Innledning
Virksomheten må ha identifisert om det finnes et overføringsgrunnlag før personopplysningene overføres til et tredjeland eller til en internasjonal organisasjon. Hvis det ikke finnes, er overføringen ulovlig. Det gjelder også hvis overføringsgrunnlaget ikke vil fungere i praksis.
Innad i EØS kan personopplysninger brukes, sendes og deles på tvers av landegrensene hvis man har et behandlingsgrunnlag. Det er fordi disse landene har de samme reglene for behandling av personopplysninger, nemlig personvernforordningen, også kjent som GDPR. Man kan derfor anta at personopplysningene vil være like godt beskyttet i alle land i EØS.
Merk!
Hvis du som privatperson skal sende dine egne personopplysninger ut av EØS, gjelder ikke disse reglene for deg.
Andre land kan ha andre regler
Land utenfor EØS kan ha andre regler om hvordan personopplysninger skal behandles. Det samme gjelder internasjonale organisasjoner (for eksempel FN, OECD, eller WTO). Derfor må virksomheter ha et ytterligere grunnlag før de kan overføre personopplysninger ut av EØS. Overføringsgrunnlaget skal sikre at personopplysningene fortsatt vil være like godt vernet.
Det er viktig at virksomheten vurderer om overføringsgrunnlaget faktisk vil fungere slik det skal i forkant. Hvis overføringsgrunnlaget ikke sikrer god nok beskyttelse for personopplysningene i seg selv, må man i tillegg iverksette andre tiltak. Dette utdypes nærmere i kapittelet om tilleggskrav til overføringsgrunnlag (Schrems II).
EU-kommisjonen har fattet en beslutning om at noen land og områder har et tilstrekkelig beskyttelsesnivå for personopplysninger (en såkalt adekvansbeslutning). Overføringer til slike land og områder kan skje uten et særskilt overføringsgrunnlag, eller ytterligere vurderinger om beskyttelsesnivå. Det samme gjelder hvis et av unntakene i personvernforordningen artikkel 49 får anvendelse.
Reglene om overføring av personopplysninger ut av EØS kommer i tillegg til alle de andre forpliktelsene etter forordningen. Merk blant annet at virksomheten må føre protokoll over hvilke typer personopplysninger som overføres og til hvem.
Hvem har plikt til å følge reglene?
Både den behandlingsansvarlige og databehandleren har plikt til å oppfylle reglene i personvernforordningen kapittel V.
Husk at personvernreglene, og dermed reglene forklart i denne veilederen, også kan gjelde virksomheter utenfor EØS. Personvernrådet, også kjent som EDPB, har utarbeidet en veileder om det geografiske virkeområdet til personvernforordningen (edpb.europa.eu).
Hvis en behandlingsansvarlig skal engasjere en databehandler som overfører personopplysninger ut av EØS, må denne forsikre seg om at databehandleren oppfyller sine plikter. Den behandlingsansvarlige har rett og plikt til å gi databehandleren dokumenterte skriftlige instrukser for hvordan personopplysningene skal behandles. Databehandleren må omgående underrette den behandlingsansvarlige dersom databehandleren mener en instruks er i strid med personvernregelverket eller annen nasjonal rett.
Les mer om databehandleravtaler
Hva er en overføring?
Første steg for å oppfylle reglene om overføring av personopplysninger ut av EØS, er å vite om man faktisk overfører personopplysninger.
«Overføring» er ikke definert i personvernforordningen. Derfor har EDPB laget retningslinjer som utdyper hva som anses som en overføring (edpb.europa.eu). Ifølge retningslinjene må samtlige tre vilkår være oppfylt for at det skal være snakk om en overføring:
- En behandlingsansvarlig eller databehandler er underlagt GDPR for en bestemt behandling av personopplysninger
- Denne virksomheten (dataeksportøren) tilgjengeliggjør eller sender de aktuelle personopplysningene til en annen behandlingsansvarlig, felles behandlingsansvarlig eller databehandler (dataimportøren)
- Dataimportøren er i et land utenfor EØS eller er en internasjonal organisasjon
Retningslinjene klargjør at det anses som en overføring selv om dataimportøren etablert i et tredjeland allerede er direkte underlagt personvernforordningen i henhold til artikkel 3(2).
Retningslinjene forklarer også at det ikke regnes som en overføring når for eksempel ansatte i en norsk virksomhet reiser på forretningsreise utenfor EØS og har fjernadgang til virksomhetens personopplysninger. Grunnen er at den ansatte ikke er en annen behandlingsansvarlig, felles behandlingsansvarlig eller databehandler. Dersom det derimot er snakk om en ansatt i et datterselskap utenfor EØS i samme konsern som har fjerntilgang til den norske virksomhetens personopplysninger, vil fjerntilgangen regnes som en overføring. Uansett må behandlingen være i tråd med de øvrige kravene i personvernforordningen, for eksempel når det gjelder informasjonssikkerhet.
Personvernrådet anser for øvrig at innsamling av personopplysninger direkte fra personer i EØS, på personens eget initiativ, ikke utgjør en overføring (edpb.europa.eu).
Så lenge man er underlagt personvernforordningen, skal alle personopplysninger beskyttes. Da spiller det ingen rolle om opplysningene det er snakk om, tilhører personer som befinner seg i eller utenfor EØS, eller hvilken nasjonalitet personene har.
Definisjoner
En behandlingsansvarlig eller databehandler som overfører personopplysninger ut av EØS kalles gjerne dataeksportør. En behandlingsansvarlig eller databehandler som mottar personopplysninger som overføres ut av EØS kalles gjerne dataimportør.