Overføring av personopplysninger ut av EØS

Overføring av personopplysninger ut av EØS

All overføring av personopplysninger ut av EØS krever et særskilt grunnlag for å være lovlig. Her er en gjennomgang av hva som skal til for at personopplysninger kan overføres til land utenfor EØS.

Innledning

Virksomheten må ha identifisert om det finnes et overføringsgrunnlag før personopplysningene overføres til et tredjeland eller til en internasjonal organisasjon. Hvis det ikke finnes, er overføringen ulovlig. Det gjelder også hvis overføringsgrunnlaget ikke vil fungere i praksis.

Innad i EØS kan personopplysninger brukes, sendes og deles på tvers av landegrensene hvis man har et behandlingsgrunnlag. Det er fordi disse landene har de samme reglene for behandling av personopplysninger, nemlig personvernforordningen, også kjent som GDPR. Man kan derfor anta at personopplysningene vil være like godt beskyttet i alle land i EØS.

Merk!

Hvis du som privatperson skal sende dine egne personopplysninger ut av EØS, gjelder ikke disse reglene for deg.

Andre land kan ha andre regler

Land utenfor EØS kan ha andre regler om hvordan personopplysninger skal behandles. Det samme gjelder internasjonale organisasjoner (for eksempel FN, OECD, eller WTO). Derfor må virksomheter ha et ytterligere grunnlag før de kan overføre personopplysninger ut av EØS. Overføringsgrunnlaget skal sikre at personopplysningene fortsatt vil være like godt vernet.

Det er viktig at virksomheten vurderer om overføringsgrunnlaget faktisk vil fungere slik det skal i forkant. Hvis overføringsgrunnlaget ikke sikrer god nok beskyttelse for personopplysningene i seg selv, må man i tillegg iverksette andre tiltak. Dette utdypes nærmere i kapittelet om tilleggskrav til overføringsgrunnlag (Schrems II).

EU-kommisjonen har fattet en beslutning om at noen land og områder har et tilstrekkelig beskyttelsesnivå for personopplysninger (en såkalt adekvansbeslutning). Overføringer til slike land og områder kan skje uten et særskilt overføringsgrunnlag, eller ytterligere vurderinger om beskyttelsesnivå. Det samme gjelder hvis et av unntakene i personvernforordningen artikkel 49 får anvendelse.

Reglene om overføring av personopplysninger ut av EØS kommer i tillegg til alle de andre forpliktelsene etter forordningen. Merk blant annet at virksomheten må føre protokoll over hvilke typer personopplysninger som overføres og til hvem.

Hvem har plikt til å følge reglene?

Både den behandlingsansvarlige og databehandleren har plikt til å oppfylle reglene i personvernforordningen kapittel V.

Hvis en behandlingsansvarlig skal engasjere en databehandler som overfører personopplysninger ut av EØS, må denne forsikre seg om at databehandleren oppfyller sine plikter. Den behandlingsansvarlige har rett og plikt til å gi databehandleren dokumenterte skriftlige instrukser for hvordan personopplysningene skal behandles. Databehandleren må omgående underrette den behandlingsansvarlige dersom databehandleren mener en instruks er i strid med personvernregelverket eller annen nasjonal rett.
Les mer i vår veiledning om databehandleravtale

Hva er en overføring?

Første steg for å oppfylle reglene om overføring av personopplysninger ut av EØS, er å vite om man faktisk overfører personopplysninger.

Personvernforordningen inneholder ingen definisjon av begrepet "overføring". Vi legger til grunn at begrepet omfatter tilfeller hvor personopplysninger sendes til noen utenfor EØS. Vi legger også til grunn at begrepet omfatter tilfeller hvor noen utenfor EØS får tilgang til personopplysninger lagret i EØS. Grunnen til det er at de som har tilgang til personopplysningene, potensielt kan benytte dem videre eller dele dem med andre, slik som ved en fysisk overføring.

Så lenge man er underlagt personvernforordningen, skal alle personopplysninger beskyttes. Da spiller det ingen rolle om opplysningene det er snakk om, tilhører personer som befinner seg i eller utenfor EØS, eller hvilken nasjonalitet personene har.

Når egne ansatte i en virksomhet i Norge eller EØS er på reise utenfor EØS og bruker fjerntilgang til å koble seg på virksomhetens server i Norge eller EØS, regnes det ikke som en overføring til tredjeland, men behandlingen må være i overenstemmelse med de generelle kravene i personvernforordningen. Den ansattes nasjonalitet er ikke av betydning. Hvis det derimot er snakk om en ansatt i et datterselskap utenfor EØS i samme konsern, vil det imidlertid være en overføring.

Definisjoner

En behandlingsansvarlig eller databehandler som overfører personopplysninger ut av EØS kalles gjerne dataeksportør. En behandlingsansvarlig eller databehandler som mottar personopplysninger som overføres ut av EØS kalles gjerne dataimportør.