Overføring av personopplysninger ut av EØS

Ulike overføringsgrunnlag

Når en virksomhet overfører personopplysninger til stater utenfor EØS-området, og det ikke foreligger en adekvansbeslutning, kan en overføring kun skje dersom den behandlingsansvarlige eller databehandleren har gitt "nødvendige garantier". Det må også gjøres under forutsetning av at den registrerte har håndhevbare rettigheter og effektive rettsmidler.

Dette følger av personvernforordningen artikkel 46 nr. 2, og betyr i praksis at virksomheten må bruke et av overføringsgrunnlagene i kapittel V i personvernforordningen. Som vi vil komme tilbake til, kreves det noen ganger ytterligere tiltak også.

Virksomhetene er selv ansvarlige for å finne ut hvilket overføringsgrunnlag i personvernforordningen artikkel 46 som er best egnet for deres overføring. Listen under begynner med de mest praktiske og vanligste overføringsgrunnlagene:

  1. Det mest brukte overføringsgrunnlaget er standard personvernbestemmelser (Standard Contractual Clauses eller SCCs) vedtatt av EU-kommisjonen (jf. personvernforordningen artikkel 46 nr. 2 bokstav c)).
  2. Bindende virksomhetsregler - Binding Corporate Rules eller BCR (jf. personvernforordningen artikkel 46 nr. 2 bokstav b og artikkel 47), kan brukes av internasjonale konsern og grupper av virksomheter.
  3. Bindende avtale mellom offentlige myndigheter eller organer innen og utenfor EØS (jf. artikkel 46 nr. 2 bokstav a).
    Personvernrådet har utgitt en veileder om hvilke nødvendige garantier en slik bindende avtale bør inneholde. Se EDPBs retningslinjer 2/2020 (edpb.europa.eu).
  4. For offentlige myndigheter eller organer som overfører personopplysninger til sin gjenpart utenfor EØS, er det mulig å ta inn personvernbestemmelser i administrative ordninger (jf. personvernforordningen artikkel 46 nr. 3 bokstav b). 
    Disse bestemmelsene må gi den registrerte håndhevbare rettigheter og effektive rettsmidler. Ordningen må godkjennes av Datatilsynet, og Personvernrådet må gi sin tilslutning. Personvernrådet har kommet med en veileder om hvilke nødvendige garantier en administrativ ordning mellom offentlige myndigheter eller organer bør inneholde. Se EDPBs retningslinjer 2/2020 (edpb.europa.eu). Personvernrådet har også kommet med en relevant uttalelse angående en administrativ avtale for ESMA. Denne kan brukes som en mal.
  5. Godkjente atferdsnormer (jf. personvernforordningen artikkel 46 nr. 2 bokstav e), sammen med bindende og håndhevbar avtale med dataimportør utenfor EØS.
    Personvernrådet har utgitt en veileder (edpb.europa.eu) som utdyper bruk av atferdsnormer som overføringsgrunnlag. Per i dag finnes det ingen godkjente atferdsnormer som kan brukes for overføring av personopplysninger til tredjeland.
  6. En godkjent sertifiseringsmekanisme (jf. personvernforordningen artikkel 46 nr. 2 bokstav f), sammen med bindende og håndhevbar avtale med dataimportør utenfor EØS.
    Personvernrådet har vedtatt retningslinjer (edbp.europa.eu) som utdyper bruk av sertifisering som overføringsgrunnlag. Per i dag finnes det imidlertid ingen godkjente sertifiseringsmekanismer som kan brukes for overføring av personopplysninger til tredjeland.
  7. Dersom de standardiserte personvernbestemmelsene vedtatt av EU-kommisjonen ikke skulle passe, er det også mulig å inngå avtalevilkår som virksomheten utformer selv (jf. personvernforordningen artikkel 46 nr. 3 bokstav a).
    I dette tilfellet må kontrakten godkjennes av Datatilsynet, og Personvernrådet må gi sin tilslutning. Hittil finnes ingen presedens, og godkjenningsprosessen vil være tidkrevende.
  8. Datatilsynet kan vedta egne standard personvernbestemmelser som også må godkjennes av EU-kommisjonen (jf. personvernforordningen artikkel 46 nr. 2 bokstav d).
    Hittil finnes ingen presedens og godkjenningsprosessen vil være tidkrevende.

Meningen med disse overføringsmekanismene er å pålegge dataimportøren en rekke plikter for å sikre at europeeres personopplysninger blir like godt beskyttet etter overførselen til tredjeland som de blir i EØS.

Den som mottar opplysningene kan imidlertid være underlagt lokale lover som er i strid med, og går foran, forpliktelsene etter overføringsgrunnlaget, eller det kan finnes andre omstendigheter som senker beskyttelsesnivået. Derfor må dataeksportøren i tillegg undersøke om beskyttelsesnivået som vil oppnås i praksis, faktisk er tilsvarende som i EØS.

Med andre ord, når det er snakk om å overføre personopplysninger til et tredjeland som ikke er godkjent av EU-kommisjonen, er en overføringsmekanisme nødvendig, men gir ikke alltid tilstrekkelig beskyttelse. Les mer om ytterligere tiltak i kapittelet om tilleggskrav (Schrems II).

 Eksempel  

En norsk virksomhet har datterselskaper i Israel, Thailand og Brasil. Det første virksomheten bør sjekke, er om noen av landene har fått en beslutning om tilstrekkelig beskyttelsesnivå. Israel er anerkjent som tilstrekkelig. Virksomheten kan derfor overføre personopplysninger til Israel uten overføringsgrunnlag eller å iverksette ytterligere tiltak.

For overføringen til Thailand og Brasil trenger man et overføringsgrunnlag, for eksempel ved å inngå en kontrakt med standard personvernbestemmelser vedtatt av EU-kommisjonen. Dersom mottakeren i Brasil ikke er villig til å signere standardkontrakten, kan den norske virksomheten i samarbeid med den brasilianske motparten utforme en egen kontrakt. Kontrakten må inneholde håndhevbare rettigheter for den registrerte. Siden kontrakten ikke er standard, må den godkjennes av Datatilsynet og Personvernrådet. En slik godkjenningsprosess kan imidlertid ta lang tid.

Den norske virksomheten må også vurdere beskyttelsesnivået for personopplysninger i Brasil og Thailand og eventuelt iverksette ytterligere tiltak.