Overføre opplysninger til utlandet

Virksomheter som vil overføre personopplysninger til utlandet, kan bare overføre til stater som sikrer en forsvarlig behandling av opplysningene.

Loven sier at overføring bare kan skje til stater som sikrer en forsvarlig behandling av opplysningene. Landene innenfor EU/EØS-området er anerkjent som stater som sikrer at personopplysninger behandles forsvarlig, og derfor kan man overføre personopplysninger til disse statene forutsatt at personopplysningslovens øvrige vilkår er oppfylt. Det samme gjelder land som Europakommisjonen har godkjent.

Land som er godkjent som mottakere av personopplysninger (ekstern side, engelsk)

Personopplysninger kan også overføres til USA dersom mottakervirksomheten har sertifisert seg etter Privacy Shield-avtalen (ekstern side, engelsk).

For overføring av personopplysninger ut over dette trenger du som hovedregel å søke Datatilsynet om tillatelse. Du må også kunne gi tilstrekkelige garantier for vern av den registrertes rettigheter. I disse tilfellene anbefaler vi å bruke EUs standardkontrakter. Dersom du bruker EUs standardkontrakt for overføring til databehandler (punkt 2 under "EUs standardkontrakter" nedenfor), trenger du ikke å søke Datatilsynet om tillatelse. Da er det tilstrekkelig å varsle Datatilsynet før overføringen finner sted. Se mer om dette under deloverskriften "Søknad om tillatelse eller varsel".

I alle tilfeller må personopplysningslovens krav til behandling av personopplysninger være oppfylt. Reglene om overføring til utlandet kommer altså ikke i stedet for, men i tillegg til de øvrige kravene som personopplysningsloven stiller.

Se også personvernprinsippene og startpakke for nye virksomheter.

Hva utgjør en overføring til utlandet?

Et typisk eksempel er internasjonale konsern som har sentralisert personaladministrasjonen for alle deler av konsernet til hovedkontoret. Dersom hovedkontoret ligger i utlandet, vil det kunne oppstå behov for overføring av personopplysninger. Et annet eksempel er forskere som samarbeider med universiteter i andre land, og som ønsker å overføre innsamlede personopplysninger for å bearbeide dem videre.

Bestemmelsen om overføring til utlandet gjelder bare overføring av personopplysninger til en adresse i et tredjeland. Opplysninger som blir lagt ut på internett, og i prinsippet kan leses av alle, vil som hovedregel ikke rammes av de strenge vilkårene for overføring til tredjeland. Denne typen offentliggjøring av opplysninger vil komme inn under andre bestemmelser.

Overføring til USA – EU-U.S. Privacy Shield

Privacy Shield erstatter den tidligere Safe Harbor-avtalen, som ble kjent ugyldig i oktober 2015.

Overføring av personopplysninger kan skje til amerikanske virksomheter som har valgt å delta i EU-U.S. Privacy Shield. Dette trenger ikke Datatilsynets tillatelse. Virksomheter som deltar i programmet har underlagt seg særlige regler for beskyttelse av personopplysningene.  

Les mer om Privacy Shield

Overføring av personopplysninger til amerikanske selskaper som ikke har sluttet seg til Privacy Shield, må baseres på vilkårene under.

Dersom din virksomhet skal overføre personopplysninger til USA, er det nå tre alternative mekanismer for å gjøre dette: Binding corporate rules, EUs standardavtaler eller Privacy Shield.

Hva betyr Privacy Shield for din virksomhet?

Dersom dere skal benytte Privacy Shield, må dere

  1. Kontrollere at mottaker står oppført på listen over Privacy Shield-sertifiserte virksomheter. Listen oppdateres årlig, og dere må derfor kontrollere dette hvert år.
  2. Vurdere om overføringen er i samsvar med grunnkravene i personopplysingsloven § 11 første ledd.
  3. Inngå en databehandleravtale dersom opplysningene skal overføres til en databehandler eller vurdere om dere har behandlingsgrunnlag for overføringen dersom opplysningene overføres til en behandlingsansvarlig.
  4. -Gjennomføre en risikovurdering, i samsvar med kravene i personopplysningsforskriften § 2-4. I den forbindelse kan det ha avgjørende betydning om personopplysningene som planlegges overført er sensitive eller ikke.

Overføring til andre land utenfor EU- og EØS-området

Overføring til tredjeland som ikke er godkjent av Europakommisjonen kan skje på visse vilkår, se personopplysningsloven § 30 første og annet ledd. Dersom overføringen faller innenfor et av vilkårene i første ledd, trenger du ikke Datatilsynets tillatelse. Det er imidlertid en del forhold dere må tenke på:

  • Alle som vurderer å overføre personopplysninger til tredjeland, må først vurdere om overføringen er i samsvar med grunnkravene i personopplysingsloven § 11 første ledd.
  • Deretter må de behandlingsansvarlige (som regel virksomheten som vil overføre opplysningene) gjennomføre en risikovurdering. I den forbindelse kan det ha avgjørende betydning om personopplysningene som planlegges overført er sensitive eller ikke
  • Hvis grunnkravene er oppfylt, og resultatet av risikovurderingen ikke er til hinder for det, kan en overføring av personopplysninger baseres på unntakene i § 30 første ledd.

Vi understreker imidlertid at unntaksbestemmelsene i § 30 første ledd ikke anses for å gi tilstrekkelig overføringsgrunnlag annet enn i meget begrensede tilfeller. Dette er i samsvar med anbefalingene som er gitt av Artikkel 29-gruppen i EU (pdf, engelsk).

Vær oppmerksom på at overføringer i medhold av unntaksbestemmelsene skjer på avsenders risiko, og at personopplysninger som overføres i medhold av unntaksbestemmelsene ikke har noen annen rettslig beskyttelse enn det som måtte følge av mottakerlandets rettsregler. Datatilsynet fraråder i praksis overføring av personopplysninger på bakgrunn av den enkeltes samtykke i de aller fleste tilfeller.

Dersom behandlingen ikke faller innenfor et av vilkårene etter § 30 første ledd, må du som hovedregel søke Datatilsynet om tillatelse etter §30 annet ledd før du kan overføre opplysningene. For å få tillatelse må den behandlingsansvarlige kunne gi tilstrekkelige garantier for den registrertes rettigheter. Dette kan blant annet gjøres ved bruk av EUs standardkontrakter eller bindende konsernregler. Også andre typer av garantier kan gi grunnlag for at Datatilsynet godkjenner overføringen etter en skjønnsmessig vurdering.

EUs standardkontrakter

En forholdsvis enkel måte å overføre personopplysninger til andre land på, er å bruke EUs standardkontrakter. Ved signering av en av kontraktene forplikter dataimportøren seg til å behandle opplysningene i samsvar med de krav som gjelder innenfor EU og EØS-området. Under kan man laste ned pdf-versjonen av disse.

Overføring til en annen virksomhet som skal bruke opplysningene til eget formål

For overføring til virksomheter i tredjeland som selv opptrer som behandlingsansvarlig er det utformet to alternative standardkontrakter:

Standardkontrakt I

Standardkontrakt II

Virksomheten kan selv velge hvilken av disse kontraktene som passer best. Det er tillatt å gjøre endringer i standardkontraktene for å tilpasse disse til virksomhetenes behov, men Datatilsynet anbefaler at de benyttes i uendret form. Hvis den behandlingsansvarlige utformer egne vilkår, vil Datatilsynet måtte vurdere disse konkret.

I disse tilfellene må den behandlingsansvarlige søke om Datatilsynets forhåndstillatelse før overføringen kan finne sted, se personopplysningsloven § 30 andre ledd.

Overføring til databehandler

Det er i 2010 utformet nye standardvilkår for overføring av personopplysninger til databehandlere i tredjeland. Disse erstatter de tidligere vilkårene fra 2002.

Datatilsynet anbefaler at det nye settet med vilkår benyttes ved overføring til databehandler. Se kontraktsvilkårene under (side 10 og utover).

Det er i disse tilfellene ikke nødvendig å søke om Datatilsynets tillatelse før overføring. Dette gjelder utelukkende dersom dataimportøren er å regne som den behandlingsansvarliges databehandler, grunnlaget for dataoverføringen er EUs standardkontrakt som nevnt over, og det ikke er gjort endringer i kontraktsklausulene. I disse tilfellene eksisterer det imidlertid en varslingsplikt. Denne plikten oppfylles ved å sende en kopi av utfylt og signert standardkontrakt til Datatilsynet. Overføringen kan finne sted når varselet er sendt.

Dette må følge søknaden

  1. informasjon om hvilken standardkontrakt som er brukt
  2. informasjon om hvorvidt det er gjort endringer i standardklausulene, og i så fall hvilke (uthev endringene i avtaleutkastet)
  3. dataeksportøren(e)s navn og organisasjonsnummer
  4. dataimportøren(e)s navn, fullstendige virksomhetsadresse og rolle (databehandler eller behandlingsansvarlig)
  5. informasjon om det er aktuelt å overføre sensitive personopplysninger, og i så fall hvilke kategorier.
  6. den øvrige informasjonen som skal oppgis i anneksene til standardkontraktene (fylles inn i selve avtaleutkastet)

Bindende konsernregler for overføring

Bindende konsernregler for overføring av opplysninger (Binding Corporate Rules) er ikke nevnt spesifikt verken i personverndirektivet eller i personopplysningsloven. I praksis har imidlertid slike regler blitt godtatt som grunnlag for overføring når de gir tilstrekkelige garantier for den registrertes personvern. Slike regler vil særlig være praktisk der konsernet opererer i flere EU-/EØS-land, og ønsker å overføre personopplysninger fra ett eller flere av disse til filialer eller datterselskap i ett eller flere tredjeland. Når de bindende reglene er godkjent, vil de utgjøre et gyldig grunnlag for overføringer fra samtlige EU-/EØS-land og til samtlige deler av konsernet som omfattes av reglene.

Dokumentene tar blant annet stilling til hvilket land søknad om godkjenning av reglene skal sendes til og hvilke opplysninger søknaden skal inneholde.

Det må påregnes en del tid før en kan få godkjenning av bindende konsernregler. Skal man overføre til mange forskjellige land på jevnlig basis, vil det likevel være den mest praktiske løsningen, sammenlignet med for eksempel standardkontrakter.

Skjønnsmessig vurdering

Datatilsynet kan også tillate overføringen på grunnlag av en ren skjønnsmessig vurdering. Personvernulempene blir da vurdert opp mot nivået på personvernbeskyttelsen i mottakerlandet. Dersom nivået er tilfredsstillende, kan opplysningene overføres. Dette er en relativt byrdefull løsning, både for den virksomheten som ønsker overføring og for Datatilsynet. Årsaken til dette er at hver overføring må vurderes separat. I vurderingen av om opplysningene skal overføres, legger Datatilsynet blant annet vekt på:

Opplysningens art: Jo mer sensitiv karakter opplysningene har, jo høyere krav stilles til reguleringen i mottakerlandet.

Behandlingens formål: Enkelte behandlingsformål kan være mer belastende for personvernet enn andre.

Tidsperspektiv: Behandlingens varighet vil kunne vektlegges. Dersom behandlingen skal pågå over lengre tid, vil det stilles strengere krav.

Rettslige forhold i mottakerlandet: Hvis mottakerlandet for eksempel har gjennomført Europarådets personvernkonvensjon eller det finnes bransjenormer, sikkerhetstiltak og lignende som kan ivareta personvernet, vil dette tas med i betraktningen.

Datatilsynet kan i tillatelsen eventuelt stille vilkår for overføringen. Datatilsynets vurdering vil kunne ta noe tid, og det må derfor søkes om tillatelse i god tid før den faktiske overføringen planlegges gjennomført.