Utfyllende veiledning om Schrems II

Det europeiske personvernrådet (EDPB) har vedtatt mer utfyllende veiledning om Schrems II-dommen. Alle som overfører eller planlegger å overføre personopplysninger til land utenfor EØS, bør lese veiledningen.

Den såkalte Schrems II-dommen fra EU-domstolen har store konsekvenser for alle som overfører personopplysninger til land utenfor EØS. EU-domstolen oppstiller nemlig en rekke vilkår som må være oppfylt for at slik overføring skal være lov.

Les mer om overføring til land utenfor EØS

To veiledningsdokumenter

Nå har Personvernrådet vedtatt to dokumenter som skal hjelpe virksomheter med å etterleve reglene:

  1. Dokumentet «Recommendations on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data» handler om hvilke vurderinger man må foreta før man kan overføre personopplysninger til land utenfor EØS. Det er verdt å merke seg at vurderingene er objektive. Man kan for eksempel ikke legge vekt på sannsynligheten for at myndighetene i tredjeland vil skaffe seg tilgang til dataene, og alle typer personopplysninger skal beskyttes.

    Dette dokumentet har et vedlegg med eksempler på «ytterligere tiltak» som man kan iverksette for å sikre at personopplysningene er godt nok beskyttet utenfor EØS. Vedlegget understreker at hva som er tilstrekkelig, må vurderes i hvert enkelt tilfelle, og som regel må flere, ulike typer tiltak kombineres. Vedlegget kommer også med et par eksempler på tilfeller der det ikke er mulig å iverksette tiltak som i tilstrekkelig grad sikrer personopplysningene. I slike tilfeller er det i praksis ulovlig å overføre personopplysninger ut av EØS.
    Les mer og last ned dokumentet Recommendations on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data (edpb.europa.eu).
  2. Før man overfører personopplysninger til land utenfor EØS, må man blant annet vurdere beskyttelsesnivået i landet eller landene man skal overføre personopplysninger til. Da må man også vurdere om det finnes overvåkingslover som gir et dårligere vern av personopplysninger enn det man har i EØS. Dokumentet «Recommendations on the European Essential Guarantees for surveillance measures» handler nettopp om hvordan man skal vurdere overvåkingslover og hva man skal se etter.
    Les mer og last ned dokumentet Recommendations on the European Essential Guarantees for surveillance measures (edpb.europa.eu).