Overføring av personopplysninger ut av EØS

Overføring av personopplysninger ut av EØS

All overføring av personopplysninger ut av EØS krever et særskilt grunnlag for å være lovlig. Her er en gjennomgang av hva som skal til for at personopplysninger kan overføres til land utenfor EØS.

Innledning

Virksomheten må ha identifisert om det finnes et overføringsgrunnlag før personopplysningene overføres til et tredjeland eller til en internasjonal organisasjon. Hvis det ikke finnes, er overføringen ulovlig. Det gjelder også hvis overføringsgrunnlaget ikke vil fungere i praksis.

Innad i EØS kan personopplysninger brukes, sendes og deles på tvers av landegrensene hvis man har et behandlingsgrunnlag. Det er fordi disse landene har de samme reglene for behandling av personopplysninger, nemlig personvernforordningen, også kjent som GDPR. Man kan derfor anta at personopplysningene vil være like godt beskyttet i alle land i EØS.

Merk!

Hvis du som privatperson skal sende dine egne personopplysninger ut av EØS, gjelder ikke disse reglene for deg.

Andre land kan ha andre regler

Land utenfor EØS kan ha andre regler om hvordan personopplysninger skal behandles. Det samme gjelder internasjonale organisasjoner (for eksempel FN, OECD, eller WTO). Derfor må virksomheter ha et ytterligere grunnlag før de kan overføre personopplysninger ut av EØS. Overføringsgrunnlaget skal sikre at personopplysningene fortsatt vil være like godt vernet.

Det er viktig at virksomheten vurderer om overføringsgrunnlaget faktisk vil fungere slik det skal i forkant. Hvis overføringsgrunnlaget ikke sikrer god nok beskyttelse for personopplysningene i seg selv, må man i tillegg iverksette andre tiltak. Dette utdypes nærmere i kapittelet om tilleggskrav til overføringsgrunnlag (Schrems II).

EU-kommisjonen har fattet en beslutning om at noen land og områder har et tilstrekkelig beskyttelsesnivå for personopplysninger (en såkalt adekvansbeslutning). Overføringer til slike land og områder kan skje uten et særskilt overføringsgrunnlag, eller ytterligere vurderinger om beskyttelsesnivå. Det samme gjelder hvis et av unntakene i personvernforordningen artikkel 49 får anvendelse.

Reglene om overføring av personopplysninger ut av EØS kommer i tillegg til alle de andre forpliktelsene etter forordningen. Merk blant annet at virksomheten må føre protokoll over hvilke typer personopplysninger som overføres og til hvem.

Hvem har plikt til å følge reglene?

Både den behandlingsansvarlige og databehandleren har plikt til å oppfylle reglene i personvernforordningen kapittel V.

Hvis en behandlingsansvarlig skal engasjere en databehandler som overfører personopplysninger ut av EØS, må denne forsikre seg om at databehandleren oppfyller sine plikter. Den behandlingsansvarlige har rett og plikt til å gi databehandleren dokumenterte skriftlige instrukser for hvordan personopplysningene skal behandles. Databehandleren må omgående underrette den behandlingsansvarlige dersom databehandleren mener en instruks er i strid med personvernregelverket eller annen nasjonal rett.
Les mer i vår veiledning om databehandleravtale

Hva er en overføring?

Første steg for å oppfylle reglene om overføring av personopplysninger ut av EØS, er å vite om man faktisk overfører personopplysninger.

Personvernforordningen inneholder ingen definisjon av begrepet "overføring". Vi legger til grunn at begrepet omfatter tilfeller hvor personopplysninger sendes til noen utenfor EØS. Vi legger også til grunn at begrepet omfatter tilfeller hvor noen utenfor EØS får tilgang til personopplysninger lagret i EØS. Grunnen til det er at de som har tilgang til personopplysningene, potensielt kan benytte dem videre eller dele dem med andre, slik som ved en fysisk overføring.

Så lenge man er underlagt personvernforordningen, skal alle personopplysninger beskyttes. Da spiller det ingen rolle om opplysningene det er snakk om, tilhører personer som befinner seg i eller utenfor EØS, eller hvilken nasjonalitet personene har.

Når egne ansatte i en virksomhet i Norge eller EØS er på reise utenfor EØS og bruker fjerntilgang til å koble seg på virksomhetens server i Norge eller EØS, regnes det ikke som en overføring til tredjeland, men behandlingen må være i overenstemmelse med de generelle kravene i personvernforordningen. Den ansattes nasjonalitet er ikke av betydning. Hvis det derimot er snakk om en ansatt i et datterselskap utenfor EØS i samme konsern, vil det imidlertid være en overføring.

Definisjoner

En behandlingsansvarlig eller databehandler som overfører personopplysninger ut av EØS kalles gjerne dataeksportør. En behandlingsansvarlig eller databehandler som mottar personopplysninger som overføres ut av EØS kalles gjerne dataimportør.

Områder med tilstrekkelig beskyttelsesnivå

EU-kommisjonen kan beslutte at en stat, et territorium, en sektor innad i en stat eller en internasjonal organisasjon har regler som ivaretar personvernet på en tilsvarende måte som land i EØS-området. Disse beslutningene kalles også adekvansbeslutninger.

Hvis EU-kommisjonen har fattet en slik beslutning, kan man overføre personopplysninger til landet, området eller den internasjonale organisasjonen. Overføringsgrunnlag eller godkjenning fra Datatilsynet er da ikke nødvendig. Overføringen vil være sammenlignbar med overføringer mellom land innenfor EØS.

Følgende stater har per nå fått en beslutning om tilstrekkelig beskyttelsesnivå:  

imagesm93.png

Følgende områder og sektorer har per nå fått en beslutning om tilstrekkelig beskyttelsesnivå:

imaged7csb.png

Se oversikten over beslutningene fra Europakommisjonen (ec.europa.eu)

Når det foreligger en beslutning om tilstrekkelig beskyttelsesnivå, trenger ikke virksomheten foreta egne vurderinger om beskyttelsesnivået. EU-kommisjonen har gjort dette på forhånd. Da trenger heller ikke virksomheten treffe ytterligere tiltak før de overfører personopplysningene.

Personvernrådet (EDPB) har utarbeidet en veileder om hvilke momenter EU-kommisjonen bør vektlegge i sin vurdering av beskyttelsesnivået (ec.europa.eu).

USA: Privacy Shield-beslutningen er opphevet

Fra 1. juli 2016 har adekvansbeslutningen om Privacy Shield vært gjeldende for overføring til USA. Denne beslutningen omfattet selskaper etablert i USA som hadde sertifisert seg etter Privacy Shield-avtalen. Den 16. juli 2020 besluttet EU-domstolen at Privacy Shield er ugyldig som overføringsgrunnlag, siden mekanismen ikke gir tilstrekkelig beskyttelsesnivå. Adekvansbeslutningen om Privacy Shield ble derfor opphevet, se EU-domstolens avgjørelse C-311/18 (Schrems II).

Dette innebærer at overføring av personopplysninger til USA fra 16. juli 2020 må baseres på andre overføringsgrunnlag i personvernforordningen kapitel V.

Ulike overføringsgrunnlag

Når en virksomhet overfører personopplysninger til stater utenfor EØS-området, og det ikke foreligger en adekvansbeslutning, kan en overføring kun skje dersom den behandlingsansvarlige eller databehandleren har gitt "nødvendige garantier". Det må også gjøres under forutsetning av at den registrerte har håndhevbare rettigheter og effektive rettsmidler. 

Dette følger av personvernforordningen artikkel 46 nr. 2, og betyr i praksis at virksomheten må bruke et av overføringsgrunnlagene i kapittel V i personvernforordningen. Som vi vil komme tilbake til, kreves det noen ganger ytterligere tiltak også.

Virksomhetene er selv ansvarlige for å finne ut hvilket overføringsgrunnlag i personvernforordningen artikkel 46 som er best egnet for deres overføring. Listen under begynner med de mest praktiske og vanligste overføringsgrunnlagene:

  1. Det mest brukte overføringsgrunnlaget er standard personvernbestemmelser (Standard Contractual Clauses eller SCCs) vedtatt av EU-kommisjonen (jf. personvernforordningen artikkel 46 nr. 2 bokstav c)).
  2. Bindende virksomhetsregler - Binding Corporate Rules eller BCR (jf. personvernforordningen artikkel 46 nr. 2 bokstav b og artikkel 47), kan brukes av internasjonale konsern og grupper av virksomheter.
  3. Bindende avtale mellom offentlige myndigheter eller organer innen og utenfor EØS (jf. artikkel 46 nr. 2 bokstav a).
    Personvernrådet har utgitt en veileder om hvilke nødvendige garantier en slik bindende avtale bør inneholde. Se EDPBs retningslinjer 2/2020 (edpb.europa.eu).
  4. For offentlige myndigheter eller organer som overfører personopplysninger til sin gjenpart utenfor EØS, er det mulig å ta inn personvernbestemmelser i administrative ordninger (jf. personvernforordningen artikkel 46 nr. 3 bokstav b). 
    Disse bestemmelsene må gi den registrerte håndhevbare rettigheter og effektive rettsmidler. Ordningen må godkjennes av Datatilsynet, og Personvernrådet må gi sin tilslutning. Personvernrådet har kommet med en veileder om hvilken nødvendige garantier en administrativ ordning mellom offentlige myndigheter eller organer bør inneholde. Se EDPBs retningslinjer 2/2020 (edpb.europa.eu). Personvernrådet har også kommet med en relevant uttalelse.
  5. Godkjente atferdsnormer (jf. personvernforordningen artikkel 46 nr. 2 bokstav e), sammen med bindende og håndhevbar avtale med dataimportør utenfor EØS.
    Personvernrådet jobber med en veileder som vil bli lenket til her så fort den er ferdigstilt og publisert. Per i dag finnes det ingen godkjente atferdsnormer som kan brukes for overføring av personopplysninger til tredjeland.
  6. En godkjent sertifiseringsmekanisme (jf. personvernforordningen artikkel 46 nr. 2 bokstav f), sammen med bindende og håndhevbar avtale med dataimportør utenfor EØS.
    Personvernrådet jobber med en veileder som vil bli lenket til her så fort den er ferdigstilt og publisert. Per i dag finnes det ingen godkjente sertifiseringsmekanismer som kan brukes for overføring av personopplysninger til tredjeland.
  7. Dersom de standardiserte personvernbestemmelsene vedtatt av EU-kommisjonen ikke skulle passe, er det også mulig å inngå avtalevilkår som virksomheten utformer selv (jf. personvernforordningen artikkel 46 nr. 3 bokstav a).
    I dette tilfellet må kontrakten godkjennes av Datatilsynet, og Personvernrådet må gi sin tilslutning. Hittil finnes ingen presedens, og godkjenningsprosessen vil være tidkrevende.
  8. Datatilsynet kan vedta egne standard personvernbestemmelser som også må godkjennes av EU-kommisjonen (jf. personvernforordningen artikkel 46 nr. 2 bokstav d).
    Hittil finnes ingen presedens og godkjenningsprosessen vil være tidkrevende.

Meningen med disse overføringsmekanismene er å pålegge dataimportøren en rekke plikter for å sikre at europeeres personopplysninger blir like godt beskyttet etter overførselen til tredjeland som de blir i EØS.

Den som mottar opplysningene kan imidlertid være underlagt lokale lover som er i strid med, og går foran, forpliktelsene etter overføringsgrunnlaget, eller det kan finnes andre omstendigheter som senker beskyttelsesnivået. Derfor må dataeksportøren i tillegg undersøke om beskyttelsesnivået som vil oppnås i praksis, faktisk er tilsvarende som i EØS.

Med andre ord, når det er snakk om å overføre personopplysninger til et tredjeland som ikke er godkjent av EU-kommisjonen, er en overføringsmekanisme nødvendig, men gir ikke alltid tilstrekkelig beskyttelse. Les mer om ytterligere tiltak i kapittelet om tilleggskrav (Schrems II).

 Eksempel  

En norsk virksomhet har datterselskaper i Israel, Thailand og Brasil. Det første virksomheten bør sjekke, er om noen av landene har fått en beslutning om tilstrekkelig beskyttelsesnivå. Israel er anerkjent som tilstrekkelig. Virksomheten kan derfor overføre personopplysninger til Israel uten overføringsgrunnlag eller å iverksette ytterligere tiltak.

For overføringen til Thailand og Brasil trenger man et overføringsgrunnlag, for eksempel ved å inngå en kontrakt med standard personvernbestemmelser vedtatt av EU-kommisjonen. Dersom mottakeren i Brasil ikke er villig til å signere standardkontrakten, kan den norske virksomheten i samarbeid med den brasilianske motparten utforme en egen kontrakt. Kontrakten må inneholde håndhevbare rettigheter for den registrerte. Siden kontrakten ikke er standard, må den godkjennes av Datatilsynet og Personvernrådet. En slik godkjenningsprosess kan imidlertid ta lang tid.

Den norske virksomheten må også vurdere beskyttelsesnivået for personopplysninger i Brasil og Thailand og eventuelt iverksette ytterligere tiltak.

Standard personvernbestemmelser som overføringsgrunnlag

Det vanligste overføringsgrunnlaget når personopplysninger skal overføres til tredjeland, er EU-kommisjonens standard personvernbestemmelser (Standard Contractual Clauses eller SCCs) 2021/914 (ec.europa.eu).

Nye standard personvernbestemmelser

Den 4. juni 2021 vedtok EU-kommisjonen nye og oppdaterte standard personvernbestemmelser etter personvernforordningen. Eldre standard personvernbestemmelser (Kommisjonens beslutninger 2001/497/EC og 2010/87/EU) var basert på det nå opphevede personverndirektivet 95/56/EC.

Avtaler basert på eldre personvernbestemmelser som undertegnes før 27. september 2021 blir i utgangspunktet gyldige til 27.12.2022 (jf. EU-kommisjonens beslutning 2021/914 artikkel 4).

Virksomheter bør oppdatere til de nye standard personvernbestemmelsene fortløpende og senest før 27. desember 2022.

Ved signering av standard personvernbestemmelser forplikter dataimportøren seg til å behandle opplysningene i samsvar med de kravene som gjelder innenfor EØS-området. Samtidig må dataeksportøren som er etablert i EØS, sjekke at personopplysningene som blir overført, faktisk får tilstrekkelig beskyttelsesnivå på lik linje som i EØS før overføringen og at rettssystemet i mottakerlandet gjør det mulig å følge de standard personvernbestemmelsene i praksis. Vi utdyper dette nærmere i kapittelet om tillegskrav (Schrems II).

Videre skal dataimportøren opplyse eksportøren så fort som mulig om eventuelle hindringer for å oppfylle kravene. Et eksempel på en slik hindring er nasjonal lovgivning i tredjeland som kan gi de offentlige myndighetene i landet tilgang til personopplysninger utover det som anses nødvendig i et demokratisk samfunn (jf. fortalepunkt 22 i EU-kommisjonens beslutning 2021/914). I så fall skal dataeksportøren ikke overføre personopplysningene i henhold til avtalen. Ved tvil kan det være hensiktsmessig at dataeksportøren konsulterer med Datatilsynet. Datatilsynet har rett til, og kan ha plikt til, å utsette eller forby overføring (jf. personvernforordningen artikkel 58 nr. 2 bokstav j og den såkalte Schems II-dommen fra EU-domstolen, CJEU-311/18).

Dersom man bruker personvernbestemmelsene uendret, trenger man hverken søke om forhåndsgodkjenning eller varsle Datatilsynet.

Det er lov å inkorporere standard personvernbestemmelsene i en større avtale. Videre er det lov, uten varsel til Datatilsynet, å tilføye klausuler, så lenge disse ikke motsier, direkte eller indirekte, de standard personvernbestemmelsene som er vedtatt av EU-kommisjonen. I de tilfellene der eksportøren har konkludert med at ytterligere tiltak anses nødvendige for å opprettholde personopplysningenes beskyttelse på lik linje som i EØS, må disse bli tilføyd de standard personvernbestemmelsene.

De nye standard personvernbestemmelsene er bygget opp av fire moduler som omfatter følgende tilfeller:

  1. overføring fra en behandlingsansvarlig etablert i EØS til en virksomhet i et tredjeland som selv opptrer som behandlingsansvarlig
  2. overføring fra en behandlingsansvarlig etablert i EØS til en virksomhet i et tredjeland som opptrer som databehandler
  3. overføring fra en databehandler etablert i EØS til en virksomhet i tredjeland som også er databehandler
  4. overføring fra en databehandler etablert i EØS til en virksomhet i et tredjeland som opptrer som behandlingsansvarlig

Standard personvernbestemmelser der databehandlere er dataeksportør, er en nyvinning som ikke fantes tidligere.

Husk: I tillegg må man alltid inngå en databehandleravtale ved overføring fra behandlingsansvarlig til databehandlere (jf. personvernforordningen artikkel 28). De nyeste standard personvernbestemmelsene fra EU-kommisjonen oppfyller kravene i personvernforordningen artikkel 28. Ved bruk av disse, kan standard personvernbestemmelser også fungere som databehandleravtale mellom partene. Om partene ønsker heller å lage en særskilt databehandleravtale er det også lov.

BCR som overføringsgrunnlag

Bindende virksomhetsregler eller Binding Corporate Rules (BCR) er interne regler for dataoverføringer i multinasjonale selskaper, et konsern eller en gruppe av foretak som utøver en felles økonomisk virksomhet.

En godkjent BCR tillater multinasjonale selskaper å overføre personopplysninger internasjonalt innenfor samme konserngruppe til land som ikke gir et tilstrekkelig beskyttelsesnivå for personopplysninger. En BCR-søknad må sendes til Datatilsynet som kan vedta disse etter en godkjenningsprosess som også krever en uttalelse fra Personvernrådet.

Før overføringen starter, må dataeksportøren som er etablert i EØS gjøre en selvstendig vurdering av om personopplysningene som blir overført, faktisk får tilstrekkelig beskyttelsesnivå på lik linje som i EØS. Det må også vurderes om rettssystemet i mottakerlandet gjør det mulig å følge virksomhetsreglene i praksis. Vi utdyper dette senere.

Hvis beskyttelsesnivået vurderes til å være lavere enn i EØS, og det ikke finnes ytterligere tiltak som hever beskyttelsesnivået til samme nivå som i EØS, skal personopplysningene ikke overføres.

For at reglene kan godkjennes må de inneholde følgende (jf. personvernforordningen artikkel 47 nr. 2): 

  • konsernets struktur og kontaktopplysninger
  • omfang ("scope")
  • et element som viser at reglene er bindende for alle i konsernet/gruppen
  • anvendelse av de allmenne personvernprinsippene, for eksempel åpenhet, datakvalitet og sikkerhet
  • de registrertes rettigheter
  • ansvarlighet til enheten etablert i EØS
  • hvordan informasjon om BCR gis til de registrerte
  • personvernombud
  • fremgangsmåte for å klage
  • mekanismene for å sikre overholdelse av reglene, f.eks. personvernrevisjoner
  • rapportering og registrering av endring i reglene til selskapene og til tilsynsmyndigheten
  • samarbeidet med tilsynsmyndigheten
  • rapportering til tilsynsmyndigheten av regler i tredjestat som sannsynligvis vil ha betydelig negativ virkning på garantiene i BCR-en
  • opplæring

Fordeler ved BCR

Bindende virksomhetsregler er ment å sikre at alle dataoverføringer innenfor en konserngruppe, er trygge. Andre fordeler ved bruk av bindende virksomhetsreglene er at:

  1. det er lettere å demonstrere etterlevelse av personvernforordningen og forpliktelsene i kapittel V
  2. det fører til mindre papirarbeid – det er ikke nødvendig med nye standard personvernbestemmelser for hver overføring
  3. BCR fungerer som interne retningslinjer – alle i virksomheten forholder seg til samme regler. BCR vil gi klare og ikke minst bindende instrukser.
  4. det kan være et konkurransefortrinn – BCR offentliggjøres og viser omverden at virksomheten tar personvern på alvor

Datatilsynsmyndighetene i EØS har generelt lang saksbehandlingstid for godkjenning av BCR. Dersom dere vurderer å ta i bruk bindende virksomhetsregler, må dere regne med at det kan ta et par år før dere faktisk kan sette i gang overføring av personopplysninger basert på BCR. I tillegg er ikke alle selskapsformer like egnet for dette.

Vi anbefaler å ta kontakt med Datatilsynet på for å avklare om bindende virksomhetsregler passer for virksomheten.

Om godkjenningsprosessen

Her følger en kort oversikt over saksbehandlingsprosessen slik den er beskrevet i "Working Document on the approval procedure of the Binding Corporate Rules for controllers and processors", WP263rev.01 (ec.europa.eu):

  1. Selskapet utpeker den ledende tilsynsmyndigheten, "Lead Supervisory Authority". Dersom dere har hovedkvarter i Norge er det sannsynlig at Datatilsynet i Norge er ledende tilsynsmyndighet. Den ledende tilsynsmyndighet er den som håndterer samarbeidsprosedyren med de andre europeiske datatilsynsmyndighetene etter personvernforordningen.
  2. Selskapet utarbeider de bindende virksomhetsreglene. Det anbefales på det sterkeste å utarbeide dokumentene på engelsk. BCR må oppfylle kravene fastsatt i arbeidsdokumentene fra Personvernrådet. Den fullstendige søknaden som sendes inn til Datatilsynet må inneholde:
    • Utkast til BCR, med eventuelle annekser
    • Utfylt søknadskjema WP264 (for behandlingsansvarlige) eller WP265 (for databehandler)
    • BCR-kriterier i WP256 (for behandlingsansvarlige) eller WP257 (for databehandler). Vi anbefaler å fylle inn tabellen med henvisninger til både BCR-teksten og søknadskjema.
    • Liste med de enheter som vil bli bundet av BCR og deres lokasjoner ("List of entities bound"). Dersom virksomheten har enheter i Tyskland, må man spesifisere i hvilke(n) delstat(er) virksomheten er lokalisert.
    • Bevis på at reglene er bindende for alle selskapene i konsernet.
  3. Videre kan det være aktuelt å sende ved dokumentasjon som viser hvordan forpliktelsene i BCR vil bli etterlevd i praksis. Eksempler:
    • Personvernpolicies
    • Instrukser for hvordan ansatte må håndtere personopplysninger (kan være en del av konsernets generelle "Code of conduct")
    • Rutiner for internkontroll
    • Opplæringsplan og materiell for opplæring av de ansatte
    • Beskrivelse av klageprosedyren
    • Sikkerhetsrutiner
    • Beskrivelse av personvernombudets oppgaver og støtte
  4. Dokumentene sendes til Datatilsynet for vurdering. Datatilsynet vil gi tilbakemelding dersom det er nødvendig med eventuelle endringer.
  5. Etter at Datatilsynet har vurdert søknaden og funnet at dokumentene oppfyller kravene i personvernforordningen artikkel 47, sendes søknaden med alle vedlegg til en annen datatilsynsmyndighet (co-reviewer) i EØS som foretar en sjekk for å sikre kvaliteten til BCR-en. Dersom det er flere enn 14 berørte tilsynsmyndigheter (det vil si at konsernet eller gruppen har etablering i flere enn 14 EØS-land), må to tilsynsmyndigheter foreta en såkalt co-review.
  6. BCR-dokumentene blir delt med alle datatilsynsmyndighetene i EØS, som får en mulighet til å kommentere skriftlig. BCR-søknaden vil så diskuteres i kontekst av Personvernrådets ekspertundergruppe for internasjonale overføringer. Datatilsynet formidler nødvendige og foreslåtte endringer til virksomheten.
  7. Når tilsynsmyndighetene har blitt enige om at BCR-en oppfyller kravene, sender Datatilsynet BCR-søknaden til Personvernrådet for godkjenning. Personvernrådet skal da gi en uttalelse innen åtte uker (med mulighet for forlengelse på seks uker).
  8. Når Personvernrådet har gitt en positiv uttalelse, skal Datatilsynet gi den endelige godkjenningen.
  9. Virksomheten må oversette BCR-en til alle relevante språk og gjøre den kjent for de den gjelder (ansatte, kunder, forretningsrelasjoner og så videre).
  10. Virksomheten har plikt til å oppdatere BCR i henhold til det til enhver tid gjeldende regelverket i EØS og underrette Datatilsynet om eventuelle mindre endringer én gang i året. Det er ønskelig å sende endret BCR med spor endringer («track changes») i dokumentet. Større materielle endringer må meldes umiddelbart.
  11. Om kravene i WP256/WP257 blir endret, må virksomhet med godkjent BCR fylle den ut på nytt i forbindelse med årlig oppdatering av dokumentene for å vise at alle gjeldende krav er oppfylt.

På Personvernrådet (EDPB) sine nettsider finnes en oversikt over godkjente BCR etter personvernforordningen (edpb.europa.eu).

Hva med bindende virksomhetsregler (BCR) som ble godkjent før 25. mai 2018?

BCR-er som er godkjent i medhold av gammelt regelverk, skal fortsette å gjelde fram til de ved behov endres, erstattes eller oppheves. Dette følger av personvernforordningen artikkel 46 nr. 5. For at virksomheter som har en godkjent BCR skal kunne fortsette å bruke den som overføringsgrunnlag, må de imidlertid:

  • oppdatere BCR-dokumentene i henhold til personvernforordningen. Bruk WP256 rev.01 (for behandlingsansvarlige) og WP257 rev.01 (for databehandlere) for å demonstrere at alle kravene er oppfylt
  • varsle Datatilsynet om endringene som er gjort. Dette kan gjøres i forbindelse med den årlige rapporteringsplikten (jf. personvernforordningen artikkel 47 nr. 2 bokstav k).

Her er en liste over virksomheter som fikk godkjent BCR før 24. mai 2018 etter gammelt regelverk (ec.europa.eu).

Ta gjerne kontakt med Datatilsynet på  ved eventuelle spørsmål.

Tilleggskrav

Noen ganger er det ikke nok å ha et overføringsgrunnlag. I denne delen skal vi gjennomgå hva tilleggskravene innebærer og hvordan de bør forstås.

I den såkalte Schrems II-dommen (curia.europa.eu) understreket EU-domstolen at man alltid må undersøke om beskyttelsesnivået i praksis vil bli undergravd av forhold i tredjelandet, for eksempel overvåkingslover som går lenger enn det som er nødvendig og proporsjonalt. I så fall må man iverksette ytterligere tiltak.

Det er viktig å skille mellom to typetilfeller: Noen ganger skjer overføringen på virksomhetens vegne, for eksempel fordi det sendes personopplysninger til en mottaker i tredjeland, lagrer personopplysninger i tredjeland eller bruker support-tjenester fra tredjeland. Andre ganger er det databehandleren som bestemmer at personopplysninger skal overføres, i strid med virksomhetens ønsker. Reglene kan slå ulikt ut i disse to tilfellene, og derfor kommer vi til å omtale sistnevnte tilfelle senere i veiledningen.

Dersom overføringen bygger på en adekvansbeslutning eller et av unntakene i artikkel 49 (utdypet i siste kapittel i veiledningen), kan du se bort fra tilleggskravene etter Schrems II-dommen.

Introduksjon: Schrems II-dommen og amerikanske overvåkingslover

Bakgrunnen for Schrems II-dommen var at en person klaget på at Facebook overførte personopplysningene hans til USA. EU-domstolen tok stilling til den daværende adekvansbeslutningen for USA, Privacy Shield, og kom frem til at denne var ugyldig. Motsatt kom domstolen til at EU-kommisjonens standard personvernbestemmelser fremdeles er et gyldig overføringsrunnlag – men at standard personvernbestemmelser ikke alltid er tilstrekkelig i seg selv.

Formålet med standard personvernbestemmelser er at dataimportøren skal garantere et tilstrekkelig beskyttelsesnivå etter at personopplysningene har blitt overført ut av EØS. Man må imidlertid vurdere hvorvidt dette beskyttelsesnivået vil opprettholdes i praksis før data overføres. Standard personvernbestemmelser er nemlig ikke bindende for tredjelandets myndigheter, og tredjelandets lover kan gå foran standard personvernbestemmelser. Et særlig praktisk typetilfelle er der tredjelandets lovgivning tillater at myndighetene kan skaffe seg adgang til data i større grad enn det som er proporsjonalt og nødvendig.

Derfor uttalte domstolen at i noen tilfeller må standard personvernbestemmelser suppleres av ytterligere garantier og tiltak. Dersom det er nødvendig med ytterligere tiltak, men slike tiltak ikke iverksettes, er overføringen ulovlig og må opphøre. Datatilsynet og de andre datatilsynsmyndighetene i EØS legger til grunn at det samme også gjelder ved bruk av andre overføringsgrunnlag.

Ikke alle overvåkingslover i tredjeland er problematiske. Noen ganger kan man gjøre unntak fra personopplysningsvernet hvis det er proporsjonalt og strengt nødvendig. Det må fremgå av unntakslovene når, på hvilke vilkår og i hvilket omfang de gjelder. Unntakslovene må også inneholde garantier som ivaretar de berørtes data mot misbruk. Det er viktig at de registrertes rettigheter og deres adgang til effektive rettsmidler ved brudd på personvernet er ivaretatt i praksis.

Domstolen vurderte amerikansk lovgivning spesifikt og kom frem til at særlig Foreign Intelligence Surveillance Act (FISA) Section 702 og Executive Order (E.O.) 12333 er problematiske opp mot kriteriene ovenfor.

FISA 702 innebærer at amerikanske virksomheter kan motta begjæringer fra amerikanske myndigheter om uthenting av informasjon om bestemte personer. Her trakk EU-domstolen særlig frem manglende kontrollmekanismer for å gjennomgå etterretningens målretting på individnivå. E.O. 12333 tillater masselagring av data som sendes til USA uten rettslig prøving. Domstolen uttalte at omfanget av myndighetenes tilgang til data under E.O. ikke er tilstrekkelig klart og presist avgrenset.

Når det gjelder FISA 702 og E.O. 12333 gjør vi oppmerksom på følgende:

  • Amerikanske "electronic communication service providers" (tilbydere av elektroniske kommunikasjonstjenester) er underlagt FISA 702. Dette er definert vidt. For eksempel vil såkalte "remote computing services" være underlagt loven. Det er også viktig å være klar over at loven kan gjelde både innenfor og utenfor amerikansk territorium. Samtidig finnes det også eksempler på amerikansk tjenesteyting som ikke faller inn under denne loven. Dette kan for eksempel være tilfellet for teknisk støtte knyttet til enkelte on premise-løsninger.
  • I motsetning til FISA 702 krever ikke E.O. 12333 at amerikanske virksomheter hjelper amerikanske myndigheter å få tilgang til dataene, for eksempel ved å oppgi krypteringsnøkkelen.

EU-domstolens dommer er ikke direkte bindende for Norge, Island og Liechtenstein, men vi må tolke personvernforordningen likt som alle EU-landene, og derfor har EU-domstolens avgjørelser i praksis mye å si også for oss. EU-domstolen henviser flere ganger til EU-charteret for grunnleggende rettigheter. Heller ikke dette er bindende for Norge, men personvernforordningen leses ofte i lys av Charteret, og igjen må vi tolke personvernforordningen likt som EU-landene.

De ulike stegene i vurderingen

Når du skal vurdere om det er lov å overføre personopplysninger ut av EØS, kan du ta utgangspunkt i følgende sjekkliste:

  1. Kjenn overføringene
    Det er viktig å ha full oversikt over alle prosesser, systemer, tjenester, løsninger, partnere, leverandører, databehandlere og databehandleres underleverandører som overfører personopplysninger ut av EØS. Fjerntilgang, for eksempel for teknisk støtte, regnes som nevnt også som en overføring. Behandlingsansvarlige og databehandlere har som hovedregel plikt til å føre protokoll over behandlingsaktiviteter, og her skal alle overføringer ut av EØS være beskrevet. Man har også plikt til å informere de registrerte om slike overføringer.

    Husk at vanlige løsninger som nettsidetillegg, markedsføringstjenester og skytjenester kan innebære overføring av personopplysninger ut av EØS. Husk også å ta med videreoverføringer ("onward transfers") i oversikten din, for eksempel hvis en databehandler i et tredjeland bruker underleverandører i andre tredjeland.
  2. Identifiser overføringsgrunnlag
    Før overføringen starter, må man også ha identifisert et passende overføringsgrunnlag. Alternativt kan man i enkelte tilfeller bruke unntaksreglene. I så fall trenger man ikke følge steg 3 og 4.
  3. Vurder om overføringsgrunnlaget vil være effektivt i lys av alle omstendighetene ved overføringen
    I dette steget må man undersøke lover og praksis i tredjelandet. Vil disse lovene og praksisene påvirke hvordan dataeksportør eller dataimportør behandler personopplysninger under overføringsgrunnlaget? Hvis ja, vil disse lovene og praksisene føre til et lavere beskyttelsesnivå i praksis enn i EØS? Husk å vurdere hvordan lovene og praksisene påvirker eventuelle databehandlere, underleverandører og infrastruktur som brukes i behandlingen av personopplysninger.

    Som nevnt er ikke alle lover og praksiser som gir lokale myndigheter adgang til data, problematiske. Det er først når lokale lover og praksis går lenger enn det som er nødvendig og proporsjonalt, at beskyttelsesnivået undergraves. Vi utdyper nedenfor.
  4. Iverksett ytterligere tiltak
    Dersom vurderingen under steg 3 viste at beskyttelsesnivået i praksis vil være lavere enn i EØS, må du iverksette ytterligere tiltak som veier opp for dette og som sikrer et tilsvarende beskyttelsesnivå i praksis. Dersom det ikke finnes slike ytterligere tiltak eller du ikke er i stand til å iverksette slik tiltak, kan du ikke overføre personopplysningene. Vi utdyper nedenfor.
  5. Re-evaluer med jevne mellomrom
    Lovgivning i tredjeland kan endre seg, eller det kan være at ytterligere tiltak som tidligere var effektive, ikke lenger er det. Det kan også være at dataimportøren har brutt eller ikke lenger kan følge forpliktelsene sine. Dersom man har basert overføringen på en unntaksregel, kan det være at unntaksregelen ikke lenger passer eller har blitt brukt i større grad enn opprinnelig forutsett. Det er viktig å være i stand til å fange opp slike endringer og å evaluere ved jevne mellomrom at overføringen fremdeles er lovlig.

Særlig om steg 3 – Vurdering av beskyttelsesnivået

Når man skal vurdere beskyttelsesnivået i ett eller flere tredjeland, må man se på alle involverte aktører – behandlingsansvarlige, databehandlere og databehandleres underleverandører – samt infrastrukturen som benyttes. Man må se på hvilke lover og hvilken praksis som påvirker den spesifikke overføringen, i lys av alle overføringens omstendigheter. Hvilke lover og praksis som gjelder kan komme an på

  • formålet med behandlingen og overføringen (for eksempel formål knyttet til markedsføring, HR, lagring, teknisk støtte, kliniske studier)
  • typen aktører involvert (offentlige/private, behandlingsansvarlige/databehandlere)
  • den aktuelle sektoren (for eksempel adtech, telekom, finans, journalistikk, helse)
  • kategorien personopplysninger (for eksempel kan tredjelandet ha særlover knyttet til mindreårige)
  • hvorvidt dataene lagres i tredjeland eller hvorvidt det vil være fjerntilgang til data lagret i EØS
  • dataformat (klartekst, pseudonymisert eller kryptert)
  • muligheten for videreoverføring til nye tredjeland

Eksempel

I noen land er det begrensninger på myndighetenes adgang til å kreve informasjon fra medier, advokater eller helsepersonell. Her kan altså formålet, typen aktører, sektor, samt kategoriene av personopplysninger være avgjørende for om problematiske overvåkingslover kommer til anvendelse på den aktuelle overføringen.

Lover og praksis kan utgjøre et inngrep i personvernet, uavhengig av om dataene er sensitive eller hvorvidt personene det gjelder faktisk har blitt negativt berørt av inngrepet – men ikke alle inngrep utgjør en krenkelse. Det er først når lovene og praksisene går lenger enn nødvendig og proporsjonalt at de utgjør en krenkelse. Man trenger bare iverksette ytterligere tiltak der det foreligger en krenkelse.

Når man skal vurdere om lover og praksis utgjør en krenkelse av personvernet, kan man blant annet se hen til momentene som

Som nevnt over er EU-charteret for grunnleggende rettigheter ikke bindende for Norge. Charteret kan imidlertid være relevant der personvernforordningen blir tolket i lys av det. EMK er bindende for Norge og gjelder som norsk lov gjennom menneskerettighetsloven.

Eksempel

Et element i vurderingen av om et inngrep er proporsjonalt kan være om personopplysningene det er snakk om, allerede er offentlig tilgjengelig. Myndigheters innhenting av offentlig tilgjengelige personopplysninger vil lettere kunne utgjøre et proporsjonalt inngrep enn innhenting av opplysninger som ikke er tilgjengelig for allmenheten. Det må vurderes konkret fra sak til sak.

Omgåelse av regelverket ved å publisere personopplysninger med eneste hensikt om å overføre dem til et tredjeland, vil i alle tilfeller kunne være brudd på både artikkel 6 og kapittel V i personvernforordningen.

Noen ganger kan det være motstrid mellom lov og praksis. Dersom loven på papiret ikke utgjør en krenkelse av personvernet, men den praktiseres på en måte som utgjør en krenkelse, må man iverksette ytterligere tiltak. Det kan også være tilfeller der tredjelandets overvåkingslover ikke er offentlig tilgjengelige, eller der tredjelandet ikke har lovgivning om overvåking. I disse tilfellene er det viktig å sjekke hva situasjonen er i praksis og om praksisen utgjør en krenkelse.

Motsatt kan det være tilfeller der loven er problematisk, men der det ikke er noen grunn til å tro at den problematiske lovgivningen vil bli anvendt på overføringen i praksis. I så fall trenger du ikke å iverksette ytterligere tiltak. Du må kunne dokumentere detaljert gjennom vurderingen din at loven ikke blir tolket eller anvendt i praksis slik at den dekker overføringen, også tatt i betraktning av erfaringene til liknende aktører i samme bransje og/eller relatert til tilsvarende overføringer, samt annen aktuell informasjon.

Her kan man også legge vekt på dataimportørens dokumenterte praktiske erfaringer med tidligere utleveringsbegjæringer fra tredjelands myndigheter. Dette gjelder imidlertid bare dersom tredjelandets lovgivning ikke forbyr dataimportøren å gi informasjon om tidligere utleveringsbegjæringer. Det er viktig å merke seg at det faktum at en dataimportør ikke har mottatt utleveringsbegjæringer tidligere, ikke i seg selv er tilstrekkelig til å fortsette uten å iverksette ytterligere tiltak. Dette kan imidlertid inngå i en helhetsvurdering dersom annen informasjon om praksis i tredjelandet underbygger og ikke motsier dataimportørens dokumenterte praktiske erfaringer.

Informasjonen vurderingene bygger på bør være

  • relevant – den må være til hjelp i den konkrete situasjonen og ikke være for generell eller abstrakt
  • objektiv – den må underbygges av empirisk kunnskap, ikke antakelser om potensielle hendelser
  • pålitelig – man må kritisk vurdere kilden for informasjonen og selve informasjonen separat
  • verifiserbar – det må være mulig for tilsynsmyndighetene eller domstolene å ettergå informasjonen
  • tilgjengelig – det må være mulig å gjenskaffe informasjonen slik at den kan deles med tilsynsmyndighetene, domstolene og de registrerte

EDPBs anbefalinger om ytterligere tiltak inneholder mer informasjon om vurderingen av beskyttelsesnivået, samt mulige informasjonskilder (edpb.europa.eu). 

Særlig om steg 4 – Eksempler på ytterligere tiltak

Dersom du kommer frem til at lovene og praksis i tredjelandet går lenger enn nødvendig og ikke er proporsjonale, må du iverksette ytterligere tiltak for å sikre at beskyttelsesnivået for personopplysninger blir tilsvarende som i EØS. Med andre ord må krenkelser av personvernet motvirkes. Tiltakene kan være tekniske, juridiske eller organisatoriske, og ofte bør ulike typer tiltak kombineres.

I utgangspunktet bør de ytterligere tiltakene inkludere tekniske tiltak. Grunnen til at man trenger ytterligere tiltak er jo nettopp fordi lokale lover i tredjelandet går foran overføringsgrunnlaget, som ofte er en juridisk bindende avtale. Da kan det som regel være vanskelig å se for seg ytterligere juridiske eller organisatoriske tiltak som alene kan sikre beskyttelsesnivået. Hva som er effektivt i praksis, må imidlertid vurderes konkret i hver enkelt sak.

Når det gjelder tekniske tiltak, står særlig sterk kryptering og nøkkelhåndtering sentralt. Kryptering kan typisk motvirke at tredjelands myndigheter får adgang til data under transport og lagring så lenge krypteringsnøkkelen ikke er eller vil bli tilgjengelig for myndighetene eller aktørene underlagt tredjelands lovgivning.

Vær oppmerksom på at det kan være mulig for skytjenesteleverandører å hente ut kryptert data ved hjelp av særskilte fremgangsmåter. Dette er relevant dersom lovgivning eller praksis i det aktuelle tredjelandet tilsier at myndighetene har adgang til å hente ut data gjennom slike fremgangsmåter i praksis. For mer informasjon, se NSMs nettsider. 

Dersom derimot en dataimportør i tredjeland forvalter krypteringsnøkkelen på vegne av behandlingsansvarlig, vil ikke kryptering være effektivt mot utleveringsbegjæringer fra lokale myndigheter. Vi vil også minne om at krypteringsalgoritmen må være state-of-the-art, og at det er en plikt for den behandlingsansvarlige for å rutinemessig kvalitetssikre dette sikkerhetstiltaket.

Et annet veldig praktisk teknisk tiltak er pseudonymisering. Dette forutsetter at koblingsnøkkelen ikke er eller vil bli tilgjengelig for myndighetene eller aktørene underlagt tredjelands lovgivning. Husk å ta i betraktning informasjon som man kan forvente at tredjelandets myndigheter har og kan bruke. Pseudonymisering er særlig praktisk for forskningsmiljøer.

Juridiske tiltak kan for eksempel innebære en kontraktsmessig forpliktelse til å iverksette bestemte tekniske tiltak og tiltak når det gjelder nøkkelhåndtering. Tilsvarende kan man forby at dataimportøren forsøker å reidentifisere personer i pseudonymiserte datasett.

Avtalen kan også pålegge dataimportøren å hjelpe dataeksportøren vurdere og følge med på beskyttelsesnivået i tredjelandet, eller å kommunisere hvilke tiltak dataimportøren har blitt og blir pålagt av tredjelands overvåkingsmyndigheter hvis mulig. Et annet eksempel kan være at dataimportøren blir pålagt å utfordre alle utleveringsbegjæringer de mottar i fremtiden, eller at de blir pålagt å hjelpe de registrerte ivareta deres rettigheter i tredjelandet.

Organisatoriske tiltak sikter til interne rutiner, fremgangsmåter og internkontroll. For eksempel bør virksomheten være organisert slik at den er godt rustet til å håndtere utleveringsbegjæringer, den bør ha gode rapporteringslinjer. Det er viktig å dokumentere godt ved eventuelle utleveringsbegjæringer. God opplæring og streng tilgangsstyring er helt sentrale, organisatoriske tiltak.

EDPBs anbefalinger om ytterligere tiltak (edpb.europa.eu), anneks 2, inneholder flere eksempler på ytterligere tiltak samt hva som skal til for at tiltakene skal være effektive. Dette er bare eksempler – listen er ikke uttømmende.

Når du skal vurdere hvilke ytterligere tiltak som er mest effektive, bør du for eksempel se på

  • dataformat (klartekst, pseudonymisert eller kryptert)
  • dataenes natur (for eksempel nyter særlige kategorier personopplysninger høyere beskyttelse etter personvernforordningen)
  • lengden og kompleksiteten av personopplysningsbehandlingsforløpet, antallet aktører involvert og forholdet mellom dem (involverer for eksempel overføringen flere behandlingsansvarlige eller både behandlingsansvarlige og databehandlere, og hvem av dem foretar overføringen?)
  • gjennom hvilke teknikker eller basert på hvilke parametere tredjelandets problematiske lovgivning anvendes
  • muligheten for at dataene blir overført videre innenfor det samme tredjelandet eller til et annet tredjeland (for eksempel gjennom databehandlers underleverandør)

Dersom man iverksetter ytterligere tiltak som sikrer et tilstrekkelig beskyttelsesnivå, kan overføringen av personopplysninger begynne. Dersom ytterligere tiltak er påkrevd, men man ikke iverksetter eller lykkes med å identifisere effektive tiltak, kan overføringen ikke finne sted. Hvis man tidligere har overført data lovlig, men endringer i omstendighetene gjør at overføringen nå er ulovlig, må overføringene opphøre, og dataene allerede overført skal tilbakeføres eller slettes.

Vurderinger og dokumentasjon

Reglene om overføring av personopplysninger ut av EØS er kompliserte. Samtidig har EU-domstolen sagt at det er virksomhetene selv som må foreta vurderingene. Dette følger også av ansvarlighetsprinsippet i personvernforordningen. Det betyr at Datatilsynet ikke kan gå inn og "forhåndsgodkjenne" vurderingene til norske virksomheter, selv om mange ønsker dette.

I stedet er det viktig å foreta vurderingene samvittighetsfullt etter beste evne og å dokumentere dem godt. I en eventuell tilsynssak vil Datatilsynet være særlig opptatt av at vurderingene er dokumentert.

Mer informasjon

EDPBs anbefalinger om ytterligere tiltak inneholder mer utdypende informasjon om dette temaet (edpb.europa.eu). Datatilsynet vil tolke loven likt som EDPB i en eventuell tilsynssak. 

Opplysninger utelukkende behandlet i EØS

Dette kapittelet gjelder tilfellene der du skal bruke en databehandler som kun skal lagre og aksessere dataene dine i EØS. 

Dersom derimot databehandlerens tjenesteoppdrag innebærer en overføring av personopplysninger til et tredjeland, for eksempel at data skal lagres i en sky i USA eller at personell i India skal tilby teknisk støtte, gjelder ikke denne delen av veilederen, og du må forholde deg til de generelle reglene beskrevet tidligere.

Tredjelands lover kan gjelde i EØS – hvem har ansvaret?

Selv om databehandleren kun skal lagre og aksessere dataene i EØS, og databehandleravtalen ikke tillater overføringer ut av EØS, kan det være at den er underlagt tredjelands lovgivning, herunder tredjelands overvåkingslover. FISA 702 er et eksempel på en amerikansk lov som også kan gjelde data lagret i Europa. Her oppstår spørsmålet om hvem som er ansvarlig for en eventuell utlevering av personopplysninger til tredjelands myndigheter og hvorvidt man må forholde seg til Schrems II ved bruk av slike databehandlere.

En databehandler eller dens underleverandører har som hovedregel bare lov til å overføre personopplysningene til et tredjeland dersom den behandlingsansvarlige har gitt eksplisitte instruksjoner om det i databehandleravtalen. Det vil si at all den tid du ikke uttrykkelig har instruert eller tillatt at databehandleren eller dens underleverandør kan gjøre det, skal ikke databehandleren på noen som helst måte overføre personopplysningene ut av EØS.

Databehandleren kan imidlertid havne i en skvis i denne situasjonen: Skal den følge våre personvernregler, eller skal den følge overvåkingsloven i et tredjeland som sier at opplysningene skal overføres?

Dersom databehandleren handler i strid med den behandlingsansvarliges instruksjoner i dette tilfellet, kan den selv bli ansett som den behandlingsansvarlige for overføringen fordi det er databehandleren som har bestemt at overføringen skal skje, til hvilket formål og med hvilke midler. Dette følger også av personvernforordningen artikkel 28(10). Det betyr også at det trolig er databehandleren, og ikke du, som får ansvaret for å sikre at overføringen til tredjeland er lovlig, og som må forholde seg til Schrems II-dommen.

Likevel ikke fritt frem

Selv om det skulle være slik at en databehandler ender opp med å bære ansvaret for en eventuell overføring av personopplysninger til tredjeland, vil du fremdeles ha øvrige forpliktelser etter personvernforordningen. Det finnes en rekke regler du må følge når du overlater personopplysninger til en databehandler. Her vil vi trekke fram særlig to ting:

  1. Du har ansvar for å bare velge databehandlere som kan oppstille tilstrekkelige garantier for at de vil følge våre personvernregler. Se personvernforordningen artikkel 28 nr. 1. Dette kan ansees som en form for risikovurdering.
  2. Du har ansvar for å beskytte personopplysningene (informasjonssikkerhet), herunder sikre at personopplysningene behandles konfidensielt og ikke blir gjort tilgjengelig for uvedkommende. Se blant annet personvernforordningen artikkel 5 nr. 1 bokstav f og artikkel 32. Hvilke tiltak du iverksetter, må bygge på en risikovurdering.

Personvernrådet (EDPB) har gitt ut retningslinjer om behandlingsansvarlige og databehandlere (edpb.europa.eu). Der finner du blant annet mer informasjon om forholdet mellom de to, hvilke vurderinger den behandlingsansvarlige må foreta ved valg av databehandler samt informasjon om kravene til databehandleravtaler.
Les også mer om behandlingsansvarlig og databehandler her på våre nettsider

Når vilkårene tar forbehold om overføring

Ofte består databehandleravtaler av standardvilkår som det er vanskelig å forhandle individuelt. Ikke sjeldent inneholder vilkårene til for eksempel skytjenester passuser om at databehandleren «kan» overføre personopplysninger til tredjeland, eller at kunden «anerkjenner» at dette kan skje.

I slike tilfeller er det viktig å fastslå hvem som er behandlingsansvarlig for den aktuelle behandlingen (edpb.europa.eu). Det kan fremdeles være slik at det er den aktuelle tjenesteleverandøren som er behandlingsansvarlig for overføringen av personopplysninger ut av EØS.

Samtidig er situasjonen litt annerledes enn der databehandleravtalen ikke tillater overføringer ut av EØS. Derfor er det særlig én ekstra ting man må tenke på. I dette scenarioet er det klart allerede på tidspunktet for avtaleinngåelsen at man overleverer personopplysninger til en ny behandlingsansvarlig. For å overlate personopplysninger til en ny behandlingsansvarlig kreves et gyldig behandlingsgrunnlag. Derfor kan man bare inngå avtalen i den grad man har identifisert et passende behandlingsgrunnlag for overlevering av personopplysningene til ny behandlingsansvarlig

Eksempel: EU-organer og Microsoft-tjenester

Datatilsynet for EU-organene, European Data Protection Supervisor (EDPS), har tidligere ført tilsyn med hvordan EU-organene bruker Microsoft-tjenester. I 2020 ga EDPS ut en rapport som sa at EU-organenes avtaler med Microsoft ikke var tilstrekkelige (edps.europa.eu). Blant annet trekker EDPS frem Microsoft som behandlingsansvarlig samt manglende kontroll med overføring av data ut av EØS. EDPS kom med flere anbefalinger til EU-organene.

Unntak

Hvis du ikke klarer å identifisere et effektivt overføringsgrunnlag for den overføringen du planlegger, kan du som unntak overføre personopplysningene hvis vilkårene i personvernforordningen artikkel 49 er oppfylt.

Overføringsgrunnlagene i personvernforordningen kapittel V skal sikre at beskyttelsesnivået for personopplysninger i EØS ikke undergraves. Det er derfor viktig at unntak bare gjøres i særlige situasjoner. Et unntak skal ikke benyttes som hovedregel, og unntakene må tolkes restriktivt.

Unntakene garanterer ikke for tilsvarende beskyttelse av personopplysningene utenfor EØS. Derfor vil bruk av unntak lede til en forhøyet risiko for de registrertes rettigheter. Dataeksportøren bør være seg dette bevisst.

Hvilke unntak finnes?

Litt forenklet formulert kan man bruke unntak når:

  • Uttrykkelig og informert samtykke
  • Nødvendig for å oppfylle en avtale med den registrerte
  • Nødvendig for å oppfylle en avtale i den registrertes interesse
  • Nødvendig av hensyn til viktige allmenne interesser anerkjent i lov
  • Nødvendig for å fastsette, gjøre gjeldende eller forsvare rettskrav
  • Nødvendig for å verne vitale interesser i tilfeller der den registrerte er ute av stand til å gi samtykke
  • Personopplysningene hentes fra et offentlig register

Personvernrådet har utarbeidet en veileder om unntakene i personvernforordningen artikkel 49 (edpb.europa.eu). Veilederen går nøye gjennom hva som kreves for å benytte hvert unntak.

Unntakene ved uttrykkelig og informert samtykke, og for oppfyllelse av avtale, kan ikke benyttes av offentlige organer når de utøver offentlig myndighet. Unntakene for oppfyllelse av avtale og rettskrav kan bare brukes leilighetsvis.

Det kan være forvirrende at unntakene er utformet nokså likt som behandlingsgrunnlagene i personvernforordningen artikkel 6. Reglene gjelder imidlertid to forskjellige situasjoner. Reglene om overføringer ut av EØS skal beskytte personopplysninger mot regler og praksis i andre land som kan gi et dårligere beskyttelsesnivå. Reglene om behandlingsgrunnlag skal sikre at virksomheten selv behandler personopplysninger på lovlig vis.

Reglene gjelder også to ulike steg: Man må alltid ha et behandlingsgrunnlag før man foretar noen behandling av personopplysninger overhodet. Hvis man deretter skal overføre personopplysningene ut av EØS, må man som hovedregel identifisere et overføringsgrunnlag for dette. Man bør bare benytte et unntak etter personvernforordningen artikkel 49 hvis ikke noe effektivt overføringsgrunnlag kan identifiseres.

Personvernforordningen åpner for at nasjonal lovgivning eksplisitt kan begrense muligheten for overføringer av spesifikke kategorier personopplysninger til et tredjeland eller internasjonal organisasjon. Det fins foreløpig ikke noen slik lovgivning i Norge.

Andre situasjoner

Hvis ingen av de særlige angitte unntakene nevnt over passer, fins det fortsatt ett snevert unntak: Enkeltstående, ikke-gjentakende overføringer kan skje hvis de er nødvendig av hensyn til tvingende berettigede interesser som går foran interessene, rettighetene og frihetene til de registrerte, og forutsatt at de kun gjelder et begrenset antall registrerte.

Alle omstendigheter tilknyttet overføringen skal vurderes, og vurderingen skal gi nødvendige garantier for beskyttelse av personopplysningene som skal overføres.  Virksomheten skal dokumentere vurderingen og de nødvendige garantiene i sin protokoll over behandlingsaktiviteter.

Datatilsynet skal varsles om en slik overføring. De registrerte skal også informeres om overføringen og om de tvingende berettigede interessene.

Virksomheten bør i vurderingen ta særlig hensyn til:

  • Personopplysningenes art
  • Formålet med den foreslåtte behandlingen
  • Varigheten av den foreslåtte behandlingen
  • Situasjonen i den aktuelle mottakerstaten og i eventuelle andre stater personopplysningene vil ende opp til slutt

Offentlige organer kan ikke benytte dette unntaket når de utøver offentlig myndighet.

Krav om utlevering fra domstol eller et forvaltningsorgan i et tredjeland

En dom eller forvaltningsvedtak fra myndigheter i tredjeland kan i noen tilfeller pålegge utlevering av personopplysninger til tredjelandet. Slik utlevering skal i utgangspunktet bare skje dersom dommen eller vedtaket kan anerkjennes og håndheves etter internasjonal avtale, se personvernforordningen artikkel 48. En slik avtale kan for eksempel en mellomstatlig traktat om gjensidig juridisk bistand. I tilfeller hvor slik en avtale foreligger, bør en virksomhet som mottar krav om utlevering normalt avslå kravet og henvise myndigheten til avtalen og relevante norske myndigheter.