Spesielt om overføring av opplysninger til utlandet

Virksomheter som vil overføre personopplysninger til utlandet, må forholde seg til personvernregelveket.

EUs personvernforordning gjelder for EØS-området. Det inkluderer alle EU-land, Island, Liechtenstein og Norge. Når personopplysninger overføres til et land som er etablert utenfor EØS-området, og som ikke er underlagt personvernforordnings regler, gjelder spesielle krav for overføringen slik at beskyttelsesnivået som gjelder i EØS-området ikke undergraves. Personopplysningene må behandles på en forsvarlig måte, selv om de er utenfor forordningens virkeområde.

Det er ikke lenger slik at kun den behandlingsansvarlige har plikter ved overføring til utlandet; databehandlere har et selvstendig ansvar til å overføre personopplysninger i tråd med regelverket. Tidligere var det nødvendig med forhåndsgodkjenning og/eller varsling før overføring kunne finne sted. Personvernforordningen forenkler eksisterende overføringsmekanismer og introduserer nye ordninger.

Reglene om overføring til tredjestater kommer i tillegg til alle andre forpliktelser etter forordningen.
Les om alle pliktene en virksomhet som behandler personopplysninger har

Merk blant annet at virksomheter må føre protokoll over om og til hvem personopplysninger overføres

I denne artikkelen vil vi se nærmere på:

 

Oversikt over overføringsmekanismer

Virksomheter som overfører personopplysninger til utlandet må passe på at beskyttelsesnivået i personopplysningsloven ikke undergraves ved overføringen. Alle landene innenfor EU/EØS-området har gjennomført personvernforordningen og sikret at personopplysninger behandles forsvarlig. Derfor kan man fritt overføre personopplysninger til disse statene forutsatt at personopplysningslovens øvrige vilkår er oppfylt.

Når man overfører personopplysninger til stater utenfor EU/EØS området – såkalte "tredjeland" må man bruke et av overføringsgrunnlagene i kapittel V i forordningen. Her forklarer vi kort hvilke overføringsmekanismer som finnes. I de neste kapitlene vil vi gå nærmere inn på de ulike mekanismene.

Virksomhetene er selv ansvarlige for å finne ut hvilken mekanisme som er mest egnet for deres virksomhet:

  • Europakommisjonen har anerkjent at noen tredjeland har et tilstrekkelig nivå for vern av personopplysninger. Overføringer til et land som er anerkjent som tilstrekkelig er sammenlignbart med overføringer til land innenfor EU/EØS. Overføringer til disse landene trenger ikke godkjenning eller varsling til Datatilsynet. Det er per i dag 12 land som har en beslutning om tilstrekkelig beskyttelsesnivå.
  • Når det ikke foreligger en beslutning om tilstrekkelig beskyttelsesnivå, kan en overføring skje dersom den behandlingsansvarlig eller databehandler har gitt "nødvendige garantier", og under forutsetning av at den registrerte har håndhevbare rettigheter og effektive rettsmidler (jf. personvernforordningen art. 46 nr.2.) Dette kan sikres ved for eksempel:
    • Standard personvernbestemmelser vedtatt av Europakommisjon (Standard Contractual Clauses)
    • Bindende virksomhetsregler for et konsern eller gruppe av foretak
    • Godkjente atferdsnormer eller sertifiseringsmekanismer
  • Dersom de standardiserte personvernbestemmelsene vedtatt av Europakommisjon ikke skulle passe i deres tilfelle, er det også mulig å inngå avtalevilkår som virksomheten utformer selv. I dette tilfellet må kontrakten godkjennes av Datatilsynet, og Personvernrådet må gi sin tilslutning.
  • For offentlige myndigheter som overfører personopplysninger til sin gjenpart i en internasjonal kontekst, er det mulig å ta inn personvernbestemmelser i administrative ordninger, som for eksempel i en "Memorandum of Understanding" eller lignende. Disse bestemmelsene må gi den registrerte håndhevbare rettigheter og effektive rettsmidler. Ordningen må godkjennes av Datatilsynet.
  • Dersom ingen av overføringsmekanismene nevnt over skulle passe, er det i noen få tilfeller likevel tillat å overføre personopplysninger til tredjeland. Dette er kun i særlige situasjoner og reglene gjelder unntaksvis. Avhengig av hvilken unntaksgrunn brukes, må man varsle Datatilsynet på forhånd. Les mer om unntakene i kapittelet "Unntak for særlige situasjoner".

Som "Best Practice" anbefaler Personvernrådet en prioritert rekkefølge av vurderinger av overføringsgrunnlag.

Eksempel

En norsk virksomhet har datterselskaper i Israel, Thailand og Brasil. Det første virksomheten bør sjekke, er om noen av landene har fått en beslutning om tilstrekkelig vernenivå. Israel er anerkjent som tilstrekkelig. Virksomheten kan overføre personopplysninger til Israel uten å gi ytterligere nødvendige garantier.

For overføringen til Thailand og Brasil trenger man "nødvendige garantier", for eksempel ved å inngå en kontrakt med standardpersonvernbestemmelser vedtatt av Europakommisjon. Overføringer basert på en beslutning om tilstrekkelig beskyttelsesnivå og standardpersonvernbestemmelser vedtatt av Europakommisjon kan skje uten å søke eller varsle Datatilsynet.

Dersom mottakeren i Brasil ikke er villig til å signere standardkontrakten, kan den norske virksomhet i samarbeid med den brasilianske motpart utforme en egen kontrakt. Kontrakten må inneholde håndhevbare rettigheter for den registrerte. Siden kontrakten ikke er standard, må den godkjennes av Datatilsynet og Personvernrådet.

Husk at det skal føres protokoll over om og til hvem personopplysninger overføres. Datatilsynet anbefaler på det sterkeste at man også dokumenterer hvilket overføringsgrunnlag som er brukt og, dersom relevant, hvilke vurderinger som ligger til grunn.

Beslutning om tilstrekkelig beskyttelsesnivå

Europakommisjonen har mandat til å ta en beslutning om at en tredjestat eller internasjonal organisasjon har et tilstrekkelig vernenivå (jf. personvernforordningen artikkel 45). Det vil si at staten har regler som ivaretar den registrertes rettigheter på en tilsvarende måte som land i EØS-området.

Per i dag har 12 land fått en beslutning om tilstrekkelig vernenivå. Disse er Sveits, Andorra, Færøyene, Guernsey, Jersey, Isle of Man, Argentina, Canada, Israel, New Zealand og Uruguay.

Overføringer til disse landene er sammenlignbare med overføringer til land innenfor EU/EØS. Personopplysninger kan overføres til disse landene uten at det er nødvendig å innhente ytterlige godkjenning fra Datatilsynet.

USA - Privacy Shield

For overføring til USA gjelder kommisjonsbeslutningen om Privacy Shield. Denne beslutning omfatter selskaper etablert i USA som har sertifisert seg etter Privacy Shield avtalen. 
Sjekk hvilke selskaper som har sertifisert seg 

Dersom dere skal benytte Privacy Shield, må dere:

  1. Kontrollere at mottaker står oppført på listen over Privacy Shield-sertifiserte virksomheter. Listen oppdateres årlig, og dere må derfor kontrollere dette hvert år.
  2. Vurdere om overføringen er i samsvar med grunnkravene i personvernforordningens artikkel 5
  3. Inngå en databehandleravtale dersom opplysningene skal overføres til en databehandler eller vurdere om dere har behandlingsgrunnlag for overføringen dersom opplysningene overføres til en behandlingsansvarlig.
  4. Gjennomføre en risikovurdering, i samsvar med kravene i personvernforordningen artikkel 32. I den forbindelse kan det ha avgjørende betydning om personopplysningene som planlegges overført er sensitive eller ikke.

Personvernrådet har utarbeidet en veileder om hvilke momenter EU-kommisjonen må legge til grunn i sin vurdering av tilstrekkeligheten av en stat (engelsk)

Standard personvernbestemmelser vedtatt av EU-kommisjonen

En forholdsvis enkel måte å sikre de nødvendige garantiene når du overfører personopplysninger til tredjestater, er å bruke EUs standardpersonvernbestemmelser (Standard Contractual Clauses).

Ved signering av en av kontraktene forplikter dataimportøren seg til å behandle opplysningene i samsvar med de kravene som gjelder innenfor EU og EØS-området. Kontraktene som er inngått før det nye regelverket har trådt i kraft vil fortsatt være gyldige. Under kan man laste ned pdf-versjonen av disse. Dersom man bruker kontraktene uendret, trenger man hverken søke om forhåndsgodkjenning eller varsle Datatilsynet. Det er lov å inkorporere klausulene av kontrakten i en større kontrakt eller tilføye klausuler, så lenge disse ikke motsier, direkte eller indirekte, de standardpersonvernbestemmelsene som er vedtatt av Europakommisjonen.

Overføring til en annen virksomhet som skal bruke opplysningene til eget formål

For overføring fra en behandlingsansvarlig etablert i EEA til en virksomhet i en tredjestat som selv opptrer som behandlingsansvarlig (og er ikke underlagt personvernforordningen for denne behandlingen i henhold til personvernforordning art. 3), er det utformet to alternative standardkontrakter.

Standardkontrakt I (Decision 2001/497/EC):

Standardkontrakt II (Decision 2004/915/EC):

 

Overføring til databehandler

For overføring av personopplysninger til databehandlere i tredjeland er det utformet en standardkontrakt av EU-kommisjonen (Decision 2010/87/EU):

 Husk at man i tillegg må inngå en databehandleravtale.

Bindende virksomhetsregler for et konsern eller gruppe av foretak

Bindende virksomhetsregler (Binding Corporate Rules, BCR) er interne regler for dataoverføringer i multinasjonale selskaper, et konsern eller en gruppe av foretak som utøver en felles økonomisk virksomhet. Slike regler tillater multinasjonale selskaper å overføre personopplysninger internasjonalt innenfor samme konserngruppe til land som ikke gir et tilstrekkelig beskyttelsesnivå. For at reglene kan godkjennes, må de inneholde:

  1. personvernprinsipper, for eksempel åpenhet, datakvalitet, sikkerhet
  2. verktøy for effektivitet (som revisjon, trening eller klagehåndteringssystemer)
  3. et element som viser at reglene er bindende for alle i konsernet/gruppen.

Bindende virksomhetsregler er ment for å sikre at alle dataoverføringer innenfor en bedriftsgruppe er trygge. Andre fordeler ved bruk av bindende virksomhetsreglene er at:

  • Det er lettere å demonstrere etterlevelse av personvernforordningen og forpliktelsene i kapittel V.
  • Det fører til mindre papirarbeid; det er ikke nødvendig ved nye (standard)kontrakter for hver overføring.
  • BCR fungerer som interne guidelines  alle i virksomheten forholder seg til samme regler. BCR vil gi klare, og ikke minst, bindende instrukser.
  • Det kan være et konkurransefortrinn  BCR offentliggjøres og viser omverden at virksomheten tar personvern på alvor.

Dersom dere vurdere om å ta i bruk bindende virksomhetsregler, må dere regne med en del tid før man faktisk kan sette i gang overføring av personopplysninger. Å få bindende virksomhetsregler godkjent kan ta lang tid. I tillegg er ikke alle selskapsformer like egnet for dette. Det anbefales å ta kontakt med Datatilsynet for å avklare om bindende virksomhetsregler passer for dere.

Godkjenningsprosess

Her følger en kort oversikt over saksbehandlingsprosessen (beskrevet i "Working Document on the approval procedure of the Binding Corporate Rules for controllers and processors", WP263rev.01).

  1. Selskapet utpeker den ledende tilsynsmyndigheten. Dersom dere har hovedkvarter i Norge er det sannsynlig at Datatilsynet i Norge er "Lead BCR". Den ledende tilsynsmyndighet er den som håndterer EUs samarbeidsprosedyre med de andre europeiske datatilsynsmyndighetene. For å starte søknadsprosedyre, bruk WP264 del 1 dersom man er behandlingsansvarlig, eller WP265 del 1 dersom man er databehandler. I tillegg må dere sende en oversikt over alt som vil bli bundet av BCRen. Dersom virksomheten har enheter i Tyskland, må man spesifisere i hvilke delstat hovedvirksomhet er lokalisert.
  2. Selskapet utarbeider bindende virksomhetsreglene. Det anbefales på det sterkeste å utarbeide dokumentene på engelsk. BCR må oppfylle kravene fastsatt i arbeidsdokumentene fra Personvernrådet. Den fullstendige søknaden må inneholde:
    • Utkast til selve BCR-tekst, med eventuelle annekser
    • Utfylt søknadskjema WP264 eller WP265 del 1 og 2
    • BCR-kriterier i WP 256 (for behandlingsansvarlige) eller WP257 (for databehandler). Vi anbefale å fylle inn tabellen med henvisninger til både BCR-teksten og søknadskjema.
    • Liste med dem som vil bli bundet at BCR og deres lokasjoner (List of entities bound)
    • Bevis på at reglene er bindende for alle selskapene i konsernet.

      Videre kan det være aktuelt å sende ved dokumentasjon som viser hvordan forpliktelsene i BCR vil bli etterlevd i praksis. For eksempel:
    • Personvern policys
    • Instrukser for hvordan ansatte må håndtere personopplysninger
    • Rutiner for internkontroll
    • Opplæringsplan og materiell
    • Beskrivelse av klageprosedyren
    • Sikkerhetsrutiner
    • Beskrivelse av personvernombuds oppgaver og støtte.

      Disse dokumentene sendes til Datatilsynet for vurdering. Datatilsynet vil gi tilbakemelding om det er nødvendig med eventuelle endringer.

  3. Etter at Datatilsynet har vurdert søknaden og funne at dokumentene oppfyller kravene i personvernforordningen artikkel 47, sendes søknad til en berørt tilsynsmyndighet (co-reviewer) som foretar en sjekk for å sikre kvaliteten til BCR. Dersom det er flere enn 12 berørte tilsynsmyndigheter (det vil si at konsernet eller gruppen har etablering i flere enn 12 EØS-land), vil to tilsynsmyndigheter foreta en såkalt co-review.
  4. Når tilsynsmyndighetene har blitt enige om at BCR oppfyller kravene, sender Datatilsynet BCR-søknaden og et utkast til godkjenningsvedtak til Personvernrådet som skal gi en uttalelse innen åtte uker (med mulig forlengelse til 6 uker).
  5. Når Personvernrådet har gitt en positiv uttalelse, skal Datatilsynet gi den endelige godkjenningen. Godkjenningen gjelder for alle EØS-land. Virksomheten trenger da altså ikke å søke om tillatelse hos tilsynsmyndigheter i andre land.
  6. Virksomheten må oversette BCR-dokumentene til alle relevante språk, og gjøre de bindende virksomhetsreglene kjent for de det gjelder (ansatte, kunder, forretningsrelasjoner og så videre).
  7. Virksomheten er forpliktet til å underrette Datatilsynet om eventuelle endringer en gang i året. Større materielle endringer må meldes umiddelbart.

Bindende virksomhetsregler (BCR) godkjent tidligere

Godkjenninger gitt på grunnlag av artikkel 26 nr. 2 i direktiv 95/46/EF skal fortsette å gjelde fram til de ved behov, endres, erstattes eller oppheves (jf. personvernforordningen artikkel 46 nr 5). For at virksomheter som har en godkjent BCR skal kunne fortsette å bruke den som overføringsgrunnlag, må de:

  • Oppdatere BCR dokumentene i henhold til personvernforordningen. Bruk WP256 for å demonstrere at alle kravene er oppfylt.
  • Varsle Datatilsynet om endringene som er gjort. Dette kan gjøres i forbindelse med den årlige rapporteringsplikten (jf. personvernforordningen artikkel 47 nr. 2 bokstav k).

Her er oversikten med virksomheter som har en godkjent BCR

BCR-søknader som ikke ble ferdigbehandlet før 25. mai 2018

Når det gjelder BCR-søknader som ble sendt inn før 25. mai 2018, men som ikke ble ferdigbehandlet, vil søknaden bli behandlet etter personvernforordningens regler. Det betyr at virksomheten må sjekke at søknaden er i henhold til de nye kravene i WP264 og WP256 (for behandlingsansvarlige) og WP 265 og WP257 (for databehandler). Se lenkene over. Virksomheten trenger ikke å trekke tilbake tidligere søknad, men det anmodes om å sende en oppdatert søknad snarest. Tar kontakt med Datatilsynet på dersom noe er uklart.

Godkjente atferdsnormer eller sertifiseringsmekanismer

Per i dag finnes det ingen godkjente atferdsnormer eller sertifiseringsmekanismer som kan brukes for overføring av personopplysning til tredjeland.

19