Nye retningslinjer skal klargjøre hva som er en overføring til tredjeland

Det europeiske personvernrådet har sendt på høring retningslinjer som skal hjelpe virksomheter med å identifisere hva som er og hva som ikke regnes som en overføring av personopplysninger til tredjeland etter personvernforordningen.

Personvernrådet (EDPB) har vedtatt retningslinjene «Guidelines on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR» for offentlig høring. Retningslinjene har som mål å hjelpe behandlingsansvarlige og databehandlere i EU og EØS med å identifisere om en behandling er en overføring til tredjeland eller internasjonale organisasjoner.

Ifølge retningslinjene må samtlige tre vilkår være oppfylt for at det skal være snakk om en overføring:

  • En behandlingsansvarlig eller databehandler er underlagt GDPR for en bestemt behandling av personopplysninger.
  • Denne virksomheten (dataeksportøren) tilgjengeliggjør eller sender de aktuelle personopplysningene til en annen behandlingsansvarlig, felles behandlingsansvarlig eller databehandler (dataimportøren).
  • Dataimportøren er i et land utenfor EØS eller er en internasjonal organisasjon.

Etterlengtede retningslinjer

Det har vært en del uklarheter knyttet til hva som egentlig utgjør en overføring til tredjeland etter personvernregelverket, siden dette ikke er definert i loven.  Retningslinjene klargjør at det anses som en overføring selv om dataimportøren etablert i et tredjeland allerede er direkte underlagt personvernforordningen i henhold til artikkel 3(2). Det er ventet at EU-kommisjonen vil lage egne standard personvernbestemmelser (SCCs) tilpasset denne situasjonen.

Retningslinjene forklarer også at det ikke regnes som en overføring når for eksempel ansatte i en norsk virksomhet reiser på forretningsreise utenfor EØS og har fjernadgang til virksomhetens personopplysninger. Grunnen er at den ansatte ikke er en annen behandlingsansvarlig, felles behandlingsansvarlig eller databehandler. Dersom det derimot er snakk om en ansatt i et datterselskap utenfor EØS i samme konsern som har fjerntilgang til den norske virksomhetens personopplysninger, vil fjerntilgangen regnes som en overføring.

Personvernrådet anser for øvrig at innsamling av personopplysninger direkte fra personer i EØS, på personens eget initiativ, ikke utgjør en overføring.

Dersom en behandling av personopplysninger regnes som en overføring til et tredjeland, vil reglene i kapittel V komme til anvendelse, som innebærer at overføringen bare kan skje under visse forutsetninger. Uansett er det viktig å huske på at GDPR inneholder mange regler som er relevante uansett om det er en overføring eller ikke, for eksempel når det gjelder informasjonssikkerhet.

Retningslinjene ligger ute på offentlig høring frem til 31. januar 2022 (edpb.europa.eu). Alle er velkomne til å komme med innspill.