Overføring av personopplysninger ut av EØS

Overføring av personopplysninger ut av EØS

All overføring av personopplysninger ut av EØS krever et særskilt grunnlag for å være lovlig. Her er en gjennomgang av hva som skal til for at personopplysninger kan overføres til land utenfor EØS.

Innledning

Virksomheten må ha identifisert om det finnes et overføringsgrunnlag før personopplysningene overføres til et tredjeland eller til en internasjonal organisasjon. Hvis det ikke finnes, er overføringen ulovlig. Det gjelder også hvis overføringsgrunnlaget ikke vil fungere i praksis.

Innad i EØS kan personopplysninger brukes, sendes og deles på tvers av landegrensene hvis man har et behandlingsgrunnlag. Det er fordi disse landene har de samme reglene for behandling av personopplysninger, nemlig personvernforordningen, også kjent som GDPR. Man kan derfor anta at personopplysningene vil være like godt beskyttet i alle land i EØS.

Merk!

Hvis du som privatperson skal sende dine egne personopplysninger ut av EØS, gjelder ikke disse reglene for deg.

Andre land kan ha andre regler

Land utenfor EØS kan ha andre regler om hvordan personopplysninger skal behandles. Det samme gjelder internasjonale organisasjoner (for eksempel FN, OECD, eller WTO). Derfor må virksomheter ha et ytterligere grunnlag før de kan overføre personopplysninger ut av EØS. Overføringsgrunnlaget skal sikre at personopplysningene fortsatt vil være like godt vernet.

Det er viktig at virksomheten vurderer om overføringsgrunnlaget faktisk vil fungere slik det skal i forkant. Hvis overføringsgrunnlaget ikke sikrer god nok beskyttelse for personopplysningene i seg selv, må man i tillegg iverksette andre tiltak. Dette utdypes nærmere i kapittelet om tilleggskrav til overføringsgrunnlag (Schrems II).

EU-kommisjonen har fattet en beslutning om at noen land og områder har et tilstrekkelig beskyttelsesnivå for personopplysninger (en såkalt adekvansbeslutning). Overføringer til slike land og områder kan skje uten et særskilt overføringsgrunnlag, eller ytterligere vurderinger om beskyttelsesnivå. Det samme gjelder hvis et av unntakene i personvernforordningen artikkel 49 får anvendelse.

Reglene om overføring av personopplysninger ut av EØS kommer i tillegg til alle de andre forpliktelsene etter forordningen. Merk blant annet at virksomheten må føre protokoll over hvilke typer personopplysninger som overføres og til hvem.

Hvem har plikt til å følge reglene?

Både den behandlingsansvarlige og databehandleren har plikt til å oppfylle reglene i personvernforordningen kapittel V.

Husk at personvernreglene, og dermed reglene forklart i denne veilederen, også kan gjelde virksomheter utenfor EØS. Personvernrådet, også kjent som EDPB, har utarbeidet en veileder om det geografiske virkeområdet til personvernforordningen (edpb.europa.eu).

Hvis en behandlingsansvarlig skal engasjere en databehandler som overfører personopplysninger ut av EØS, må denne forsikre seg om at databehandleren oppfyller sine plikter. Den behandlingsansvarlige har rett og plikt til å gi databehandleren dokumenterte skriftlige instrukser for hvordan personopplysningene skal behandles. Databehandleren må omgående underrette den behandlingsansvarlige dersom databehandleren mener en instruks er i strid med personvernregelverket eller annen nasjonal rett.
Les mer om databehandleravtaler

Hva er en overføring?

Første steg for å oppfylle reglene om overføring av personopplysninger ut av EØS, er å vite om man faktisk overfører personopplysninger.

«Overføring» er ikke definert i personvernforordningen. Derfor har EDPB laget retningslinjer som utdyper hva som anses som en overføring (edpb.europa.eu). Ifølge retningslinjene må samtlige tre vilkår være oppfylt for at det skal være snakk om en overføring:

  1. En behandlingsansvarlig eller databehandler er underlagt GDPR for en bestemt behandling av personopplysninger
  2. Denne virksomheten (dataeksportøren) tilgjengeliggjør eller sender de aktuelle personopplysningene til en annen behandlingsansvarlig, felles behandlingsansvarlig eller databehandler (dataimportøren)
  3. Dataimportøren er i et land utenfor EØS eller er en internasjonal organisasjon

Retningslinjene klargjør at det anses som en overføring selv om dataimportøren etablert i et tredjeland allerede er direkte underlagt personvernforordningen i henhold til artikkel 3(2). 

Retningslinjene forklarer også at det ikke regnes som en overføring når for eksempel ansatte i en norsk virksomhet reiser på forretningsreise utenfor EØS og har fjernadgang til virksomhetens personopplysninger. Grunnen er at den ansatte ikke er en annen behandlingsansvarlig, felles behandlingsansvarlig eller databehandler. Dersom det derimot er snakk om en ansatt i et datterselskap utenfor EØS i samme konsern som har fjerntilgang til den norske virksomhetens personopplysninger, vil fjerntilgangen regnes som en overføring. Uansett må behandlingen være i tråd med de øvrige kravene i personvernforordningen, for eksempel når det gjelder informasjonssikkerhet.

Personvernrådet anser for øvrig at innsamling av personopplysninger direkte fra personer i EØS, på personens eget initiativ, ikke utgjør en overføring (edpb.europa.eu).

Så lenge man er underlagt personvernforordningen, skal alle personopplysninger beskyttes. Da spiller det ingen rolle om opplysningene det er snakk om, tilhører personer som befinner seg i eller utenfor EØS, eller hvilken nasjonalitet personene har.

Definisjoner

En behandlingsansvarlig eller databehandler som overfører personopplysninger ut av EØS kalles gjerne dataeksportør. En behandlingsansvarlig eller databehandler som mottar personopplysninger som overføres ut av EØS kalles gjerne dataimportør.

Områder med tilstrekkelig beskyttelsesnivå

EU-kommisjonen kan beslutte at en stat, et territorium, en sektor innad i en stat eller en internasjonal organisasjon har regler som ivaretar personvernet på en tilsvarende måte som land i EØS-området. Disse beslutningene kalles også adekvansbeslutninger.

Hvis EU-kommisjonen har fattet en slik beslutning, kan man overføre personopplysninger til landet, området eller den internasjonale organisasjonen. Overføringsgrunnlag eller godkjenning fra Datatilsynet er da ikke nødvendig. Overføringen vil være sammenlignbar med overføringer mellom land innenfor EØS.

Følgende stater har per nå fått en beslutning om tilstrekkelig beskyttelsesnivå under personvernforordningen:

Land med adekvans_juli23.png

Følgende områder og sektorer har per nå fått en beslutning om tilstrekkelig beskyttelsesnivå under personvernforordningen:

Områder og sektorer med adekvans_juli23.png

Merk at enkelte adekvansbeslutninger kan ha unntak. Vi anbefaler derfor å kikke på informasjonen som EU-kommisjonen selv har publisert.
Se oversikten over beslutningene fra Europakommisjonen (ec.europa.eu).

USA har en adekvansbeslutning som innebærer at hvis en amerikansk virksomhet står på lista over godkjente virksomheter (dataprivacyframework.gov), kan det overføres personopplysninger til den som om det var en europeisk virksomhet.
Se også nyhetssaken vår fra juli 2023 om overføring til USA med tilhørende spørsmål og svar. 

Når det foreligger en beslutning om tilstrekkelig beskyttelsesnivå, trenger ikke virksomheten foreta egne vurderinger om beskyttelsesnivået. EU-kommisjonen har gjort dette på forhånd. Da trenger heller ikke virksomheten treffe ytterligere tiltak før de overfører personopplysningene.

Personvernrådet (EDPB) har utarbeidet en veileder om hvilke momenter EU-kommisjonen bør vektlegge i sin vurdering av beskyttelsesnivået (ec.europa.eu).

Adekvansbeslutningene nevnt ovenfor gjelder for overføringer omfattet av personvernforordningen. For overføringer omfattet av direktiv (EU) 2016/680 (LED) gjelder adekvansbeslutninger fattet i medhold av artikkel 36 i direktivet. Foreløpig er det bare fattet en slik adekvansbeslutning for Storbritannia.

Ulike overføringsgrunnlag

Når en virksomhet overfører personopplysninger til stater utenfor EØS-området, og det ikke foreligger en adekvansbeslutning, kan en overføring kun skje dersom den behandlingsansvarlige eller databehandleren har gitt "nødvendige garantier". Det må også gjøres under forutsetning av at den registrerte har håndhevbare rettigheter og effektive rettsmidler.

Dette følger av personvernforordningen artikkel 46 nr. 2, og betyr i praksis at virksomheten må bruke et av overføringsgrunnlagene i kapittel V i personvernforordningen. Som vi vil komme tilbake til, kreves det noen ganger ytterligere tiltak også.

Virksomhetene er selv ansvarlige for å finne ut hvilket overføringsgrunnlag i personvernforordningen artikkel 46 som er best egnet for deres overføring. Listen under begynner med de mest praktiske og vanligste overføringsgrunnlagene:

  1. Det mest brukte overføringsgrunnlaget er standard personvernbestemmelser (Standard Contractual Clauses eller SCCs) vedtatt av EU-kommisjonen (jf. personvernforordningen artikkel 46 nr. 2 bokstav c)).
  2. Bindende virksomhetsregler - Binding Corporate Rules eller BCR (jf. personvernforordningen artikkel 46 nr. 2 bokstav b og artikkel 47), kan brukes av internasjonale konsern og grupper av virksomheter.
  3. Bindende avtale mellom offentlige myndigheter eller organer innen og utenfor EØS (jf. artikkel 46 nr. 2 bokstav a).
    Personvernrådet har utgitt en veileder om hvilke nødvendige garantier en slik bindende avtale bør inneholde. Se EDPBs retningslinjer 2/2020 (edpb.europa.eu).
  4. For offentlige myndigheter eller organer som overfører personopplysninger til sin gjenpart utenfor EØS, er det mulig å ta inn personvernbestemmelser i administrative ordninger (jf. personvernforordningen artikkel 46 nr. 3 bokstav b). 
    Disse bestemmelsene må gi den registrerte håndhevbare rettigheter og effektive rettsmidler. Ordningen må godkjennes av Datatilsynet, og Personvernrådet må gi sin tilslutning. Personvernrådet har kommet med en veileder om hvilke nødvendige garantier en administrativ ordning mellom offentlige myndigheter eller organer bør inneholde. Se EDPBs retningslinjer 2/2020 (edpb.europa.eu). Personvernrådet har også kommet med en relevant uttalelse angående en administrativ avtale for ESMA. Denne kan brukes som en mal.
  5. Godkjente atferdsnormer (jf. personvernforordningen artikkel 46 nr. 2 bokstav e), sammen med bindende og håndhevbar avtale med dataimportør utenfor EØS.
    Personvernrådet har utgitt en veileder (edpb.europa.eu) som utdyper bruk av atferdsnormer som overføringsgrunnlag. Per i dag finnes det ingen godkjente atferdsnormer som kan brukes for overføring av personopplysninger til tredjeland.
  6. En godkjent sertifiseringsmekanisme (jf. personvernforordningen artikkel 46 nr. 2 bokstav f), sammen med bindende og håndhevbar avtale med dataimportør utenfor EØS.
    Personvernrådet har vedtatt retningslinjer (edbp.europa.eu) som utdyper bruk av sertifisering som overføringsgrunnlag. Per i dag finnes det imidlertid ingen godkjente sertifiseringsmekanismer som kan brukes for overføring av personopplysninger til tredjeland.
  7. Dersom de standardiserte personvernbestemmelsene vedtatt av EU-kommisjonen ikke skulle passe, er det også mulig å inngå avtalevilkår som virksomheten utformer selv (jf. personvernforordningen artikkel 46 nr. 3 bokstav a).
    I dette tilfellet må kontrakten godkjennes av Datatilsynet, og Personvernrådet må gi sin tilslutning. Hittil finnes ingen presedens, og godkjenningsprosessen vil være tidkrevende.
  8. Datatilsynet kan vedta egne standard personvernbestemmelser som også må godkjennes av EU-kommisjonen (jf. personvernforordningen artikkel 46 nr. 2 bokstav d).
    Hittil finnes ingen presedens og godkjenningsprosessen vil være tidkrevende.

Meningen med disse overføringsmekanismene er å pålegge dataimportøren en rekke plikter for å sikre at europeeres personopplysninger blir like godt beskyttet etter overførselen til tredjeland som de blir i EØS.

Den som mottar opplysningene kan imidlertid være underlagt lokale lover som er i strid med, og går foran, forpliktelsene etter overføringsgrunnlaget, eller det kan finnes andre omstendigheter som senker beskyttelsesnivået. Derfor må dataeksportøren i tillegg undersøke om beskyttelsesnivået som vil oppnås i praksis, faktisk er tilsvarende som i EØS.

Med andre ord, når det er snakk om å overføre personopplysninger til et tredjeland som ikke er godkjent av EU-kommisjonen, er en overføringsmekanisme nødvendig, men gir ikke alltid tilstrekkelig beskyttelse. Les mer om ytterligere tiltak i kapittelet om tilleggskrav (Schrems II).

 Eksempel  

En norsk virksomhet har datterselskaper i Israel, Thailand og Brasil. Det første virksomheten bør sjekke, er om noen av landene har fått en beslutning om tilstrekkelig beskyttelsesnivå. Israel er anerkjent som tilstrekkelig. Virksomheten kan derfor overføre personopplysninger til Israel uten overføringsgrunnlag eller å iverksette ytterligere tiltak.

For overføringen til Thailand og Brasil trenger man et overføringsgrunnlag, for eksempel ved å inngå en kontrakt med standard personvernbestemmelser vedtatt av EU-kommisjonen. Dersom mottakeren i Brasil ikke er villig til å signere standardkontrakten, kan den norske virksomheten i samarbeid med den brasilianske motparten utforme en egen kontrakt. Kontrakten må inneholde håndhevbare rettigheter for den registrerte. Siden kontrakten ikke er standard, må den godkjennes av Datatilsynet og Personvernrådet. En slik godkjenningsprosess kan imidlertid ta lang tid.

Den norske virksomheten må også vurdere beskyttelsesnivået for personopplysninger i Brasil og Thailand og eventuelt iverksette ytterligere tiltak.

Standard personvernbestemmelser som overføringsgrunnlag

Det vanligste overføringsgrunnlaget når personopplysninger skal overføres til tredjeland, er EU-kommisjonens standard personvernbestemmelser (Standard Contractual Clauses eller SCCs) 2021/914 (ec.europa.eu).

Nye standard personvernbestemmelser

Den 4. juni 2021 vedtok EU-kommisjonen nye og oppdaterte standard personvernbestemmelser etter personvernforordningen. Eldre standard personvernbestemmelser (Kommisjonens beslutninger 2001/497/EC og 2010/87/EU) var basert på det nå opphevede personverndirektivet 95/56/EC. Disse blir nå ugyldige å inngå.

Avtaler basert på eldre standard personvernbestemmelser undertegnet før 27. september 2021 forblir i utgangspunktet gyldige til 27.12.2022 (jf. EU-kommisjonens beslutning 2021/914 artikkel 4).

Virksomheter bør oppdatere til de nye standard personvernbestemmelsene fortløpende og senest før 27. desember 2022.

Ved signering av standard personvernbestemmelser forplikter dataimportøren seg til å behandle opplysningene i samsvar med de kravene som gjelder innenfor EØS-området. Samtidig må dataeksportøren som er etablert i EØS, sjekke at personopplysningene som blir overført, faktisk får tilstrekkelig beskyttelsesnivå på lik linje som i EØS før overføringen og at rettssystemet i mottakerlandet gjør det mulig å følge de standard personvernbestemmelsene i praksis. Vi utdyper dette nærmere i kapittelet om tillegskrav (Schrems II).

Plikten til å sikre at beskyttelsesnivået er tilstrekkelig, er nå bakt inn som et eget kontraktsvilkår i de nye standard personvernbestemmelsene. De standard personvernbestemmelsene forutsetter altså at alle nødvendige vurderinger er foretatt før signering.

Videre skal dataimportøren opplyse eksportøren så fort som mulig om eventuelle hindringer for å oppfylle kravene. Et eksempel på en slik hindring er nasjonal lovgivning i tredjeland som kan gi de offentlige myndighetene i landet tilgang til personopplysninger utover det som anses proporsjonalt og nødvendig i et demokratisk samfunn (jf. fortalepunkt 22 i EU-kommisjonens beslutning 2021/914). I så fall skal dataeksportøren ikke overføre personopplysningene i henhold til avtalen. Ved tvil kan det være hensiktsmessig at dataeksportøren konsulterer med Datatilsynet. Datatilsynet har rett til, og kan ha plikt til, å utsette eller forby overføring (jf. personvernforordningen artikkel 58 nr. 2 bokstav j og den såkalte Schems II-dommen fra EU-domstolen, CJEU-311/18).

Dersom man bruker personvernbestemmelsene uendret, trenger man hverken søke om forhåndsgodkjenning eller varsle Datatilsynet.

Det er lov å inkorporere standard personvernbestemmelsene i en større avtale. Videre er det lov, uten varsel til Datatilsynet, å tilføye klausuler, så lenge disse ikke motsier, direkte eller indirekte, de standard personvernbestemmelsene som er vedtatt av EU-kommisjonen. I de tilfellene der eksportøren har konkludert med at ytterligere tiltak anses nødvendige for å opprettholde personopplysningenes beskyttelse på lik linje som i EØS, må disse bli tilføyd de standard personvernbestemmelsene.

De nye standard personvernbestemmelsene er bygget opp av fire moduler som omfatter følgende tilfeller:

  1. overføring fra en behandlingsansvarlig etablert i EØS til en virksomhet i et tredjeland som selv opptrer som behandlingsansvarlig
  2. overføring fra en behandlingsansvarlig etablert i EØS til en virksomhet i et tredjeland som opptrer som databehandler
  3. overføring fra en databehandler etablert i EØS til en virksomhet i tredjeland som også er databehandler
  4. overføring fra en databehandler etablert i EØS til en virksomhet i et tredjeland som opptrer som behandlingsansvarlig

Standard personvernbestemmelser der databehandlere er dataeksportør, er en nyvinning som ikke fantes tidligere. Figuren nedenfor illustrerer de ulike modulene:

Illustrasjon av 4 moduler.png

Husk: Ved overføring fra behandlingsansvarlig til databehandlere er det et krav om databehandleravtale (jf. personvernforordningen artikkel 28). De nyeste standard personvernbestemmelsene fra EU-kommisjonen oppfyller kravene i personvernforordningen artikkel 28. Med andre ord er det ikke nødvendig å inngå en egen databehandleravtale i tillegg.

BCR som overføringsgrunnlag

Bindende virksomhetsregler eller Binding Corporate Rules (BCR) er interne regler for dataoverføringer i multinasjonale selskaper, et konsern eller en gruppe av foretak som utøver en felles økonomisk virksomhet.

En godkjent BCR tillater multinasjonale selskaper å overføre personopplysninger internasjonalt innenfor samme konserngruppe til land som ikke gir et tilstrekkelig beskyttelsesnivå for personopplysninger. En BCR-søknad må sendes til Datatilsynet som kan vedta disse etter en godkjenningsprosess som også krever en uttalelse fra Personvernrådet.

Før overføringen starter, må dataeksportøren som er etablert i EØS gjøre en selvstendig vurdering av om personopplysningene som blir overført, faktisk får tilstrekkelig beskyttelsesnivå på lik linje som i EØS. Det må også vurderes om rettssystemet i mottakerlandet gjør det mulig å følge virksomhetsreglene i praksis. Vi utdyper dette senere.

Hvis beskyttelsesnivået vurderes til å være lavere enn i EØS, og det ikke finnes ytterligere tiltak som hever beskyttelsesnivået til samme nivå som i EØS, skal personopplysningene ikke overføres.

For at reglene kan godkjennes må de inneholde følgende (jf. personvernforordningen artikkel 47 nr. 2): 

  • konsernets struktur og kontaktopplysninger
  • omfang ("scope")
  • et element som viser at reglene er bindende for alle i konsernet/gruppen
  • anvendelse av de allmenne personvernprinsippene, for eksempel åpenhet, datakvalitet og sikkerhet
  • de registrertes rettigheter
  • ansvarlighet til enheten etablert i EØS
  • hvordan informasjon om BCR gis til de registrerte
  • personvernombud
  • fremgangsmåte for å klage
  • mekanismene for å sikre overholdelse av reglene, f.eks. personvernrevisjoner
  • rapportering og registrering av endring i reglene til selskapene og til tilsynsmyndigheten
  • samarbeidet med tilsynsmyndigheten
  • rapportering til tilsynsmyndigheten av regler i tredjestat som sannsynligvis vil ha betydelig negativ virkning på garantiene i BCR-en
  • opplæring

Fordeler ved BCR

Bindende virksomhetsregler er ment å sikre at alle dataoverføringer innenfor en konserngruppe, er trygge. Andre fordeler ved bruk av bindende virksomhetsreglene er at:

  1. det er lettere å demonstrere etterlevelse av personvernforordningen og forpliktelsene i kapittel V
  2. det fører til mindre papirarbeid – det er ikke nødvendig med nye standard personvernbestemmelser for hver overføring
  3. BCR fungerer som interne retningslinjer – alle i virksomheten forholder seg til samme regler. BCR vil gi klare og ikke minst bindende instrukser.
  4. det kan være et konkurransefortrinn – BCR offentliggjøres og viser omverden at virksomheten tar personvern på alvor

Datatilsynsmyndighetene i EØS har generelt lang saksbehandlingstid for godkjenning av BCR. Dersom dere vurderer å ta i bruk bindende virksomhetsregler, må dere regne med at det kan ta et par år før dere faktisk kan sette i gang overføring av personopplysninger basert på BCR. I tillegg er ikke alle selskapsformer like egnet for dette.

Vi anbefaler å ta kontakt med Datatilsynet på for å avklare om bindende virksomhetsregler passer for virksomheten.

Om godkjenningsprosessen

Her følger en kort oversikt over saksbehandlingsprosessen slik den er beskrevet i "Working Document on the approval procedure of the Binding Corporate Rules for controllers and processors", WP263rev.01 (ec.europa.eu):

  1. Selskapet utpeker den ledende tilsynsmyndigheten, "Lead Supervisory Authority". Dersom dere har hovedkvarter i Norge er det sannsynlig at Datatilsynet i Norge er ledende tilsynsmyndighet. Den ledende tilsynsmyndighet er den som håndterer samarbeidsprosedyren med de andre europeiske datatilsynsmyndighetene etter personvernforordningen.
  2. Selskapet utarbeider de bindende virksomhetsreglene. Det anbefales på det sterkeste å utarbeide dokumentene på engelsk. BCR må oppfylle kravene fastsatt i arbeidsdokumentene fra Personvernrådet. Den fullstendige søknaden som sendes inn til Datatilsynet må inneholde:
    • Utkast til BCR, med eventuelle annekser
    • Utfylt søknadskjema og BCR-kriterier i 1/2022 (for behandlingsansvarlige) eller utfylt søknadskjema i WP265 og BCR-kriterier i WP257 (for databehandler). Vi anbefaler å fylle inn tabellen med henvisninger til både BCR-teksten og søknadskjema.
    • Liste med de enheter som vil bli bundet av BCR og deres lokasjoner ("List of entities bound"). Dersom virksomheten har enheter i Tyskland, må man spesifisere i hvilke(n) delstat(er) virksomheten er lokalisert.
    • Bevis på at reglene er bindende for alle selskapene i konsernet.
  3. Videre kan det være aktuelt å sende ved dokumentasjon som viser hvordan forpliktelsene i BCR vil bli etterlevd i praksis. Eksempler:
    • Personvernpolicies
    • Instrukser for hvordan ansatte må håndtere personopplysninger (kan være en del av konsernets generelle "Code of conduct")
    • Rutiner for internkontroll
    • Opplæringsplan og materiell for opplæring av de ansatte
    • Beskrivelse av klageprosedyren
    • Sikkerhetsrutiner
    • Beskrivelse av personvernombudets oppgaver og støtte
  4. Dokumentene sendes til Datatilsynet for vurdering. Datatilsynet vil gi tilbakemelding dersom det er nødvendig med eventuelle endringer.
  5. Etter at Datatilsynet har vurdert søknaden og funnet at dokumentene oppfyller kravene i personvernforordningen artikkel 47, sendes søknaden med alle vedlegg til en annen datatilsynsmyndighet (co-reviewer) i EØS som foretar en sjekk for å sikre kvaliteten til BCR-en. Dersom det er flere enn 14 berørte tilsynsmyndigheter (det vil si at konsernet eller gruppen har etablering i flere enn 14 EØS-land), må to tilsynsmyndigheter foreta en såkalt co-review.
  6. BCR-dokumentene blir delt med alle datatilsynsmyndighetene i EØS, som får en mulighet til å kommentere skriftlig. BCR-søknaden vil så diskuteres i kontekst av Personvernrådets ekspertundergruppe for internasjonale overføringer. Datatilsynet formidler nødvendige og foreslåtte endringer til virksomheten.
  7. Når tilsynsmyndighetene har blitt enige om at BCR-en oppfyller kravene, sender Datatilsynet BCR-søknaden til Personvernrådet for godkjenning. Personvernrådet skal da gi en uttalelse innen åtte uker (med mulighet for forlengelse på seks uker).
  8. Når Personvernrådet har gitt en positiv uttalelse, skal Datatilsynet gi den endelige godkjenningen.
  9. Virksomheten må oversette BCR-en til alle relevante språk og gjøre den kjent for de den gjelder (ansatte, kunder, forretningsrelasjoner og så videre).
  10. Virksomheten har plikt til å oppdatere BCR i henhold til det til enhver tid gjeldende regelverket i EØS og underrette Datatilsynet om eventuelle mindre endringer én gang i året. Det er ønskelig å sende endret BCR med spor endringer («track changes») i dokumentet. Større materielle endringer må meldes umiddelbart.
  11. Om kravene i 1/2022 og WP257 blir endret, må virksomhet med godkjent BCR fylle den ut på nytt i forbindelse med årlig oppdatering av dokumentene for å vise at alle gjeldende krav er oppfylt.

På Personvernrådet (EDPB) sine nettsider finnes en oversikt over godkjente BCR etter personvernforordningen (edpb.europa.eu).

Hva med bindende virksomhetsregler (BCR) som ble godkjent før 25. mai 2018?

BCR-er som er godkjent i medhold av gammelt regelverk, skal fortsette å gjelde fram til de ved behov endres, erstattes eller oppheves. Dette følger av personvernforordningen artikkel 46 nr. 5. For at virksomheter som har en godkjent BCR skal kunne fortsette å bruke den som overføringsgrunnlag, må de imidlertid:

  • oppdatere BCR-dokumentene i henhold til personvernforordningen. Bruk 1/2022 (for behandlingsansvarlige) og WP257 rev.01 (for databehandlere) for å demonstrere at alle kravene er oppfylt
  • varsle Datatilsynet om endringene som er gjort. Dette kan gjøres i forbindelse med den årlige rapporteringsplikten (jf. personvernforordningen artikkel 47 nr. 2 bokstav k).

Her er en liste over virksomheter som fikk godkjent BCR før 24. mai 2018 etter gammelt regelverk (ec.europa.eu).

Ta gjerne kontakt med Datatilsynet på  ved eventuelle spørsmål.

Tilleggskrav

Noen ganger er det ikke nok å ha et overføringsgrunnlag. I denne delen skal vi gjennomgå hva tilleggskravene innebærer og hvordan de bør forstås.

I den såkalte Schrems II-dommen (curia.europa.eu) understreket EU-domstolen at man alltid må undersøke om beskyttelsesnivået i praksis vil bli undergravd av forhold i tredjelandet, for eksempel overvåkingslover som går lenger enn det som er nødvendig og proporsjonalt. I så fall må man iverksette ytterligere tiltak.

Det er viktig å skille mellom to typetilfeller: Noen ganger skjer overføringen på virksomhetens vegne, for eksempel fordi det sendes personopplysninger til en mottaker i tredjeland, lagrer personopplysninger i tredjeland eller bruker support-tjenester fra tredjeland. Andre ganger er det databehandleren som bestemmer at personopplysninger skal overføres, i strid med virksomhetens ønsker. Reglene kan slå ulikt ut i disse to tilfellene, og derfor kommer vi til å omtale sistnevnte tilfelle senere i veiledningen.

Dersom overføringen bygger på en adekvansbeslutning eller et av unntakene i artikkel 49 (utdypet i siste kapittel i veiledningen), kan du se bort fra tilleggskravene etter Schrems II-dommen.

Introduksjon: Schrems II-dommen

Bakgrunnen for Schrems II-dommen var at en person klaget på at Facebook overførte personopplysningene hans til USA. EU-domstolen tok stilling til den daværende adekvansbeslutningen for USA, Privacy Shield, og kom frem til at denne var ugyldig. Motsatt kom domstolen til at EU-kommisjonens standard personvernbestemmelser fremdeles er et gyldig overføringsrunnlag – men at standard personvernbestemmelser ikke alltid er tilstrekkelig i seg selv.

Formålet med standard personvernbestemmelser er at dataimportøren skal garantere et tilstrekkelig beskyttelsesnivå etter at personopplysningene har blitt overført ut av EØS. Man må imidlertid vurdere hvorvidt dette beskyttelsesnivået vil opprettholdes i praksis før data overføres. Standard personvernbestemmelser er nemlig ikke bindende for tredjelandets myndigheter, og tredjelandets lover kan gå foran standard personvernbestemmelser. Et særlig praktisk typetilfelle er der tredjelandets lovgivning tillater at myndighetene kan skaffe seg adgang til data i større grad enn det som er proporsjonalt og nødvendig.

Derfor uttalte domstolen at i noen tilfeller må standard personvernbestemmelser suppleres av ytterligere garantier og tiltak. Dersom det er nødvendig med ytterligere tiltak, men slike tiltak ikke iverksettes, er overføringen ulovlig og må opphøre. Datatilsynet og de andre datatilsynsmyndighetene i EØS legger til grunn at det samme også gjelder ved bruk av andre overføringsgrunnlag.

Ikke alle overvåkingslover i tredjeland er problematiske. Noen ganger kan man gjøre unntak fra personopplysningsvernet hvis det er proporsjonalt og strengt nødvendig. Det må fremgå av unntakslovene når, på hvilke vilkår og i hvilket omfang de gjelder. Unntakslovene må også inneholde garantier som ivaretar de berørtes data mot misbruk. Det er viktig at de registrertes rettigheter og deres adgang til effektive rettsmidler ved brudd på personvernet er ivaretatt i praksis.

Når det gjelder USA spesifikt, har amerikanske etterretningslover blitt oppdatert siden Schrems II-dommen, og USA har siden mottatt en ny adekvansbeslutning. Du kan lese mer om dette i del 2 av veiledningen "Områder med tilstrekkelig beskyttelsesnivå".

EU-domstolens dommer er ikke direkte bindende for Norge, Island og Liechtenstein, men vi må tolke personvernforordningen likt som alle EU-landene, og derfor har EU-domstolens avgjørelser i praksis mye å si også for oss. EU-domstolen henviser flere ganger til EU-charteret for grunnleggende rettigheter. Heller ikke dette er bindende for Norge, men personvernforordningen leses ofte i lys av Charteret, og igjen må vi tolke personvernforordningen likt som EU-landene.

De ulike stegene i vurderingen

Når du skal vurdere om det er lov å overføre personopplysninger ut av EØS, kan du ta utgangspunkt i følgende sjekkliste:

  1. Kjenn overføringene
    Det er viktig å ha full oversikt over alle prosesser, systemer, tjenester, løsninger, partnere, leverandører, databehandlere og databehandleres underleverandører som overfører personopplysninger ut av EØS. Fjerntilgang, for eksempel for teknisk støtte, regnes som nevnt også som en overføring. Behandlingsansvarlige og databehandlere har som hovedregel plikt til å føre protokoll over behandlingsaktiviteter, og her skal alle overføringer ut av EØS være beskrevet. Man har også plikt til å informere de registrerte om slike overføringer.

    Husk at vanlige løsninger som nettsidetillegg, markedsføringstjenester og skytjenester kan innebære overføring av personopplysninger ut av EØS. Husk også å ta med videreoverføringer ("onward transfers") i oversikten din, for eksempel hvis en databehandler i et tredjeland bruker underleverandører i andre tredjeland.
  2. Identifiser overføringsgrunnlag
    Før overføringen starter, må man også ha identifisert et passende overføringsgrunnlag. Alternativt kan man i enkelte tilfeller bruke unntaksreglene. I så fall trenger man ikke følge steg 3 og 4.
  3. Vurder om overføringsgrunnlaget vil være effektivt i lys av alle omstendighetene ved overføringen
    I dette steget må man undersøke lover og praksis i tredjelandet. Vil disse lovene og praksisene påvirke hvordan dataeksportør eller dataimportør behandler personopplysninger under overføringsgrunnlaget? Hvis ja, vil disse lovene og praksisene føre til et lavere beskyttelsesnivå i praksis enn i EØS? Husk å vurdere hvordan lovene og praksisene påvirker eventuelle databehandlere, underleverandører og infrastruktur som brukes i behandlingen av personopplysninger.

    Som nevnt er ikke alle lover og praksiser som gir lokale myndigheter adgang til data, problematiske. Det er først når lokale lover og praksis går lenger enn det som er nødvendig og proporsjonalt, at beskyttelsesnivået undergraves. Vi utdyper nedenfor.
  4. Iverksett ytterligere tiltak
    Dersom vurderingen under steg 3 viste at beskyttelsesnivået i praksis vil være lavere enn i EØS, må du iverksette ytterligere tiltak som veier opp for dette og som sikrer et tilsvarende beskyttelsesnivå i praksis. Dersom det ikke finnes slike ytterligere tiltak eller du ikke er i stand til å iverksette slik tiltak, kan du ikke overføre personopplysningene. Vi utdyper nedenfor.
  5. Re-evaluer med jevne mellomrom
    Lovgivning i tredjeland kan endre seg, eller det kan være at ytterligere tiltak som tidligere var effektive, ikke lenger er det. Det kan også være at dataimportøren har brutt eller ikke lenger kan følge forpliktelsene sine. Dersom man har basert overføringen på en unntaksregel, kan det være at unntaksregelen ikke lenger passer eller har blitt brukt i større grad enn opprinnelig forutsett. Det er viktig å være i stand til å fange opp slike endringer og å evaluere ved jevne mellomrom at overføringen fremdeles er lovlig.

Særlig om steg 3 – Vurdering av beskyttelsesnivået

Når man skal vurdere beskyttelsesnivået i ett eller flere tredjeland, må man se på alle involverte aktører – behandlingsansvarlige, databehandlere og databehandleres underleverandører – samt infrastrukturen som benyttes. Man må se på hvilke lover og hvilken praksis som påvirker den spesifikke overføringen, i lys av alle overføringens omstendigheter. Hvilke lover og praksis som gjelder kan komme an på

  • formålet med behandlingen og overføringen (for eksempel formål knyttet til markedsføring, HR, lagring, teknisk støtte, kliniske studier)
  • typen aktører involvert (offentlige/private, behandlingsansvarlige/databehandlere)
  • den aktuelle sektoren (for eksempel adtech, telekom, finans, journalistikk, helse)
  • kategorien personopplysninger (for eksempel kan tredjelandet ha særlover knyttet til mindreårige)
  • hvorvidt dataene lagres i tredjeland eller hvorvidt det vil være fjerntilgang til data lagret i EØS
  • dataformat (klartekst, pseudonymisert eller kryptert)
  • muligheten for videreoverføring til nye tredjeland

Eksempel

I noen land er det begrensninger på myndighetenes adgang til å kreve informasjon fra medier, advokater eller helsepersonell. Her kan altså formålet, typen aktører, sektor, samt kategoriene av personopplysninger være avgjørende for om problematiske overvåkingslover kommer til anvendelse på den aktuelle overføringen.

Lover og praksis kan utgjøre et inngrep i personvernet, uavhengig av om dataene er sensitive eller hvorvidt personene det gjelder faktisk har blitt negativt berørt av inngrepet – men ikke alle inngrep utgjør en krenkelse. Det er først når lovene og praksisene går lenger enn nødvendig og proporsjonalt at de utgjør en krenkelse. Man trenger bare iverksette ytterligere tiltak der det foreligger en krenkelse.

Når man skal vurdere om lover og praksis utgjør en krenkelse av personvernet, kan man blant annet se hen til momentene som

Som nevnt over er EU-charteret for grunnleggende rettigheter ikke bindende for Norge. Charteret kan imidlertid være relevant der personvernforordningen blir tolket i lys av det. EMK er bindende for Norge og gjelder som norsk lov gjennom menneskerettighetsloven.

Eksempel

Et element i vurderingen av om et inngrep er proporsjonalt kan være om personopplysningene det er snakk om, allerede er offentlig tilgjengelig. Myndigheters innhenting av offentlig tilgjengelige personopplysninger vil lettere kunne utgjøre et proporsjonalt inngrep enn innhenting av opplysninger som ikke er tilgjengelig for allmenheten. Det må vurderes konkret fra sak til sak.

Omgåelse av regelverket ved å publisere personopplysninger med eneste hensikt om å overføre dem til et tredjeland, vil i alle tilfeller kunne være brudd på både artikkel 6 og kapittel V i personvernforordningen.

Noen ganger kan det være motstrid mellom lov og praksis. Dersom loven på papiret ikke utgjør en krenkelse av personvernet, men den praktiseres på en måte som utgjør en krenkelse, må man iverksette ytterligere tiltak. Det kan også være tilfeller der tredjelandets overvåkingslover ikke er offentlig tilgjengelige, eller der tredjelandet ikke har lovgivning om overvåking. I disse tilfellene er det viktig å sjekke hva situasjonen er i praksis og om praksisen utgjør en krenkelse.

Motsatt kan det være tilfeller der loven er problematisk, men der det ikke er noen grunn til å tro at den problematiske lovgivningen kommer til anvendelse for de overførte personopplysningene i praksis. I så fall trenger du ikke å iverksette ytterligere tiltak. Du må kunne dokumentere detaljert gjennom vurderingen din at loven ikke blir tolket eller anvendt i praksis slik at den dekker overføringen, også tatt i betraktning av erfaringene til liknende aktører i samme bransje og/eller relatert til tilsvarende overføringer, samt annen aktuell informasjon.

Her kan man også legge vekt på dataimportørens dokumenterte praktiske erfaringer med tidligere utleveringsbegjæringer fra tredjelands myndigheter. Dette gjelder imidlertid bare dersom tredjelandets lovgivning ikke forbyr dataimportøren å gi informasjon om tidligere utleveringsbegjæringer. Det er viktig å merke seg at det faktum at en dataimportør ikke har mottatt utleveringsbegjæringer tidligere, ikke i seg selv er tilstrekkelig til å fortsette uten å iverksette ytterligere tiltak. Dette kan imidlertid inngå i en helhetsvurdering dersom annen informasjon om praksis i tredjelandet underbygger og ikke motsier dataimportørens dokumenterte praktiske erfaringer.

Informasjonen vurderingene bygger på bør være

  • relevant – den må være til hjelp i den konkrete situasjonen og ikke være for generell eller abstrakt
  • objektiv – den må underbygges av empirisk kunnskap, ikke antakelser om potensielle hendelser
  • pålitelig – man må kritisk vurdere kilden for informasjonen og selve informasjonen separat
  • verifiserbar – det må være mulig for tilsynsmyndighetene eller domstolene å ettergå informasjonen
  • tilgjengelig – det må være mulig å gjenskaffe informasjonen slik at den kan deles med tilsynsmyndighetene, domstolene og de registrerte

EDPBs anbefalinger om ytterligere tiltak inneholder mer informasjon om vurderingen av beskyttelsesnivået, samt mulige informasjonskilder (edpb.europa.eu). 

Særlig om steg 4 – Eksempler på ytterligere tiltak

Dersom du kommer frem til at lovene og praksis i tredjelandet går lenger enn nødvendig og ikke er proporsjonale, må du iverksette ytterligere tiltak for å sikre at beskyttelsesnivået for personopplysninger blir tilsvarende som i EØS. Med andre ord må krenkelser av personvernet motvirkes. Tiltakene kan være tekniske, juridiske eller organisatoriske, og ofte bør ulike typer tiltak kombineres.

I utgangspunktet bør de ytterligere tiltakene inkludere tekniske tiltak. Grunnen til at man trenger ytterligere tiltak er jo nettopp fordi lokale lover i tredjelandet går foran overføringsgrunnlaget, som ofte er en juridisk bindende avtale. Da kan det som regel være vanskelig å se for seg ytterligere juridiske eller organisatoriske tiltak som alene kan sikre beskyttelsesnivået. Hva som er effektivt i praksis, må imidlertid vurderes konkret i hver enkelt sak.

Når det gjelder tekniske tiltak, står særlig sterk kryptering og nøkkelhåndtering sentralt. Kryptering kan typisk motvirke at tredjelands myndigheter får adgang til data under transport og lagring så lenge krypteringsnøkkelen ikke er eller vil bli tilgjengelig for myndighetene eller aktørene underlagt tredjelands lovgivning.

Vær oppmerksom på at det kan være mulig for skytjenesteleverandører å hente ut kryptert data ved hjelp av særskilte fremgangsmåter. Dette er relevant dersom lovgivning eller praksis i det aktuelle tredjelandet tilsier at myndighetene har adgang til å hente ut data gjennom slike fremgangsmåter i praksis. For mer informasjon, se NSMs nettsider. 

Dersom derimot en dataimportør i tredjeland forvalter krypteringsnøkkelen på vegne av behandlingsansvarlig, vil ikke kryptering være effektivt mot utleveringsbegjæringer fra lokale myndigheter. Vi vil også minne om at krypteringsalgoritmen må være state-of-the-art, og at det er en plikt for den behandlingsansvarlige for å rutinemessig kvalitetssikre dette sikkerhetstiltaket.

Et annet veldig praktisk teknisk tiltak er pseudonymisering. Dette forutsetter at koblingsnøkkelen ikke er eller vil bli tilgjengelig for myndighetene eller aktørene underlagt tredjelands lovgivning. Husk å ta i betraktning informasjon som man kan forvente at tredjelandets myndigheter har og kan bruke. Pseudonymisering er særlig praktisk for forskningsmiljøer.

Juridiske tiltak kan for eksempel innebære en kontraktsmessig forpliktelse til å iverksette bestemte tekniske tiltak og tiltak når det gjelder nøkkelhåndtering. Tilsvarende kan man forby at dataimportøren forsøker å reidentifisere personer i pseudonymiserte datasett.

Avtalen kan også pålegge dataimportøren å hjelpe dataeksportøren vurdere og følge med på beskyttelsesnivået i tredjelandet, eller å kommunisere hvilke tiltak dataimportøren har blitt og blir pålagt av tredjelands overvåkingsmyndigheter hvis mulig. Et annet eksempel kan være at dataimportøren blir pålagt å utfordre alle utleveringsbegjæringer de mottar i fremtiden, eller at de blir pålagt å hjelpe de registrerte ivareta deres rettigheter i tredjelandet.

Organisatoriske tiltak sikter til interne rutiner, fremgangsmåter og internkontroll. For eksempel bør virksomheten være organisert slik at den er godt rustet til å håndtere utleveringsbegjæringer, den bør ha gode rapporteringslinjer. Det er viktig å dokumentere godt ved eventuelle utleveringsbegjæringer. God opplæring og streng tilgangsstyring er helt sentrale, organisatoriske tiltak.

EDPBs anbefalinger om ytterligere tiltak (edpb.europa.eu), anneks 2, inneholder flere eksempler på ytterligere tiltak samt hva som skal til for at tiltakene skal være effektive. Dette er bare eksempler – listen er ikke uttømmende.

Når du skal vurdere hvilke ytterligere tiltak som er mest effektive, bør du for eksempel se på

  • dataformat (klartekst, pseudonymisert eller kryptert)
  • dataenes natur (for eksempel nyter særlige kategorier personopplysninger høyere beskyttelse etter personvernforordningen)
  • lengden og kompleksiteten av personopplysningsbehandlingsforløpet, antallet aktører involvert og forholdet mellom dem (involverer for eksempel overføringen flere behandlingsansvarlige eller både behandlingsansvarlige og databehandlere, og hvem av dem foretar overføringen?)
  • gjennom hvilke teknikker eller basert på hvilke parametere tredjelandets problematiske lovgivning anvendes
  • muligheten for at dataene blir overført videre innenfor det samme tredjelandet eller til et annet tredjeland (for eksempel gjennom databehandlers underleverandør)

Dersom man iverksetter ytterligere tiltak som sikrer et tilstrekkelig beskyttelsesnivå, kan overføringen av personopplysninger begynne. Dersom ytterligere tiltak er påkrevd, men man ikke iverksetter eller lykkes med å identifisere effektive tiltak, kan overføringen ikke finne sted. Hvis man tidligere har overført data lovlig, men endringer i omstendighetene gjør at overføringen nå er ulovlig, må overføringene opphøre, og dataene allerede overført skal tilbakeføres eller slettes.

Vurderinger og dokumentasjon

Reglene om overføring av personopplysninger ut av EØS er kompliserte. Samtidig har EU-domstolen sagt at det er virksomhetene selv som må foreta vurderingene. Dette følger også av ansvarlighetsprinsippet i personvernforordningen. Det betyr at Datatilsynet ikke kan gå inn og "forhåndsgodkjenne" vurderingene til norske virksomheter, selv om mange ønsker dette.

I stedet er det viktig å foreta vurderingene samvittighetsfullt etter beste evne og å dokumentere dem godt. I en eventuell tilsynssak vil Datatilsynet være særlig opptatt av at vurderingene er dokumentert.

Mer informasjon

EDPBs anbefalinger om ytterligere tiltak inneholder mer utdypende informasjon om dette temaet (edpb.europa.eu). Datatilsynet vil tolke loven likt som EDPB i en eventuell tilsynssak. 

Opplysninger behandlet i EØS, inkludert skytjenester i EØS

Å behandle personopplysninger i EØS eller et adekvat tredjeland er i utgangspunktet ikke en overføring.

Se oversikt over adekvate tredjeland i kapittel 2 om områder med tilstrekkelig beskyttelsesnivå.

Likevel kan personopplysninger ende opp i ikke-adekvate tredjeland dersom en skyleverandør er underlagt tredjelands lovgivning. Derfor er det en del ting dere må tenke på i denne situasjonen.

Når dere skal behandle personopplysninger i EØS eller et adekvat tredjeland, for eksempel ved å bruke en skytjeneste med servere i EØS, er utgangspunktet at dere ikke trenger å forholde dere til reglene om overføring av personopplysninger til tredjeland. Dette utgangspunktet har imidlertid flere unntak, og derfor er det nødvendig med ytterligere vurderinger. Nedenfor har vi delt opp vurderingene i fire steg.

Rapport fra EDPB om fallgruver

I en rapport vedtatt av Personvernrådet (EDPB) fremgår det at det er flere fallgruver ved bruk av ikke-europeiske skyleverandører selv om personopplysningene skal behandles i EØS. Trår man feil, kan man for eksempel ende opp med å bryte én eller flere av pliktene i artikkel 28 i personvernforordningen. EDPB uttaler følgende (vår oversettelse):

Når anvendelsen av tredjelands lovgivning gjør det mulig å be om utlevering av data lagret av skytjenesteleverandøren i EØS, bør en grundig analyse gjennomføres før avtalen inngås.

Les rapporten her:

Rapporten gjelder offentlig sektor, men har relevans også for private virksomheter.

EDPB løfter også denne problemstillingen i de reviderte retningslinjene om samspillet mellom artikkel 3 og kapittel V (se avsnitt 24 og eksempel 12).

Husk også på at, i tillegg til vurderinger i forbindelse med en mulig overføring, er det en rekke andre relevante plikter i personvernforordningen som uansett gjelder, slik som plikten til å sørge for informasjonssikkerhet.

Merk:

Vi presiserer for ordens skyld at dere har plikt til å gjennomføre tilstrekkelige vurderinger i forkant av behandling av personopplysninger, uavhengig om det senere skulle vise seg at behandlingen ikke er problematisk. Manglende vurderinger i forkant kan være i strid med ansvarlighetsprinsippet, noe som i seg selv kan være et alvorlig lovbrudd.

map_overføring.png

 

Steg 1: Kan overføringer likevel skje?

Det er viktig å sjekke om personopplysninger kan bli overført selv om dataene skal behandles i EØS eller et adekvat tredjeland. Her er noen eksempler på situasjoner der det er tilfellet:

  • Skytjenesten spesifiserer at enkelte typer support kan ytes av supportpersonell i et ikke-adekvat tredjeland, for eksempel til visse tider av døgnet eller i tilfelle krisegjenoppretting. Husk at tilgang til personopplysninger, inkludert fjernaksess, kan være en form for overføring.
  • Tjenesteavtalen tar forbehold om at personopplysninger kan utleveres til myndighetene i et ikke-adekvat tredjeland.
  • Skytjenesten er underlagt juridiske forpliktelser i et ikke-adekvat tredjeland som går foran avtalen og som kan innebære utlevering av personopplysninger.

Hvis overføringer kan skje, gå videre til neste steg i vurderingen.

Merk:

I det øyeblikket når tilgang finnes, vil reglene om overføring gjelde. Overføringsbegrepet er ikke definert i personvernforordningen. Personvernrådet har utarbeidet veiledning 5/2021 (edpb.europa.eu) på dette området. Tre kriterier må være oppfylt for at behandling anses som overføring ut av EØS. Se kapittel 1 i veilederen.

Steg 2: Hvem er behandlingsansvarlig for den mulige overføringen?

Hvis overføringer kan skje selv om dataene skal behandles i EØS, må dere vurdere hvem som er behandlingsansvarlig for en eventuell overføring. Den behandlingsansvarlige er den som bestemmer formålet og midlene med en overføring. Typisk er det den som har interesse i overføringen som er behandlingsansvarlig.

For eksempel, dersom opplysningene kan overføres for å yte supporttjenester til dere, er det nærliggende at dere er behandlingsansvarlig for en slik overføring. Når dere er behandlingsansvarlig for eventuelle overføringer, må dere forholde dere til reglene beskrevet foran i denne veilederen for å sikre at eventuelle overføringer skjer lovlig.

Motsatt, dersom en overføring skjer for at en tjenesteleverandør skal oppfylle sine juridiske forpliktelser, er det sannsynligvis tjenesteleverandøren som er behandlingsansvarlig for overføringen. Dere har likevel et ansvar i denne situasjonen siden det er dere som beslutter å ta leverandøren i bruk og dermed gir den tilgang til de aktuelle personopplysningene. I slike tilfeller er det nødvendig å gå videre til neste steg.

Merk:

To eller flere behandlingsansvarlige kan ha felles behandlingsansvar. Wirtschaftsakademie Schleswig-Holstein-/Fanpage-dommen (curia.europa.eu) gir retningslinjer angående behandlingsansvar og for når en virksomhet kan anses å ha felles behandlingsansvar.

Steg 3: Forpliktelser når tjenesteleverandøren potensielt kan overføre personopplysningene

Dere kan bare velge databehandlere som oppstiller tilstrekkelige garantier for at behandling av personopplysninger vil skje i tråd med personvernforordningen, herunder at personopplysninger kun behandles i tråd med deres instrukser og ikke overføres ulovlig av noen i leverandørkjeden. Dette følger av personvernforordningen artikkel 28(1).

Denne bestemmelsen krever at man bare benytter databehandlere som «gir tilstrekkelige garantier». I vurderingen av når en databehandler kan sies å ha gitt tilstrekkelige garantier, altså hvor mye garantier de må legge frem før det er godt nok, er det naturlig å se hen behandlingens art og omfang og omstendighetene for øvrig. Det er grunnen til at artikkel 28(1) ofte omtales som en form for risikovurdering.

Dette må imidlertid ikke trekkes for langt. Bestemmelsens ordlyd gir på ingen måte dekning for å si at man kan velge å bruke databehandlere som sier at de kan bryte databehandleravtalen, deres instrukser eller personvernforordningen, og en slik forståelse ville for øvrig gått imot bestemmelsens formål. Formålet er nettopp å sikre at man bare velger leverandører som man kan stole på og som forplikter seg til å følge forordningen fullt ut.

Dersom forbehold som innebærer brudd på personvernforordningen er tatt, eller det på annet grunnlag er grunn til å tro at databehandleren kan bryte reglene, må man selvsagt iverksette tiltak for å motvirke at dette skjer, hvis ikke kan ikke databehandleren benyttes. Man kan altså ikke risikovurdere seg bort fra eget ansvar.

Ofte tar tjenesteavtaler vage og vide forbehold om at leverandøren kan overføre personopplysninger til ikke-adekvate tredjeland for oppfylle dens juridiske forpliktelser. Dette er et typisk holdepunkt for at leverandøren kan overføre personopplysninger i strid med forordningen og at tiltak for å forhindre brudd derfor må iverksettes.

Når det gjelder hva slags tiltak man kan iverksette og hva som er tilstrekkelig, er det naturlig å se hen til tiltakene beskrevet i forrige delkapittel, altså tiltak man kan iverksette for å sikre lovlig overføring av personopplysninger. Kryptering eller pseudonymisering med god nøkkelhåndtering kan være særlig praktisk.

Litt forenklet, la oss si at dere lagrer personopplysninger om navngitte personer i en skytjeneste i EØS. Skyleverandøren er imidlertid underlagt problematisk lovgivning i et ikke-adekvat tredjeland som innebærer at myndighetene kan be om å få utlevert opplysninger knyttet til gitte identifikatorer. Myndighetene i tredjelandet ber nå om å få utlevert opplysninger knyttet navnet «Navn Navnesen». Dersom dataene er korrekt pseudonymiserte og bare dere har adgang til koblingsnøkkelen, vil ikke skyleverandøren finne opplysninger knyttet til «Navn Navnesen». Da vil det heller ikke skje en potensielt ulovlig utlevering av personopplysninger. Forutsetningen er det ikke på annen måte, for eksempel ved sammenstilling av personopplysningene, er mulig å avdekke hvilke personopplysninger som gjelder «Navn Navnesen». I dette tilfellet innebærer altså pseudonymiseringen at skytjenesten kan benyttes lovlig selv om den er underlagt problematisk tredjelandslovgivning.

Merk:

Dersom personopplysninger kan leses i klartekst på et tidspunkt mens de er i skyløsningen, for eksempel hvis data ikke er kryptert under behandling, anbefaler vi å vurdere å beskytte personopplysningene ved pseudonymisering. Vi henviser til Personvernrådets anbefalinger 1/2020 (edpb.europa.eu), særlig para. 94-96,

Merk:

For at kryptering skal være effektivt for å motvirke ulovlig utlevering, bør ikke tjenesteleverandøren ha tilgang til krypteringsnøkkelen.

Merk:

En databehandler har lov til å utlevere personopplysninger dersom den er pålagt det etter EU-retten eller nasjonal rett i et EØS-land. Regelverket er lagt opp slik fordi EØS-land er forpliktet til å etterleve omtrentlig de samme menneskerettighetene, med de samme håndhevingsmekanismene for å sikre etterlevelse.

Steg 4: Hva er avtalt?

Det er viktig å vurdere hva som er avtalt om databehandleroppdraget.

I noen tilfeller kan det være avtalt at en tjenesteleverandør er behandlingsansvarlig for enkelte behandlinger og databehandler for andre behandlinger. Dersom det er avtalt at en tjenesteleverandør skal være behandlingsansvarlig for en behandling som kan medføre overføring, er tommelfingerregelen at det er den nye behandlingsansvarlige som sitter med ansvaret.

Husk imidlertid at dere må ha et gyldig rettslig grunnlag i personvernforordningen artikkel 6 (og eventuelt artikkel 9 ved særlige kategorier personopplysninger) for å utlevere personopplysninger til tjenesteleverandøren som en ny behandlingsansvarlig. Utleveringen må dessuten være forenlig med formålet som personopplysningene ble samlet inn for. Husk også på informasjonsplikten.

Dersom dere ikke lovlig kan utlevere personopplysninger til tjenesteleverandøren som en ny behandlingsansvarlig, må dere iverksette tiltak for å påse at tjenesteleverandøren bare behandler personopplysninger etter deres instruksjoner. Se steg 3.

Europeiske eksempler og veiledning

Merk:

Dere har ansvar for å velge en databehandler/skyleverandør som oppfyller personvernforordningens plikter og sørger for å ivareta de registrertes rettigheter. Dersom det er avtalt at skyleverandøren skal være databehandler, må dere som iverksette tiltak for å påse at skyleverandøren kun behandler og overfører personopplysninger etter deres instrukser. Dette poenget blant andre ble trukket frem i en rapport fra Personvernrådet om offentlige organers bruk av skytjenester (edpb.europa.eu).

Eksempel fra Sverige

I 2021 ba Kommunstyrelsen i Stockholm den svenske datatilsynsmyndigheten (IMY) om forhåndsdrøftelse. Bakgrunnen var at Kommunstyrelsen ville ta i bruk Azure AD og Teams. På dette tidspunktet hadde ikke USA en adekvansbeslutning. 

Kommunstyrelsens bruk av Azure AD innebar ingen overføring av personopplysninger i seg selv, siden personopplysningene i utgangspunktet ville behandles innenfor EØS. Derimot kunne overføring skje dersom Microsoft, selskapet bak tjenesten, ble pålagt utlevering av amerikanske myndigheter under amerikansk lovgivning. Kommunstyrelsen fremholdt at sannsynligheten for ulovlig utlevering var lav og at de aktuelle personopplysningene var å regne som harmløse.

IMY uttalte at vurderingen av personvernkonsekvenser var mangelfull. Når det gjaldt valg av en leverandør i EØS underlagt tredjelands lovgivning, uttalte IMY følgende på side 3, vår oversettelse:

«Kommunestyret må følge de kravene som personvernforordningen artikkel 28 stiller. Kommunestyret bør derfor ta stilling til hvilken garantier i form av tekniske og organisatoriske tiltak som kreves for å sørge for at det ikke skjer en ulovlig overføring av personopplysninger til tredjeland, for eksempel hvordan sikre at leverandøren ikke utleverer opplysninger i strid med artikkel 48. Dersom kommunestyret ikke kan innhente tilstrekkelige garantier fra leverandøren jf. personvernforordningen artikkel 28, kan ikke kommunestyret velge å gjøre en avtale med denne leverandøren.»

Eksempel fra Frankrike

Den høyeste franske forvaltningsdomstolen har vurdert en sak som gjaldt behandling av personopplysninger i EØS hos en skytjeneste underlagt tredjelands lovgivning (conseil-etat.fr) Domstolen uttalte at å bruke en slik leverandør ikke i seg selv utgjør en overføring, men at det er en mulighet for at overføring likevel vil skje dersom leverandøren mottar utleveringsforespørsler fra tredjelandets myndigheter. Domstolen kom frem til at bruk av skytjenesten i den konkrete saken ikke var ulovlig, blant annet fordi det var på plass tiltak for å beskytte personvernet dersom det skulle komme utleveringsforespørsler. Domstolen pekte på at personopplysninger var kryptert og at krypteringsnøkkelen var håndtert av en tredjepart i Frankrike.

Eksempel fra Danmark

Det danske Datatilsynet har gitt ut en veileder om skytjenester tilgjengelig på både dansk og engelsk (datatilsynet.dk). Siden reglene er like i hele EØS, kan denne veilederen være nyttig også for norske virksomheter.

Når det gjelder bruk av skytjenester i EØS underlagt tredjelands lovgivning, har det norske Datatilsynet og det danske Datatilsynet tilsynelatende litt ulike innfallsvinkler – men resultatet blir likevel i praksis mer eller mindre det samme.

Det danske Datatilsynet skiller mellom såkalt «tilsigtet» og «utilsigtet» overføring (som også har blitt ytterligere forklart i den såkalte KOMBIT-saken (datatilsynet.dk)):

  • Dersom formålet med overføring er knyttet til en virksomhets behov for eksempelvis support eller liknende, eller dersom virksomhetens databehandler eksplisitt tar forbehold om overføring, regnes overføringen som tilsiktet. Da har også virksomheten ansvar for å sikre at reglene om overføring til tredjeland blir overholdt. Dette er sammenliknbart med det vi sier i steg 2 annet avsnitt (der dere selv er behandlingsansvarlige for overføringen) og steg 3 tredje, fjerde og femte avsnitt (der det er konkrete holdepunkter for at leverandøren kan bryte forordningen).

  • Ut over dette vil eventuelle overføringer i strid med databehandleravtalen regnes som utilsiktede. Det fritar ikke den opprinnelig behandlingsansvarlige for ansvar, men i slike tilfeller kan man ha en mer risikobasert tilnærming til valg av databehandler. Dette er sammenliknbart med det vi sier ovenfor i steg 3 annet avsnitt (den generelle vurderingen av hvorvidt fremlagte garantier er tilstrekkelige når det ikke foreligger konkrete holdepunkter for at leverandøren kan bryte forordningen).

Vi mener at selv om en databehandleravtale ikke tar forbehold om overføring, kan det tenkes situasjoner der det likevel er holdepunkter for at potensielt ulovlige overføringer kan skje, med den konsekvens at tiltak må iverksettes for å forhindre brudd hvis leverandøren skal kunne velges. Slike omstendigheter kan for eksempel avdekkes under en risikovurdering av databehandleren etter artikkel 32. Det er mulig slike situasjoner ville blitt vurdert som utilsiktet overføring av danske kolleger, og i så fall har vi ulik tolkning. Samtidig erfarer vi at der leverandører er omfattet av tredjelands lovgivning, vil de som regel ta forbehold om det i avtalen, blant annet for å unngå ansvar for kontraktsbrudd. Dermed er det også usikkert i hvilken grad denne nyanseforskjellen vil ha særlig betydning i praksis.

Unntak

Hvis du ikke klarer å identifisere et effektivt overføringsgrunnlag for den overføringen du planlegger, kan du som unntak overføre personopplysningene hvis vilkårene i personvernforordningen artikkel 49 er oppfylt.

Overføringsgrunnlagene i personvernforordningen kapittel V skal sikre at beskyttelsesnivået for personopplysninger i EØS ikke undergraves. Det er derfor viktig at unntak bare gjøres i særlige situasjoner. Et unntak skal ikke benyttes som hovedregel, og unntakene må tolkes restriktivt.

Unntakene garanterer ikke for tilsvarende beskyttelse av personopplysningene utenfor EØS. Derfor vil bruk av unntak lede til en forhøyet risiko for de registrertes rettigheter. Dataeksportøren bør være seg dette bevisst.

Hvilke unntak finnes?

Litt forenklet formulert kan man bruke unntak når:

  • Den registrerte har gitt et uttrykkelig og informert samtykke
  • Nødvendig for å oppfylle en avtale med den registrerte
  • Nødvendig for å oppfylle en avtale i den registrertes interesse
  • Nødvendig av hensyn til viktige allmenne interesser anerkjent i lov
  • Nødvendig for å fastsette, gjøre gjeldende eller forsvare rettskrav
  • Nødvendig for å verne vitale interesser i tilfeller der den registrerte er ute av stand til å gi samtykke
  • Personopplysningene hentes fra et offentlig register

Personvernrådet har utarbeidet en veileder om unntakene i personvernforordningen artikkel 49 (edpb.europa.eu). Veilederen går nøye gjennom hva som kreves for å benytte hvert unntak.

Unntakene ved uttrykkelig og informert samtykke, og for oppfyllelse av avtale, kan ikke benyttes av offentlige organer når de utøver offentlig myndighet. Unntakene for oppfyllelse av avtale og rettskrav kan bare brukes leilighetsvis.

Det kan være forvirrende at unntakene er utformet nokså likt som behandlingsgrunnlagene i personvernforordningen artikkel 6. Reglene gjelder imidlertid to forskjellige situasjoner. Reglene om overføringer ut av EØS skal beskytte personopplysninger mot regler og praksis i andre land som kan gi et dårligere beskyttelsesnivå. Reglene om behandlingsgrunnlag skal sikre at virksomheten selv behandler personopplysninger på lovlig vis.

Reglene gjelder også to ulike steg: Man må alltid ha et behandlingsgrunnlag før man foretar noen behandling av personopplysninger overhodet. Hvis man deretter skal overføre personopplysningene ut av EØS, må man som hovedregel identifisere et overføringsgrunnlag for dette. Man bør bare benytte et unntak etter personvernforordningen artikkel 49 hvis ikke noe effektivt overføringsgrunnlag kan identifiseres.

Personvernforordningen åpner for at nasjonal lovgivning eksplisitt kan begrense muligheten for overføringer av spesifikke kategorier personopplysninger til et tredjeland eller internasjonal organisasjon. Det fins foreløpig ikke noen slik lovgivning i Norge.

Uttrykkelig og informert samtykke

Personopplysninger kan som et unntak overføres ut av EØS hvis den registrerte uttrykkelig har samtykket til den foreslåtte overføringen, etter å ha blitt informert om de mulige risikoene overføringen kan innebære når det ikke foreligger adekvansbeslutning eller overføringsgrunnlag.

Dette er et unntak fra hovedregelen om å inneha et overføringsgrunnlag. Det er viktig at unntak bare gjøres i særlige situasjoner. Et unntak skal ikke benyttes som hovedregel, og unntakene må tolkes restriktivt.

Personvernforordningen definerer begrepet samtykke i artikkel 4 (11) og 7. Vilkårene i disse bestemmelsene må være oppfylt for at et samtykke skal være gyldig også etter artikkel 49 nr. 1 bokstav a. Det innebærer blant annet at samtykket må være frivillig og avgitt gjennom en aktiv handling, samt at den registrerte når som helst trekke sitt samtykke tilbake. Se vår veileder om behandlingsgrunnlag for mer informasjon om de alminnelige vilkårene for gyldig samtykke. Her finner du blant annet informasjon om hva som ligger i at et samtykke må være uttrykkelig, som også er et krav for behandling av særlige kategorier av personopplysninger etter personvernforordningen artikkel 9 nr. 2 bokstav a.

For å bruke samtykke som unntak fra behovet for adekvansbeslutning eller overføringsgrunnlag, må man i tillegg oppfylle noen ytterligere krav.

I tillegg til det alminnelige kravet om at samtykket skal være informert, er det et uttrykkelig krav om at den registrerte informeres om de mulige risikoene overføringen kan innebære for vedkommende.

Den registrerte bør gjøres oppmerksom på forhold som for eksempel at det aktuelle tredjelandet ikke har en egen datatilsynsmyndighet eller personvernregler som gir like rettigheter som i EØS. Det bør også gis informasjon om alle mottakere eller kategorier mottakere av personopplysningene, om alle land personopplysningene vil sendes eller videresendes til, om at uttrykkelig og informert samtykke er grunnlaget for overføringen, og om at EU-kommisjonen ikke har besluttet at det aktuelle tredjelandet har et tilstrekkelig nivå for beskyttelse av personopplysninger. Informasjonen kan være standardisert.

Samtykket skal også være spesifikt. Det innebærer at det noen ganger ikke er mulig å innhente samtykke for en fremtidig overføring ut av EØS samtidig med at personopplysningene innhentes. Hvis de spesifikke forholdene rundt overføringen ut av EØS ikke enda er kjent, vil det ikke være mulig å vurdere risikoen for de registrerte. Samtykket vil da hverken være spesifikt eller informert. I slike tilfeller må dataeksportøren innhente spesifikt samtykke på et senere tidspunkt, når disse forholdene er avklart.

Samtykke må i alle tilfeller innhentes forut for at overføringen av personopplysningene finner sted.

Offentlige organer kan ikke benytte samtykkeunntaket for overføring av personopplysninger når de utøver offentlig myndighet.

Nødvendig for å oppfylle en avtale med den registrerte

Personopplysninger kan som et unntak overføres ut av EØS hvis overføringen er nødvendig for å oppfylle en avtale mellom den registrerte og den behandlingsansvarlige. Det samme gjelder hvis overføringen er nødvendig for å gjennomføre tiltak som treffes før avtaleinngåelse etter ønske fra den registrerte.

Dette er et unntak fra hovedregelen om å inneha et overføringsgrunnlag. Det er viktig at unntak bare gjøres i særlige situasjoner. Et unntak skal ikke benyttes som hovedregel, og unntakene må tolkes restriktivt.

Selv om unntaket virker vidt, begrenses det av kravet til at overføringen må være nødvendig. Nødvendighetskriteriet krever en årsakssammenheng. Det må være en nær sammenheng mellom overføringen og oppfyllelsen av kontrakten. Unntaket kan ikke benyttes for overføringer av ytterligere informasjon som ikke har betydning for oppfyllelsen av selve avtalen, eller for å gjennomføre tiltak før avtaleinngåelse etter ønske fra den registrerte.

Når det gjelder hva som kan ansees som nødvendig for en avtale, har Personvernrådet (EDPB) gitt ut retningslinjer om artikkel 6 nr. 1 bokstav b i personvernforordningen (edpb.europa.eu), som inneholder en tilsvarende formulering. Disse retningslinjene er relevante også her. 

Eksempel 1

Et reisebyrå har inngått kontrakt med en klient om å organisere dennes utenlandsopphold i Chile. I forbindelse med organiseringen må reisebyrået overføre personopplysninger om klienten til hoteller og guider i Chile. Overføringene er nødvendige for å oppfylle avtalen, og unntaket kan være passende å bruke.

Eksempel 3

Et selskap har sentralisert sin avdeling for HR og lønn i India. Begrunnelsen er at det er forretningsmessig gunstig. Avtale-unntaket kan ikke brukes for overføringer til en slik avdeling. Det finnes ingen direkte og objektiv forbindelse mellom oppfyllelsen av arbeidskontrakten og overføringen som tilsier at det er virkelig er nødvendig å overføre ansattes personopplysninger til India. For slike overføringer kan overføringsgrunnlag som standard personvernbestemmelser eller bindende virksomhetsregler være passende å bruke.

Unntaket begrenses også av at det kun bør brukes leilighetsvis, det vil si når et særskilt behov oppstår.

Eksempler på leilighetsvis overføring av personopplysninger:

Eksempel 1

En selger skal etter sin arbeidskontrakt reise til ulike land for å gjennomføre salg på vegne av selskapet hun er ansatt i. Selskapet sender personopplysningene hennes til potensielle kunder i ulike tredjeland for å planlegge fremtidige møter. En slik overføring vil være leilighetsvis.

Eksempel 2

En bank i EU overfører personopplysninger til en bank i Brasil for å utføre en transaksjon som er forespurt av sin kunde. En slik overføring vil være leilighetsvis.

Overføringen vil likevel ikke være leilighetsvis dersom den er del av et stabilt samarbeidsforhold mellom de to bankene.

Eksempler på overføring av personopplysninger som ikke er leilighetsvis:

Eksempel

Et multinasjonalt selskap organiserer jevnlig seminarer og kurs i Singapore og bruker en fast samarbeidspartner i Singapore for gjennomføringen. I forkant sender selskapet opplysninger om navn, jobbtittel, og kanskje også matallergier og tilretteleggingsbehov til de ansatte som skal delta. Overføringen av de ansattes personopplysninger skjer innenfor et stabilt samarbeid og må anses systematisk og gjentakende. En slik overføring vil ikke være leilighetsvis.

Offentlige organer kan ikke benytte dette unntaket for overføring av personopplysninger når de utøver offentlig myndighet.

Nødvendig for å oppfylle en avtale i den registrertes interesse

Personopplysninger kan som et unntak overføres ut av EØS hvis overføringen er nødvendig for å inngå eller oppfylle en avtale inngått i den registrertes interesse mellom den behandlingsansvarlige og en annen fysisk eller juridisk person.

Dette er et unntak fra hovedregelen om å inneha et overføringsgrunnlag. Det er viktig at unntak bare gjøres i særlige situasjoner. Et unntak skal ikke benyttes som hovedregel, og unntakene må tolkes restriktivt.

Kravene om nødvendighet og at overføringen er leilighetsvis gjelder også. 

Eksempel

Av hensyn til kostnader har en organisasjon inngått en avtale med en leverandør i Moldova som håndterer lønn for de ansatte. Det er ikke objektivt nødvendig for en avtale inngått i den registrertes interesse at vedkommendes personopplysninger sendes til Moldova. Unntaket er derfor ikke passende.

Offentlige organer kan ikke benytte dette unntaket for overføring av personopplysninger når de utøver offentlig myndighet.

Nødvendig av hensyn til viktige allmenne interesser anerkjent i lov

Personopplysninger kan som et unntak overføres ut av EØS hvis overføringen er nødvendig av hensyn til viktige allmenne interesser.

Dette er et unntak fra hovedregelen om å inneha et overføringsgrunnlag. Det er viktig at unntak bare gjøres i særlige situasjoner. Et unntak skal ikke benyttes som hovedregel, og unntakene må tolkes restriktivt.

Eksempler på viktige allmenne interesser kan være internasjonal utveksling av opplysninger mellom konkurransemyndigheter, skatte- eller tollmyndigheter, finanstilsynsmyndigheter, trygdemyndigheter eller folkehelsemyndigheter. Utvekslingen av opplysninger kan for eksempel ha til formål å oppnå kontaktsporing i forbindelse med smittsomme sykdommer eller å avskaffe/redusere doping i idrett.

Bare allmenne interesser anerkjent i EØS-retten eller norsk rett kan begrunne bruk av unntaket. At de allmenne interessene er beskyttet i EØS-retten eller norsk rett er videre ikke nok i seg selv. Unntaket får bare anvendelse når det kan utledes av EØS-retten eller norsk rett at overføringen tillates for viktige allmenne interesser, herunder for gjensidighetsformål i internasjonalt samarbeid. En indikasjon på at unntaket får anvendelse kan være eksistensen av en internasjonal avtale som legger opp til internasjonalt samarbeid for å oppnå ett felles formål. Forutsetningen er at Norge er part til den internasjonale avtalen.

Eksempel

En virksomhet overfører personopplysninger til en internasjonal humanitær organisasjon fordi det er nødvendig for å utføre en oppgave i henhold til Genève-konvensjonene. Overføringen kan da anses å være nødvendig av hensyn til viktige allmenne interesser.

Unntaket er hovedsakelig rettet mot offentlige virksomheter. Det avgjørende er imidlertid at vilkåret om nødvendighet for viktige allmenne interesser er oppfylt, ikke hvorvidt aktøren som overfører personopplysningene er offentlig eller privat.

Dette unntaket begrenses ikke av et krav om at overføringen er leilighetsvis. Det betyr ikke at unntaket kan brukes systematisk og i stor skala. Unntakene i personvernforordningen artikkel 49 skal ikke benyttes som hovedregel, men må begrenses til spesifikke situasjoner. Kravet om nødvendighet må også være oppfylt. Overføringer som er del av vanlig drift eller praksis, bør beskyttes gjennom et overføringsgrunnlag etter personvernforordningen artikkel 46.

Nødvendig for å forsvare rettskrav

Personopplysninger kan som et unntak overføres ut av EØS hvis overføringen er nødvendig for å fastsette, gjøre gjeldende eller forsvare rettskrav. Det trenger ikke være i forbindelse med en rettssak. Også krav i forvaltningssaker eller utenrettslig prosedyre, herunder prosedyrer ved reguleringsorganer, omfattes.

Dette er et unntak fra hovedregelen om å inneha et overføringsgrunnlag. Det er viktig at unntak bare gjøres i særlige situasjoner. Et unntak skal ikke benyttes som hovedregel, og unntakene må tolkes restriktivt.

Eksempler

  • Overføring av nødvendige opplysninger for å forsvare seg selv i forbindelse med en kriminal- eller administrativ etterforskning utenfor EØS (eksempelvis saker om korrupsjon, konkurranserettsbrudd, innsidehandel).
  • Overføring av nødvendige opplysninger for å motta reduksjon eller bortfall av bøter eller gebyr.
  • Overføring av nødvendige opplysninger i forbindelse med fremlegging av dokumenter forut for en sivil rettssak.
  • Overføring av nødvendige opplysninger for å igangsette prosessuelle rettslige steg.
  • Overføring av nødvendige opplysninger for å søke godkjenning av en selskapsfusjon.

Det bør være en nær sammenheng mellom overføringen og formålet om å fastsette, gjøre gjeldende eller forsvare rettskravet. Overføringen må være nødvendig. Mulig «godvilje» eller interesse hos tredjelandets myndigheter vil ikke være tilstrekkelig. Se under «Andre situasjoner» om krav om utlevering fra domstol eller et forvaltningsorgan i et tredjeland. Det kan være fristende å oversende all mulig informasjon som kan være relevant, men personopplysningene som oversendes må begrenses til det nødvendige.

Dersom det er tilstrekkelig å overføre anonymiserte opplysninger, eventuelt pseudonymiserte personopplysninger, skal man ikke overføre andre personopplysninger. Hvis det er nødvendig å knytte spesifikke personer opp til personopplysningene, bør relevansen av opplysningene for det spesifikke anliggende vurderes. Bare et sett med personopplysninger som faktisk er nødvendig for formålet skal overføres.

Unntaket begrenses også av at det kun bør brukes leilighetsvis, det vil si når et særskilt behov oppstår. Se mer om leilighetsvis-vilkåret under beskrivelsen av unntaket «Nødvendig for å oppfylle en avtale med den registrerte».

Unntaket kan ikke benyttes for overføring av personopplysninger basert på en ren mulighet for fremtidige rettslige eller andre formelle prosesser. Den aktuelle prosessen bør også fremgå av formelt regelverk.

Dette unntaket kan også offentlige organer benytte for overføring av personopplysninger når de utøver offentlig myndighet.

Merk at norsk regelverk kan sette grenser for overføring av spesifikke kategorier av personopplysninger til en tredjestat eller en internasjonal organisasjon. Foreløpig er det ikke satt noen slike spesifikke grenser.

Nødvendig for å verne vitale interesser i tilfeller der den registrerte er ute av stand til å gi samtykke

Personopplysninger kan som et unntak overføres ut av EØS hvis overføringen er nødvendig for å verne den registrertes eller andre personers vitale interesser i tilfeller der den registrerte fysisk eller juridisk ikke er i stand til å gi samtykke.

Dette er et unntak fra hovedregelen om å inneha et overføringsgrunnlag. Det er viktig at unntak bare gjøres i særlige situasjoner. Et unntak skal ikke benyttes som hovedregel, og unntakene må tolkes restriktivt.

Dette unntaket vil gjelde når det foreligger en medisinsk nødsituasjon, og det er direkte nødvendig å overføre personopplysningene for å gi nødvendig medisinsk hjelp.

Eksempel

En person har blitt kritisk syk på sin reise i Mongolia. Hastig overføring av personens helseopplysninger er nødvendig for å forhindre skade eller død, men den registrerte er hverken fysisk eller juridisk i stand til å gi sitt samtykke til overføringen. Overføringen kan da anses nødvendig fordi det er av vital interesse for den registrerte.

Overføringen må ha direkte sammenheng med den registrerte eller andre personers vitale interesse. Unntaket er ikke anvendelig for overføringer som søker å verne generelle vitale interesser på et ubestemt tidspunkt i fremtiden.

Eksempel

Et helseforetak ønsker å bidra med data til et forskningsprosjekt som i fremtiden kan gi avgjørende hjelp til personer med en gitt sykdom. Unntaket er ikke ment for denne situasjonen. Et alminnelig overføringsgrunnlag, som for eksempel standard personvernbestemmelser, kan være passende for overføringen.

Unntaket gjelder ikke bare når den registrerte er fysisk ute av stand til å samtykke. Også tilfeller hvor noen er juridisk ute av stand til å gi sitt samtykke, kan unntaket brukes hvis vitale interesser gjør overføringen nødvendig. Man kan være juridisk ute av stand til å gi sitt samtykke på grunn av mental tilstand, men også på grunn av alder. I Norge har vi ulike regler for samtykke hos mindreårige. For eksempel har mindreårige etter fylte 16 år som hovedregel rett til å samtykke til helsehjelp etter pasient- og brukerrettsloven (lovdata.no).

I tilfeller hvor personen som opplysningene gjelder er i stand til å gi sitt samtykke, kan unntaket ikke brukes.

Dette unntaket kan også offentlige organer benytte for overføring av personopplysninger når de utøver offentlig myndighet.

Personopplysningene hentes fra et offentlig register

Personopplysninger kan som et unntak overføres ut av EØS hvis overføringen finner sted fra et register som i henhold til norsk rett eller EØS-rett er beregnet på å gi informasjon til allmennheten. Registeret må være tilgjengelig for allmennheten eller for enhver person som kan gjøre gjeldende en berettiget interesse. Vilkårene for offentlig tilgjengelighet må være oppfylt i det særskilte tilfellet.

Eksempler på slike registre kan være:

  • Selskapsregistre
  • Organisasjonsregistre
  • Register over dommer
  • Registre over rettigheter og forpliktelser i eiendom
  • Kjøretøysregistre

Dette er et unntak fra hovedregelen om å inneha et overføringsgrunnlag. Det er viktig at unntak bare gjøres i særlige situasjoner. Et unntak skal ikke benyttes som hovedregel, og unntakene må tolkes restriktivt.

Overføringen skal ikke omfatte alle personopplysningene eller hele kategorier av personopplysninger i registeret. Man kan altså ikke bruke dette unntaket til ukritisk overføring av et helt register.

Når registeret er ment å være tilgjengelig for personer som har en berettiget interesse i det, skal overføring bare skje på anmodning fra nevnte personer, eller dersom de selv skal være mottakere i tredjelandet eller den internasjonale organisasjonen.

Dataeksportøren må fra sak til sak vurdere om overføringen bør gjennomføres, sett hen til de registrertes interesser og rettigheter. Videre bruk av personopplysningene som stammer fra registeret må bare foretas i samsvar med gjeldende personvernregelverk.

Dette unntaket kan også offentlige organer benytte for overføring av personopplysninger når de utøver offentlig myndighet.

Andre situasjoner

Hvis ingen av de særlige angitte unntakene nevnt over passer, fins det fortsatt ett snevert unntak: Enkeltstående, ikke-gjentakende overføringer kan skje hvis de er nødvendig av hensyn til tvingende berettigede interesser som går foran interessene, rettighetene og frihetene til de registrerte, og forutsatt at de kun gjelder et begrenset antall registrerte.

Alle omstendigheter tilknyttet overføringen skal vurderes, og vurderingen skal gi nødvendige garantier for beskyttelse av personopplysningene som skal overføres.  Virksomheten skal dokumentere vurderingen og de nødvendige garantiene i sin protokoll over behandlingsaktiviteter.

Datatilsynet skal varsles om en slik overføring. De registrerte skal også informeres om overføringen og om de tvingende berettigede interessene.

Virksomheten bør i vurderingen ta særlig hensyn til:

  • Personopplysningenes art
  • Formålet med den foreslåtte behandlingen
  • Varigheten av den foreslåtte behandlingen
  • Situasjonen i den aktuelle mottakerstaten og i eventuelle andre stater personopplysningene vil ende opp til slutt

Offentlige organer kan ikke benytte dette unntaket når de utøver offentlig myndighet.

Krav om utlevering fra domstol eller et forvaltningsorgan i et tredjeland

En dom eller forvaltningsvedtak fra myndigheter i tredjeland kan i noen tilfeller pålegge utlevering av personopplysninger til tredjelandet. Slik utlevering skal i utgangspunktet bare skje dersom dommen eller vedtaket kan anerkjennes og håndheves etter internasjonal avtale, se personvernforordningen artikkel 48. En slik avtale kan for eksempel en mellomstatlig traktat om gjensidig juridisk bistand. I tilfeller hvor slik en avtale foreligger, bør en virksomhet som mottar krav om utlevering normalt avslå kravet og henvise myndigheten til avtalen og relevante norske myndigheter. 

Eksempelsaker

Datatilsynet opplever at dersom man gjør de riktige vurderingene, er det er mulig å få på plass gode løsninger som også kan overholde personvernregelverket. Nedenfor ønsker vi å dele noen lærdommer fra veiledningsmøter.

Datatilsynet har hatt flere veiledningsmøter om overføringsproblematikk med aktører som bruker skytjenester. Datatilsynet har ikke myndighet til å forhåndsgodkjenne løsninger, men vi kan gi råd om hvilke tiltak som skal til for å følge regelverket og hvordan vurderinger kan gjennomføres.

Vestre Viken helseforetak: Pseudonymisering som effektivt tiltak

Vestre Viken HF ønsket å ta i bruk en løsning for hjemmedialyse. Løsningen var utarbeidet slik at helsepersonell kunne følge med på og justere behandlingen fra sykehusene via en skytjeneste. Løsningen ville medføre en rekke fordeler for både sykehus og pasienter som kunne gjennomføre behandlingen hjemme.

Leverandøren av løsningen, samt skytjenesten der løsningen var installert, var begge underlagt tredjelands lovgivning. I utgangspunktet skulle personopplysninger behandles innenfor EØS, men i visse tilfeller ville support ytes fra tredjeland. Dessuten var det en mulighet for at leverandørene ville motta utleveringsbegjæringer fra myndigheter i ikke-adekvate tredjeland.

Datatilsynet uttalte at i supporttilfellene ville Vestre Viken HF trolig være behandlingsansvarlig for eventuelle overføringer til tredjeland og dermed direkte underlagt reglene i personvernforordningen kapittel V. Derfor var det nødvendig å vurdere overføringsgrunnlag og ytterligere tiltak (se del 1–6 i denne veiledningen). Det var også nødvendig å vurdere tiltak for å forhindre at leverandørene skulle overføre personopplysninger til tredjelands myndigheter ulovlig selv om dataene befant seg i EØS (se del 7 i veiledningen).

Som tiltak så Vestre Viken HF for seg å pseudonymisere personopplysningene i løsningen med et eksisterende pasientpseudonym i kombinasjon med pasientens initialer. Datatilsynet uttalte at pasientpseudonymet kunne egne seg fordi koblingsnøkkelen var under helseforetakets kontroll og ikke var tilgjengelig for tredjelands myndigheter. Vi frarådet imidlertid å kombinere pasientpseudonymet med initialer, siden initialer i noen tilfeller kunne øke identifiserbarheten og potensielt gjøre det mulig å omgå pseudonymiseringen.

I dette tilfellet hadde Vestre Viken HF vurdert slik at det ikke var mulig å identifisere pasienten kun basert på en sammenstilling av personopplysningene som ble lagret i løsningen. Da kan pseudonymisering være et effektivt tiltak.

Med disse rådene på veien hadde ikke Datatilsynet innvendinger mot at Vestre Viken HF gikk videre med prosjektet.

Sikt: Ikke grunn til å tro at problematisk lovgivning får anvendelse i praksis

Sikt er kunnskapssektorens tjenesteleverandør. De tok kontakt med Datatilsynet i forbindelse med utarbeidelse av en felles løsning for identitets- og tilgangsstyring for sektoren. Denne løsningen skulle bli levert av amerikanske leverandører i amerikanskeid sky, og leverandørens ansatte i USA hadde behov for å se personopplysninger i klartekst for å drifte løsningen. På tidspunktet hadde ikke USA en adekvansbeslutning eller «godkjenning» som område med tilstrekkelig beskyttelsesnivå.

Veiledningsforespørselen omfattet flere temaer, men her har vi valgt å fokusere på hvordan Sikt vurderte den amerikanske etterretningsloven FISA 702. I utgangspunktet var Sikts leverandører underlagt FISA 702. Loven var identifisert som problematisk og uproporsjonal.

FISA 702 har i teorien et vidt virkeområde. Samtidig har EDPB uttalt i anbefalingene sine at man ikke trenger å iverksette tiltak mot en problematisk tredjelandslov dersom det ikke er grunn til å tro at loven får anvendelse på den aktuelle behandlingen av personopplysninger i praksis.

Sikt spurte hva Datatilsynet mener med at dette er en «binær» vurdering – det er jo vanskelig å være helt sikker på om loven får anvendelse. Datatilsynet klargjorde at enten er det «grunn til å tro», eller så er det «ikke grunn til tro». Ordlyden i EDPBs retningslinjer tilsier ikke at man må være 100 % sikker, men at konklusjonen må trekkes med en viss sannsynlighetsovervekt og på bakgrunn av grundige vurderinger. Vurderingen står på om det er grunn til å tro at loven får anvendelse i det konkrete tilfellet, ikke om det er grunn til å tro at myndighetene vil benytte seg av innsynsmuligheten i tilfeller hvor loven får anvendelse.

For å vurdere om det var grunn til å tro at FISA 702 ville få anvendelse på Sikts data, hadde Sikt spurt flere leverandører i markedet om de i praksis hadde mottatt utleveringsbegjæringer fra amerikanske myndigheter, noe de ikke hadde. EDPB åpner for at dette kan være ett av flere elementer i vurderingen så lenge man spør flere leverandører.

Sikt hadde også vurdert lovens ordlyd og dokumentasjon fra amerikanske myndigheter, selv om dette i seg selv ikke ga fullstendige svar. Sikt hadde videre undersøkt øvrig informasjon fra andre kilder og eksperter om hvordan loven tolkes og praktiseres.

På bakgrunn av dette mente Sikt at det var avgjørende etter FISA 702 om de aktuelle personopplysningene kunne sies å være innenfor leverandørens «possession, custody or control». Det vil igjen si at på hvilken måte leverandøren har tilgang til personopplysningene kan få betydning. Ikke enhver teoretisk mulighet for at en leverandør kan skaffe seg adgang til personopplysningene trenger å være relevant.

Videre mente Sikt at man må vurdere hvorvidt personopplysningene er innhold i kommunikasjon eller metadata om kommunikasjon (til sammen kalt «contents of communications») til eller fra en fysisk person av interesse («target»). Sikt mente at den aktuelle kommunikasjonen mellom to systemer ville falle utenfor FISA 702 fordi hverken avsender eller mottaker kunne være et «target».

Der det var snakk om kommunikasjon til fysiske personer, vurderte Sikt tilsvarende om systemet ville inneholde «contents of communications». Her var det relevant at det aktuelle systemet bare ville inneholde hvorvidt et varsel var blitt sendt, mens e-postadresse og innhold i e-post ville bli håndtert av et annet, separat system.

På bakgrunn av vurderingene kom Sikt frem til at de kunne gå videre med systemet selv om det ville innebære at leverandøren i USA fikk adgang til personopplysninger i klartekst. Sikt ville imidlertid iverksette avtalemessige tilleggstiltak likevel.

Datatilsynet har ikke godkjent Sikts vurdering av FISA 702. Datatilsynet bekreftet imidlertid at det er handlingsrom i personvernregelverket til å vurdere hvordan problematisk lovgivning fungerer i praksis. Videre uttalte Datatilsynet at Sikts presentasjon i veiledningsmøtet tydet på grundige og metodisk gode vurderinger. Datatilsynet hadde ikke innvendinger til hvordan vurderingene var blitt gjennomført.

Sikt er villig til å dele analysen sin med andre. Hvis dette er interessant, kan man ta kontakt med Sikts personvernombud (sikt.no).