Et typisk eksempel er internasjonale konsern som har sentralisert personaladministrasjonen for alle deler av konsernet til hovedkontoret. Dersom hovedkontoret ligger i utlandet vil det kunne oppstå behov for overføring av personopplysninger. Et annet eksempel er forskere som samarbeider med universiteter i andre land, og som ønsker å overføre innsamlede personopplysninger for videre bearbeidelse.
Generelt om overføring til utlandet
Såfremt personopplysningslovens generelle krav til behandling av personopplysninger er oppfylt, kan personopplysninger overføres til land innen EU og EØS-området. De kan også overføres til land som Europakommisjonen har godkjent, samt enkeltbedrifter i USA som har sluttet seg til Safe Harbor. Dette er ikke konsesjonspliktig i seg selv, men overføringen til utlandet må beskrives i konsesjonssøknad eller melding knyttet til hovedformålet med behandlingen. Eksempler på dette er forskningsprosjekter, varslingstjenester eller kontroll og overvåkning av ansatte.
Ved overføring til tredjeland som ikke er godkjent av Europakommisjonen eller til virksomheter i USA som ikke er en del av Safe Harbor, kan overføring skje på gitte vilkår, jf. personopplysningsloven § 30. For eksempel kan det være tilstrekkelig at den registrerte samtykker til overføringen. Et gyldig samtykke må være avgitt frivillig og kan på ethvert tidspunkt trekkes tilbake, jf. § 2 nr. 7. Samtykke vil derfor ofte være lite egnet som grunnlag for overføring til utlandet.
Overføring på grunnlag av alternativene i § 30 første ledd krever som hovedregel ingen forhåndsgodkjenning fra Datatilsynet. Overføringen skal imidlertid nevnes i eventuell konsesjonssøknad eller melding knyttet hovedformålet med behandlingen.
Datatilsynet kan i tillegg godta overføring av opplysninger dersom den behandlingsansvarlige gir tilstrekkelige garantier for vern av den registrertes rettigheter, jf. personopplysningsloven § 30 annet ledd. I slike tilfeller må man søke Datatilsynet om tillatelse for overføring av personopplysninger.
Dersom både den norske og den utenlandske virksomheten underskriver en avtale for overføring til utland vil Datatilsynet legge til grunn at det er stilt tilstrekkelig garantier for den registrertes personvern og tillate overføringen.
Ved overføring innen konsern vil også opprettelsen av bindende konsernregler kunne oppfylle kravet til garanti.
Også andre typer av garantier kan gi grunnlag for at Datatilsynet godkjenner overføringen etter en skjønnsmessig vurdering. Datatilsynet anbefaler imidlertid at man benytter EUs standardavtaler eller at det opprettes bindende konsernregler for overføringen.
Hva defineres som en overføring av personopplysninger til utlandet?
Bestemmelsen om overføring til utlandet gjelder bare overføring av personopplysninger til en adresse i et tredjeland. Opplysninger som blir lagt ut på Internett, og i prinsippet kan leses av alle, vil som hovedregel ikke rammes av de strenge vilkårene for overføring til tredjeland. Denne typen offentliggjøring av opplysninger vil komme inn under andre bestemmelser.
Om man sender e-post til en adressat i utlandet, regner man dette som overføring til utlandet. Sender man derimot en e-post til en adressat i Norge, vil det ikke regnes som overføring selv om den er innom en server som ligger i utlandet på veien.
Alternative løsninger for overføring til andre land enn de EU har godkjent
Personopplysningsloven har flere alternative løsninger for den som ønsker å overføre opplysninger til tredjeland som ikke er godkjent av EU. Felles for alle alternativene er at overføringen kun kan finne sted dersom de øvrige kravene i personopplysningsloven er oppfylt, for eksempel i § 8 og i § 11. Kravene i lovens kapittel V kommer altså ikke i stedet for, men i tillegg til de øvrige krav som loven stiller.
EUs standardkontrakter
Den enkleste måten å overføre personopplysninger til andre land på, er å bruke EUs standardkontrakter. Ved signering av en av kontraktene forplikter dataimportøren seg til å behandle dem i samsvar med de krav som gjelder innenfor EU og EØS-området. Under kan man laste ned pdf-versjonen av disse.
1. Overføring til en annen virksomhet som skal bruke opplysningene til eget formål
For overføring til virksomheter i tredjeland som selv opptrer som behandlingsansvarlig er det utformet to alternative standardkontrakter:
Standardkontrakt I
Standardkontrakt II
Virksomheten kan selv velge hvilken av disse kontraktene som passer best. Det er tillatt å gjøre endringer i standardkontraktene for å tilpasse disse til virksomhetenes behov, men Datatilsynet anbefaler at de benyttes i uendret form. Hvis den behandlingsansvarlige utformer egne vilkår, vil Datatilsynet måtte vurdere disse konkret.
2. Overføring til databehandler
Det er i 2010 utformet nye standardvilkår for overføring av personopplysninger til databehandlere i tredjeland. Disse erstatter de tidligere vilkårene fra 2002.
Datatilsynet anbefaler at det nye settet med vilkår benyttes ved overføring til databehandler. Se kontraktsvilkårene ved å følge pekerne under (side 10 og utover).
Bindende konsernregler for overføring (Binding Corporate Rules)
Bindende konsernregler (BCR) for overføring av opplysninger er ikke nevnt spesifikt verken i personverndirektivet eller i personopplysningsloven. I praksis har imidlertid slike regler blitt godtatt som grunnlag for overføring når de gir tilstrekkelige garantier for den registrertes personvern. Slike regler vil særlig være praktisk der konsernet opererer i flere EU-/EØS-land, og ønsker å overføre personopplysninger fra ett eller flere av disse til filialer eller datterselskap i ett eller flere tredjeland. Når de bindende reglene er godkjent, vil de utgjøre et gyldig grunnlag for overføringer fra samtlige EU-/EØS-land og til samtlige deler av konsernet som omfattes av reglene.
Det er utformet flere veiledere for opprettelse av slike bindende konsernregler. Disse veilederne finner man på Artikkel 29-gruppens hjemmesider.
Dokumentene tar blant annet stilling til hvilket land søknad om godkjenning av reglene skal sendes til og hvilke opplysninger søknaden skal inneholde.
Det må påregnes en del tid før en kan få godkjenning av bindende konsernregler. Skal man overføre til mange forskjellige land på jevnlig basis, vil det likevel være den mest praktiske løsningen, sammenlignet med for eksempel standardkontrakter.
Skjønnsmessig vurdering
Datatilsynet kan også tillate overføringen på grunnlag av en ren skjønnsmessig vurdering. Personvernulempene blir da vurdert opp mot nivået på personvernbeskyttelsen i mottakerlandet. Dersom nivået er tilfredsstillende, kan opplysningene overføres. Dette er en relativt byrdefull løsning, både for den virksomheten som ønsker overføring og for Datatilsynet. Årsaken til dette er at hver overføring må vurderes separat. I vurderingen av om opplysningene skal overføres, legger Datatilsynet blant annet vekt på:
- Opplysningens art: Jo mer sensitiv karakter opplysningene har, jo høyere krav stilles til reguleringen i mottakerlandet.
- Behandlingens formål: Enkelte behandlingsformål kan være mer belastende for personvernet enn andre.
- Tidsperspektiv: Behandlingens varighet vil kunne vektlegges. Dersom behandlingen skal pågå over lengre tid, vil det stilles strengere krav.
- Rettslige forhold i mottakerlandet: Hvis mottakerlandet for eksempel har gjennomført Europarådets personvernkonvensjon eller det finnes bransjenormer, sikkerhetstiltak og lignende som kan ivareta personvernet, vil dette tas med i betraktningen.
Datatilsynet kan i tillatelsen eventuelt stille vilkår for overføringen. Datatilsynets vurdering vil kunne ta noe tid, og det må derfor søkes om tillatelse i god tid før den faktiske overføringen planlegges gjennomført.