Nye retningslinjer om overføring av personopplysninger ut av EØS

Personvernrådet har vedtatt to nye retningslinjer. Den første handler om samspillet mellom geografisk virkeområde i artikkel 3 og bestemmelsene om internasjonale overføringer i kapittel V i personvernforordningen. Den andre angår retningslinjer om bruk av sertifisering som grunnlag ved overføring av personopplysninger ut av EØS. 

Retningslinjer om samspill mellom geografisk virkeområde og internasjonale overføringer

Målet med disse retningslinjene er å hjelpe behandlingsansvarlige og databehandlere med å vurdere når en behandling anses som internasjonal overføring. I tillegg klargjør retningslinjene hva som er en internasjonal overføring, ettersom begrepet ikke er definert i personvernforordningen.

Videre inkluderer retningslinjene mange praktiske eksempler. Ifølge retningslinjene må tre vilkår oppfylles for at det skal være snakk om en overføring. Disse er:

1. En behandlingsansvarlig eller databehandler er underlagt personvernforordningen for en bestemt behandling av personopplysninger
2. Den behandlingsansvarlige virksomheten (dataeksportøren) tilgjengeliggjør eller sender de aktuelle personopplysningene til en annen behandlingsansvarlig, felles behandlingsansvarlig eller databehandler (dataimportøren)
3. Dataimportøren er i et land utenfor EØS eller er en internasjonal organisasjon

Vi beskriver disse vilkårene samt mer om overføring nærmere i vår veiledning om overføring av personopplysninger ut av EØS.

Les retningslinjene Guidelines 05/2021 on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR (edpb.europa.eu) i sin helhet på Personvernvårdet sine nettsider. 

Retningslinjer om sertifisering som grunnlag for overføring

Personvernrådet har også vedtatt retningslinjer om bruk av sertifisering som grunnlag ved overføring av personopplysninger ut av EØS i henhold til artikkel 46 andre ledd punkt f) og artikkel 42 i personvernforordningen.

Retningslinjene om bruk av sertifisering som grunnlag ved overføring av personopplysninger ut av EØS er et tillegg og bør leses i tråd med de mer generelle retningslinjene 1/2018 om sertifisering. Dette er i henhold til artikkel 42 og 43 i personvernforordningen.

Målet med disse retningslinjene er å utdype og forklare praktisk bruk av sertifisering som grunnlag ved overføring av personopplysninger ut av EØS. Retningslinjene starter med et kapittel som blant annet forklarer partenes roller og beskriver prosessen for å kunne bruke sertifisering som et overføringsgrunnlag. Kapittel 2 forklarer vilkårene for akkreditering av sertifiseringsorganer. Kapittel 3 gir veiledning om sertifiseringskriterier. Tilslutt beskriver kapittel 4 nødvendige elementer som behandlingsansvarlige og databehandlere som ikke er omfattet av personvernforordningens artikkel 3 skal ta i betraktning ved implementering av bindende forpliktelser.

Les retningslinjene Guidelines 07/2022 on certification as a tool for transfers (edpb.europa.eu) i sin helhet på Personvernrådet sine nettsider.