Spesielt om overføring av opplysninger til utlandet

Virksomheter som vil overføre personopplysninger til utlandet, må forholde seg til personvernregelverket.

EUs personvernforordning gjelder for EØS-området. Det inkluderer alle EU-land, Island, Liechtenstein og Norge. Når personopplysninger overføres til et land som er etablert utenfor EØS-området, og som ikke er underlagt personvernforordningsregler, gjelder spesielle krav for overføringen slik at beskyttelsesnivået som gjelder i EØS-området ikke undergraves. Personopplysningene må behandles på en forsvarlig måte, selv om de er utenfor forordningens virkeområde.

Det er ikke lenger slik at kun den behandlingsansvarlige har plikter ved overføring til utlandet; databehandlere har et selvstendig ansvar til å overføre personopplysninger i tråd med regelverket. Tidligere var det nødvendig med forhåndsgodkjenning og/eller varsling før overføring kunne finne sted. Personvernforordningen forenkler eksisterende overføringsmekanismer og introduserer nye ordninger.

Reglene om overføring til tredjestater kommer i tillegg til alle de andre forpliktelsene etter forordningen. Merk blant annet at virksomheten må føre protokoll over om og til hvem personopplysninger overføres

I denne artikkelen vil vi se nærmere på:

Oversikt over overføringsmekanismer

Virksomheter som overfører personopplysninger til utlandet må passe på at beskyttelsesnivået i personopplysningsloven ikke undergraves ved overføringen. Alle landene innenfor EU/EØS-området har gjennomført personvernforordningen og slik sikret at personopplysninger behandles forsvarlig. Derfor kan man fritt overføre personopplysninger til disse statene forutsatt at personopplysningslovens øvrige vilkår er oppfylt.

Når man overfører personopplysninger til stater utenfor EU/EØS området såkalte "tredjeland" må man bruke et av overføringsgrunnlagene i kapittel V i forordningen. Egne ansattes fjernaksess til virksomheter som holder til i EU/EØS regnes ikke som overføring til tredjeland, men må være i overenstemmelse med de generelle kravene i personvernforordningen. 

Her forklarer vi kort hvilke overføringsmekanismer som finnes. I de neste kapitlene vil vi gå nærmere inn på de ulike mekanismene.

Virksomhetene er selv ansvarlige for å finne ut hvilken mekanisme som er mest egnet for deres virksomhet:

  • Europakommisjonen har anerkjent at noen tredjeland har et tilstrekkelig nivå for vern av personopplysninger. Overføringer til et land som er anerkjent som tilstrekkelig er sammenlignbart med overføringer til land innenfor EU/EØS. Overføringer til disse landene trenger ikke godkjenning eller varsling til Datatilsynet. Per i dag (20. juli 2020) har 12 land fått en beslutning om tilstrekkelig vernenivå.
  • Når det ikke foreligger en beslutning om tilstrekkelig beskyttelsesnivå, kan en overføring skje dersom den behandlingsansvarlig eller databehandler har gitt "nødvendige garantier", og under forutsetning av at den registrerte har håndhevbare rettigheter og effektive rettsmidler (jf. personvernforordningen art. 46 nr.2.) Dette kan sikres ved for eksempel:
    • Standard personvernbestemmelser vedtatt av Europakommisjon (Standard Contractual Clauses)
    • Bindende virksomhetsregler (Binding Corporate Rules, BCR) for et konsern eller gruppe av foretak
    • Godkjente atferdsnormer eller sertifiseringsmekanismer
  • Dersom de standardiserte personvernbestemmelsene vedtatt av Europakommisjon ikke skulle passe i deres tilfelle, er det også mulig å inngå avtalevilkår som virksomheten utformer selv. I dette tilfellet må kontrakten godkjennes av Datatilsynet, og Personvernrådet må gi sin tilslutning.
  • For offentlige myndigheter som overfører personopplysninger til sin gjenpart i en internasjonal kontekst, er det mulig å ta inn personvernbestemmelser i administrative ordninger, som for eksempel i en "Memorandum of Understanding" eller lignende. Disse bestemmelsene må gi den registrerte håndhevbare rettigheter og effektive rettsmidler. Ordningen må godkjennes av Datatilsynet.
  • Dersom ingen av overføringsmekanismene nevnt over skulle passe, er det i noen få tilfeller likevel tillatt å overføre personopplysninger til tredjeland. Dette er kun i særlige situasjoner og reglene gjelder unntaksvis. Avhengig av hvilken unntaksgrunn brukes, må man varsle Datatilsynet på forhånd. 
  • Meningen med overføringsmekanismene ovenfor er å pålegge dataimportøren en rekke plikter for å sikre at europeeres personopplysninger blir like godt beskyttet etter overførselen til tredjeland som de blir i EØS. Den som mottar opplysningene kan imidlertid være underlagt lokale lover som er i strid med og går foran forpliktelsene etter overføringsgrunnlaget, eller det kan finnes andre omstendigheter som senker beskyttelsesnivået. Derfor må dataeksportøren i tillegg undersøke om beskyttelsesnivået som vil oppnås i praksis, faktisk er tilsvarende som i EØS. Med andre ord, når det er snakk om å overføre personopplysninger til et tredjeland som ikke er godkjent av Europakommisjonen, er en overføringsmekanisme nødvendig, men ikke tilstrekkelig.

Som "Best Practice" anbefaler Personvernrådet en prioritert rekkefølge av vurderinger av overføringsgrunnlag.

Eksempel

En norsk virksomhet har datterselskaper i Israel, Thailand og Brasil. Det første virksomheten bør sjekke, er om noen av landene har fått en beslutning om tilstrekkelig vernenivå. Israel er anerkjent som tilstrekkelig. Virksomheten kan overføre personopplysninger til Israel uten å gi ytterligere nødvendige garantier.

For overføringen til Thailand og Brasil trenger man "nødvendige garantier", for eksempel ved å inngå en kontrakt med standardpersonvernbestemmelser vedtatt av Europakommisjonen. Overføringer basert på en beslutning om tilstrekkelig beskyttelsesnivå og standardpersonvernbestemmelser vedtatt av Europakommisjon kan skje uten å søke eller varsle Datatilsynet.

Dersom mottakeren i Brasil ikke er villig til å signere standardkontrakten, kan den norske virksomheten i samarbeid med den brasilianske motparten utforme en egen kontrakt. Kontrakten må inneholde håndhevbare rettigheter for den registrerte. Siden kontrakten ikke er standard, må den godkjennes av Datatilsynet og Det europeiske personvernrådet.

Det skal føres protokoll over om og til hvem personopplysninger overføres. Datatilsynet anbefaler på det sterkeste at man også dokumenterer hvilket overføringsgrunnlag som er brukt og, dersom relevant, hvilke vurderinger som ligger til grunn.

Beslutning om tilstrekkelig beskyttelsesnivå

Europakommisjonen har mandat til å ta en beslutning om at en tredjestat eller internasjonal organisasjon har et tilstrekkelig vernenivå (jf. personvernforordningen artikkel 45). Det vil si at staten har regler som ivaretar den registrertes rettigheter på en tilsvarende måte som land i EØS-området.

Statene og områdene som per nå har fått en beslutning om tilstrekkelig vernenivå er Sveits, Andorra, Færøyene, Guernsey, Jersey, Isle of Man, Argentina, Canada, Israel, New Zealand, Japan og Uruguay. 
Se også beslutningene fra Europakommisjonen (ec.europa.eu)

Overføringer til disse landene er sammenlignbare med overføringer til land innenfor EU/EØS. Personopplysninger kan overføres til disse landene uten at det er nødvendig å innhente ytterlige godkjenning fra Datatilsynet.

Personvernrådet har utarbeidet en veileder om hvilke momenter EU-kommisjonen må legge til grunn i sin vurdering av tilstrekkeligheten av en stat (ec.europa.eu)

USA - Privacy Shield er opphevet

Fra 1. juli 2016 har kommisjonsbeslutningen om Privacy Shield vært gjeldende for overføring til USA. Denne beslutning omfattet selskaper etablert i USA som hadde sertifisert seg etter Privacy Shield-avtalen. Den 16. juli 2020 besluttet imidlertid Europadomstolen (The Court of Justice of the European Union CJEU) i avgjørelse C-311/18 (Schrems II) at Privacy Shield er ugyldig som overføringsgrunnlag, siden avtalen ikke gir tilstrekkelig beskyttelsesnivå. Domstolen har opphevet kommisjonsbeslutningen om Privacy Shield.

Dette innebærer at overføring av personopplysninger til USA fra 16. juli 2020 må baseres på andre overføringsgrunnlag jf. personvernforordningen kapitel V.

Last ned

Overføring av personopplysninger til stater utenfor EØS som ikke har mottatt beslutning om tilstrekkelig beskyttelsesnivå

  1. Finn et passende overføringsgrunnlag i personvernforordningen artikkel 46. Du kan lese mer om de mest brukte overføringsgrunnlagene, EU-kommisjonens standardbestemmelser og bindende konsernregler (BCR), nedenfor.
  2. Du må sørge for at beskyttelsesnivået som vil oppnås i praksis, faktisk er tilsvarende som i EØS, alle forhold tatt i betraktning. Undersøk derfor nøye om det finnes omstendigheter som gjør at beskyttelsesnivået som overføringsgrunnlaget er ment å sikre, ikke vil realiseres i praksis. Her er det viktig å undersøke om dataimportøren, dataimportørens infrastruktur eller eventuelle underleverandører er underlagt lover, regler eller systemer som er i strid med importørens forpliktelser etter overføringsgrunnlaget eller som på annet vis senker beskyttelsesnivået. Vær obs på at det kan finnes overvåkingslover eller lover som gir myndighetene i tredjelandet uforholdsmessig stor adgang til personopplysninger.
  3. Dersom du kommer frem til at det foreligger forhold som gjør at beskyttelsesnivået ikke vil være tilsvarende som i EØS, må du iverksette ytterligere tiltak som veier opp for dette og som sikrer et tilsvarende beskyttelsesnivå i praksis. Dersom det ikke finnes slike ytterligere tiltak eller du ikke er i stand til å iverksette slik tiltak, kan du ikke overføre personopplysningene.
  4. Dersom du er sikker på at beskyttelsesnivået som vil oppnås i praksis, faktisk er tilsvarende som i EØS, kan du begynne å overføre personopplysningene.

Se også vår samleartikkel med spørsmål og svar om nye regler for overføring av personopplysninger til land utenfor EØS

Standard personvernbestemmelser vedtatt av EU-kommisjonen

Den vanligste måten å sikre de nødvendige garantiene når du overfører personopplysninger til tredjestater, er å bruke EUs standardpersonvernbestemmelser (Standard Contractual Clauses).

Ved signering av en av kontraktene forplikter dataimportøren seg til å behandle opplysningene i samsvar med de kravene som gjelder innenfor EU og EØS-området. Samtidig må dataeksportøren etablert i EU/EØS sjekke at personopplysningene som blir overført, faktisk får tilstrekkelig beskyttelsesnivå på lik linje som i EU/EØS før overføringen og at rettssystemet i mottakerlandet gjør det mulig å følge de standard personvernbestemmelsene i praksis.

Videre skal dataimportør opplyse eksportøren så fort som mulig om eventuelle hindringer for å oppfylle kravene. Et eksempel på en slik hindring er nasjonal lovgivning i tredjeland som kan gi offentlige myndigheter i tredjeland tilgang til personopplysninger utover det som anses nødvendig i et demokratisk samfunn (jf. fotnoten til artikkel 5 i de standard personvernbestemmelsene (2010/87/EU)). I så fall skal dataeksportøren ikke overføre personopplysningene i henhold til avtalen. Datatilsynet har rett og kan ha plikt til å utsette eller forby overføring (jf. personvernforordningen art. 58 nr. 2 bokstav j og CJEU-311/18).

Kontraktene som er inngått før personvernforordningen trådte i kraft vil fortsatt være gyldige. Under kan man laste ned pdf-versjonen av disse.
Dersom man bruker kontraktene uendret, trenger man hverken søke om forhåndsgodkjenning eller varsle Datatilsynet.

Det er lov å inkorporere klausulene av kontrakten i en større kontrakt eller tilføye klausuler, så lenge disse ikke motsier, direkte eller indirekte, de standardpersonvernbestemmelsene som er vedtatt av Europakommisjonen.

Overføring til en annen virksomhet som skal bruke opplysningene til eget formål

For overføring fra en behandlingsansvarlig etablert i EEA til en virksomhet i en tredjestat som selv opptrer som behandlingsansvarlig, er det utformet to alternative standardkontrakter.

Last ned standardkontrakt I (Decision 2001/497/EC):

Last ned standardkontrakt II (Decision 2004/915/EC):

Overføring til databehandler

For overføring av personopplysninger til databehandlere i tredjeland er det utformet en standardkontrakt av EU-kommisjonen (Decision 2010/87/EU)

Last ned

 Husk at man i tillegg må inngå en databehandleravtale.

Bindende virksomhetsregler (BCR) for et konsern eller gruppe av foretak

Bindende virksomhetsregler (Binding Corporate Rules, BCR) er interne regler for dataoverføringer i multinasjonale selskaper, et konsern eller en gruppe av foretak som utøver en felles økonomisk virksomhet. Slike regler tillater multinasjonale selskaper å overføre personopplysninger internasjonalt innenfor samme konserngruppe til land som ikke gir et tilstrekkelig beskyttelsesnivå.

Husk imidlertid at dataeksportøren som er etablert i EU/EØS må sjekke at personopplysningene som blir overført, faktisk får tilstrekkelig beskyttelsesnivå på lik linje som i EU/EØS før overføringen og at rettssystemet i mottakerlandet gjør det mulig å følge virksomhetsreglene i praksis.

For at reglene kan godkjennes, må de inneholde:

  1. personvernprinsipper, for eksempel åpenhet, datakvalitet, sikkerhet
  2. verktøy for effektivitet (som revisjon, trening eller klagehåndteringssystemer)
  3. et element som viser at reglene er bindende for alle i konsernet/gruppen.

Bindende virksomhetsregler er ment for å sikre at alle dataoverføringer innenfor en bedriftsgruppe er trygge. Andre fordeler ved bruk av bindende virksomhetsreglene er at:

  • Det er lettere å demonstrere etterlevelse av personvernforordningen og forpliktelsene i kapittel V.
  • Det fører til mindre papirarbeid; det er ikke nødvendig ved nye (standard)kontrakter for hver overføring.
  • BCR fungerer som interne guidelines  alle i virksomheten forholder seg til samme regler. BCR vil gi klare, og ikke minst, bindende instrukser.
  • Det kan være et konkurransefortrinn  BCR offentliggjøres og viser omverden at virksomheten tar personvern på alvor.

Dersom dere vurdere om å ta i bruk bindende virksomhetsregler, må dere regne med en del tid før man faktisk kan sette i gang overføring av personopplysninger. Å få bindende virksomhetsregler godkjent kan ta lang tid. I tillegg er ikke alle selskapsformer like egnet for dette. Det anbefales å ta kontakt med Datatilsynet for å avklare om bindende virksomhetsregler passer for dere.

Godkjenningsprosess

Her følger en kort oversikt over saksbehandlingsprosessen (beskrevet i "Working Document on the approval procedure of the Binding Corporate Rules for controllers and processors", WP263rev.01):

  • Selskapet utpeker den ledende tilsynsmyndigheten. Dersom dere har hovedkvarter i Norge er det sannsynlig at Datatilsynet i Norge er "Lead BCR". Den ledende tilsynsmyndighet er den som håndterer EUs samarbeidsprosedyre med de andre europeiske datatilsynsmyndighetene. For å starte søknadsprosedyre, bruk WP264 del 1 dersom man er behandlingsansvarlig, eller WP265 del 1 dersom man er databehandler. I tillegg må dere sende en oversikt over alt som vil bli bundet av BCRen. Dersom virksomheten har enheter i Tyskland, må man spesifisere i hvilke delstat hovedvirksomhet er lokalisert.
  • Selskapet utarbeider bindende virksomhetsreglene. Det anbefales på det sterkeste å utarbeide dokumentene på engelsk. BCR må oppfylle kravene fastsatt i arbeidsdokumentene fra Personvernrådet. Den fullstendige søknaden må inneholde:
    • Utkast til selve BCR-tekst, med eventuelle annekser
    • Utfylt søknadskjema WP264 eller WP265 del 1 og 2
    • BCR-kriterier i WP256 (for behandlingsansvarlige) eller WP257 (for databehandler). Vi anbefaler å fylle inn tabellen med henvisninger til både BCR-teksten og søknadskjema.
    • Liste med dem som vil bli bundet at BCR og deres lokasjoner (List of entities bound)
    • Bevis på at reglene er bindende for alle selskapene i konsernet.

      Videre kan det være aktuelt å sende ved dokumentasjon som viser hvordan forpliktelsene i BCR vil bli etterlevd i praksis. For eksempel:
    • Personvernpolicys
    • Instrukser for hvordan ansatte må håndtere personopplysninger
    • Rutiner for internkontroll
    • Opplæringsplan og materiell
    • Beskrivelse av klageprosedyren
    • Sikkerhetsrutiner
    • Beskrivelse av personvernombudets oppgaver og støtte.

      Disse dokumentene sendes til Datatilsynet for vurdering. Datatilsynet vil gi tilbakemelding dersom det er nødvendig med eventuelle endringer.
  • Etter at Datatilsynet har vurdert søknaden og funnet at dokumentene oppfyller kravene i personvernforordningen artikkel 47, sendes søknaden til en berørt tilsynsmyndighet (co-reviewer) som foretar en sjekk for å sikre kvaliteten til BCR. Dersom det er flere enn 12 berørte tilsynsmyndigheter (det vil si at konsernet eller gruppen har etablering i flere enn 12 EØS-land), vil to tilsynsmyndigheter foreta en såkalt co-review.
  • Når tilsynsmyndighetene har blitt enige om at BCR oppfyller kravene, sender Datatilsynet BCR-søknaden og et utkast til godkjenning til Personvernrådet som skal gi en uttalelse innen åtte uker (med mulig forlengelse til 6 uker).
  • Når Personvernrådet har gitt en positiv uttalelse, skal Datatilsynet gi den endelige godkjenningen. Godkjenningen gjelder for alle EØS-land. Virksomheten trenger da altså ikke å søke om tillatelse hos tilsynsmyndigheter i andre land.
  • Virksomheten må oversette BCR-dokumentene til alle relevante språk, og gjøre de bindende virksomhetsreglene kjent for de det gjelder (ansatte, kunder, forretningsrelasjoner og så videre).
  • Virksomheten har pliktt til å underrette Datatilsynet om eventuelle endringer en gang i året. Større materielle endringer må meldes umiddelbart.

Bindende virksomhetsregler (BCR) godkjent tidligere

Godkjenninger gitt på grunnlag av artikkel 26 nr. 2 i direktiv 95/46/EF skal fortsette å gjelde fram til de ved behov, endres, erstattes eller oppheves (jf. personvernforordningen artikkel 46 nr. 5). For at virksomheter som har en godkjent BCR skal kunne fortsette å bruke den som overføringsgrunnlag, må de:

  • Oppdatere BCR dokumentene i henhold til personvernforordningen. Bruk WP256 for å demonstrere at alle kravene er oppfylt.
  • Varsle Datatilsynet om endringene som er gjort. Dette kan gjøres i forbindelse med den årlige rapporteringsplikten (jf. personvernforordningen artikkel 47 nr. 2 bokstav k).

Her er oversikten over virksomheter som har en godkjent BCR (engelsk, ec.europa.eu)

BCR-søknader som ikke ble ferdigbehandlet før 25. mai 2018

Når det gjelder BCR-søknader som ble sendt inn før 25. mai 2018, men som ikke ble ferdigbehandlet, vil søknaden bli behandlet etter personvernforordningens regler. Det betyr at virksomheten må sjekke at søknaden er i henhold til de nye kravene i WP264 og WP256 (for behandlingsansvarlige) og WP 265 og WP257 (for databehandler). Se lenkene over. Virksomheten trenger ikke å trekke tilbake tidligere søknad, men det anmodes om å sende en oppdatert søknad snarest. Ta kontakt med Datatilsynet på dersom noe er uklart.

Godkjente atferdsnormer eller sertifiseringsmekanismer

Per i dag finnes det ingen godkjente atferdsnormer eller sertifiseringsmekanismer som kan brukes for overføring av personopplysninger til tredjeland.