens art. 46, hvis lovgivningen i tredjelandet sikrer et beskyttelsesniveau for de grundlæggende rettigheder, som i det væsentlige svarer til det niveau, der er sikret i EU i medfør af forordningen sammenholdt med charteret. EU-Domstolen fandt ikke, at den amerikanske lovgivning levede op til disse krav. Dommen har medført betydelig usikkerhed om muligheden for lovligt at overføre oplysninger til USA og andre usikre tredjelande.

Sikkert tredjeland

Betegnelse for tredjelande, som Kommissionen har fast- slået har et tilstrækkeligt beskyttelsesniveau efter databeskyttelsesforordningens art. 45.

Standard Contractual Clauses

Den engelsksproget betegnelse for standardkontraktbestemmelser.

Standardbestemmelser

Efter databeskyttelsesforordningens art. 46, stk. 2, litra c og d, kan Kommissionen henholdsvis tilsynsmyndighederne udstede standardbestemmelser, der regulerer forholdet mellem en dataeksportør og en dataimportør ved en overførsel af personoplysninger til et usikkert tredjeland.

 

Som regel anvendes begrebet standardkontraktbestemmelser frem for ”standardbestemmelser”.

 

I forordningens art. 64, stk. 1, litra d, anvendes begrebet også om de standardkontraktbestemmelser, en tilsynsmyndighed kan udstedes efter art. 28, stk. 8. Forordningen indeholder således en ikke-konsekvent brug af de to synonyme begreber ”standardbestemmelser” og ”standardkontraktbestemmelser”.

Standardkontraktbestemmelser

Databeskyttelsesforordningen giver Kommissionen og tilsynsmyndighederne hjemmel til at udstede to typer af standardkontraktbestemmelser.

 

Efter art. 28, stk. 7 og 8, kan Kommissionen henholdsvis tilsynsmyndighederne udstede standardkontraktbestemmelser, der regulerer forholdet mellem en dataansvarlig og en databehandler. I denne situation er der med andre ord tale om en standard databehandleraftale.

 

Efter art. 46, stk. 2, litra c og d, kan Kommissionen henholdsvis tilsynsmyndighederne udstede standardbestemmelser, der regulerer forholdet mellem en dataeksportør og en dataimportør ved en overførsel af personoplysninger til et usikkert tredjeland. Bestemmelsen anvender begrebet ”standardbestemmelser” og ikke ”standardkontraktbestemmelser”. I forordningens art. 57, stk. 1, litra j, anvendes begrebet ”standardkontraktbestemmelser” imidlertid også om standardbestemmelserne efter art. 46. Kommissionen har med gennemførelsesafgørelse 2021/914 af 4. juni 2021, vedtaget standardkontraktbestemmelser efter art. 46, hvor Kommissionen også anvender betegnelsen ”standardkontraktbestemmelser”.

 

Når begrebet anvendes, vil det oftest være om standardkontraktbestemmelser for tredjelandsoverførsler efter art. 46.

 

Ofte anvendes betegnelsen SCC (”standard contractual clauses”) om standardkontraktbestemmelser.

Supplerende foranstaltninger

Betegnelse for foranstaltninger, der eventuelt kan lovliggøre en overførsel af personoplysninger til et usikkert tredjeland, hvis lovgivningen i det pågældende tredjeland ikke sikrer de registreredes grundlæggende rettigheder. Begrebet er introduceret af EU-Domstolen i Schrems II- dommen.

Særlige kategorier af personoplysninger

Betegnelse for den særlige kategori af personoplysninger, der er oplistet i databeskyttelsesforordningens art. 9, stk. 1.

 

Ofte anvendes betegnelsen følsomme personoplysninger om denne type af oplysninger.

TIA

Forkortelse for Transfer Impact Assessment.

Tilsynsmyndighed

I databeskyttelsesforordningens art. 4, nr. 21, defineret som ”en uafhængig offentlig myndighed, der er etableret i en medlemsstat i henhold til artikel 51”.

 

Tilsynsmyndigheden er således en nationale offentlige myndighed, der fører tilsyn med overholdelse af databeskyttelsesreglerne. I Danmark varetages funktionen af Datatilsynet.

 

Medlemsstaternes pligt til at udpege en tilsynsmyndighed og de nærmere regler for tilsynsmyndigheden følger af forordningens art. 51 ff.

Tilstrækkelighedsafgørelse

Afgørelse truffet af Kommissionen efter databeskyttelsesforordningens art. 45 om, at et tredjeland har et tilstrækkeligt beskyttelsesniveau. Tredjelandet får hermed status som sikkert tredjeland.

Transfer Impact Assessment

En vurdering af, om en overførsel af personoplysninger til et tredjeland vil være lovlig.

 

I Schrems II-dommen fastslog EU-Domstolen, at dataeksportøren i hvert enkelt tilfælde skal foretage en konkret vurdering af, om lovgivningen i tredjelandet sikrer den fornødne beskyttelse, før en overførsel foretages.

Tredjeland

Betegnelse for lande, der ikke er medlem af EU eller deltager i EØS-samarbejdet. EØS-landene er udover EU-medlemsstaterne Norge, Island og Liechtenstein.

Tredjelandsoverførsel

Betegnelse for den situation, hvor en dataeksportør overfører personoplysninger fra et EØS-land til en dataimportør i et tredjeland.

 

Begrebet er centralt i reguleringen af overførsler til tredjelande i databeskyttelsesforordningens kap. V men er ikke defineret i forordningen.

 

Synonymt med overførsel.

Tredjemand

I databeskyttelsesforordningens art. 4, nr. 10, defineret som ”en anden fysisk eller juridisk person, offentlig myndighed eller institution eller ethvert andet organ end den registrerede, den dataansvarlige, databehandleren og de personer under den dataansvarliges eller databehandlerens direkte myndighed, der er beføjet til at behandle personoplysninger”.

Underdatabehandler

Fysisk eller juridisk person der behandler personoplysninger på vegne af en databehandler. Begrebet anvendes ikke i databeskyttelsesforordningen, der i art. 28, stk. 4, i stedet anvender betegnelserne ”oprindelig databehandler” om databehandleren og ”anden databehandler” om underdatabehandleren.

Underdatabehandleraftaler

Aftale mellem en databehandler og en underdatabehandler om sidstnævntes behandling af personoplysninger på vegne af databehandleren. Det er efter databeskyttelsesforordningens art. 28, stk. 4, et krav, at der indgås en aftale mellem parterne, når databehandleren overlader behandlingen til en underdatabehandler. Bestemmelsen fastsætter også krav til indholdet af aftalen.

Usikkert tredjeland

Betegnelse for tredjelande, som Kommissionen ikke har fastslået har et tilstrækkeligt beskyttelsesniveau efter databeskyttelsesforordningens art. 45.

Videreoverførsel

Betegnelse for en dataimportørs videregivelse af personoplysninger til en tredjepart fra et land uden for EØS.

 

Begrebet er ikke anvendt i forordningen men anvendt i Kommissionens standardkontraktbestemmelser for overførsel af personoplysninger til tredjelande.

  • Forside
  • Databeskyttelsesret v. 0.1
  • Versionslog
  • Ordliste
  • Vejledninger
  • Regler
  • Studenterafhandlinger
  • Eksterne kilder
Menu
  • Forside
  • Databeskyttelsesret v. 0.1
  • Versionslog
  • Ordliste
  • Vejledninger
  • Regler
  • Studenterafhandlinger
  • Eksterne kilder
  • Om siden og bogen
  • Vilkår
  • Personoplysninger
  • Nyhedsmail
Menu
  • Om siden og bogen
  • Vilkår
  • Personoplysninger
  • Nyhedsmail

Tilmeld dig nyhedsbrevet