Alternative løsninger for overføring til andre land enn de EU har godkjent
Personopplysningsloven har flere alternative løsninger for den som ønsker å overføre opplysninger til tredjeland som ikke er godkjent av EU. Felles for alle alternativene er at overføringen kun kan finne sted dersom de øvrige kravene i personopplysningsloven er oppfylt, for eksempel i § 8 og i § 11. Kravene i lovens kapittel V kommer altså ikke i stedet for, men i tillegg til de øvrige krav som loven stiller.
EUs standardkontrakter
Den enkleste måten å overføre personopplysninger til andre land på, er å bruke EUs standardkontrakter. Ved signering av en av kontraktene forplikter dataimportøren seg til å behandle dem i samsvar med de krav som gjelder innenfor EU og EØS-området. Under kan man laste ned pdf-versjonen av disse.
1. Overføring til en annen virksomhet som skal bruke opplysningene til eget formål
For overføring til virksomheter i tredjeland som selv opptrer som behandlingsansvarlig er det utformet to alternative standardkontrakter:
Standardkontrakt I
Standardkontrakt II
Virksomheten kan selv velge hvilken av disse kontraktene som passer best. Det er tillatt å gjøre endringer i standardkontraktene for å tilpasse disse til virksomhetenes behov, men Datatilsynet anbefaler at de benyttes i uendret form. Hvis den behandlingsansvarlige utformer egne vilkår, vil Datatilsynet måtte vurdere disse konkret.
2. Overføring til databehandler
Det er i 2010 utformet nye standardvilkår for overføring av personopplysninger til databehandlere i tredjeland. Disse erstatter de tidligere vilkårene fra 2002.
Datatilsynet anbefaler at det nye settet med vilkår benyttes ved overføring til databehandler. Se kontraktsvilkårene ved å følge pekerne under (side 10 og utover).
Bindende konsernregler for overføring (Binding Corporate Rules)
Bindende konsernregler (BCR) for overføring av opplysninger er ikke nevnt spesifikt verken i personverndirektivet eller i personopplysningsloven. I praksis har imidlertid slike regler blitt godtatt som grunnlag for overføring når de gir tilstrekkelige garantier for den registrertes personvern. Slike regler vil særlig være praktisk der konsernet opererer i flere EU-/EØS-land, og ønsker å overføre personopplysninger fra ett eller flere av disse til filialer eller datterselskap i ett eller flere tredjeland. Når de bindende reglene er godkjent, vil de utgjøre et gyldig grunnlag for overføringer fra samtlige EU-/EØS-land og til samtlige deler av konsernet som omfattes av reglene.
Det er utformet flere veiledere for opprettelse av slike bindende konsernregler. Disse veilederne finner man på Artikkel 29-gruppens hjemmesider.
Dokumentene tar blant annet stilling til hvilket land søknad om godkjenning av reglene skal sendes til og hvilke opplysninger søknaden skal inneholde.
Det må påregnes en del tid før en kan få godkjenning av bindende konsernregler. Skal man overføre til mange forskjellige land på jevnlig basis, vil det likevel være den mest praktiske løsningen, sammenlignet med for eksempel standardkontrakter.
Skjønnsmessig vurdering
Datatilsynet kan også tillate overføringen på grunnlag av en ren skjønnsmessig vurdering. Personvernulempene blir da vurdert opp mot nivået på personvernbeskyttelsen i mottakerlandet. Dersom nivået er tilfredsstillende, kan opplysningene overføres. Dette er en relativt byrdefull løsning, både for den virksomheten som ønsker overføring og for Datatilsynet. Årsaken til dette er at hver overføring må vurderes separat. I vurderingen av om opplysningene skal overføres, legger Datatilsynet blant annet vekt på:
- Opplysningens art: Jo mer sensitiv karakter opplysningene har, jo høyere krav stilles til reguleringen i mottakerlandet.
- Behandlingens formål: Enkelte behandlingsformål kan være mer belastende for personvernet enn andre.
- Tidsperspektiv: Behandlingens varighet vil kunne vektlegges. Dersom behandlingen skal pågå over lengre tid, vil det stilles strengere krav.
- Rettslige forhold i mottakerlandet: Hvis mottakerlandet for eksempel har gjennomført Europarådets personvernkonvensjon eller det finnes bransjenormer, sikkerhetstiltak og lignende som kan ivareta personvernet, vil dette tas med i betraktningen.
Datatilsynet kan i tillatelsen eventuelt stille vilkår for overføringen. Datatilsynets vurdering vil kunne ta noe tid, og det må derfor søkes om tillatelse i god tid før den faktiske overføringen planlegges gjennomført.