Virksomheten må ha identifisert om det finnes et overføringsgrunnlag før personopplysningene overføres til et tredjeland eller til en internasjonal organisasjon. Hvis det ikke finnes, er overføringen ulovlig. Det gjelder også hvis overføringsgrunnlaget ikke vil fungere i praksis.

Innad i EØS kan personopplysninger brukes, sendes og deles på tvers av landegrensene hvis man har et behandlingsgrunnlag. Det er fordi disse landene har de samme reglene for behandling av personopplysninger, nemlig personvernforordningen, også kjent som GDPR. Man kan derfor anta at personopplysningene vil være like godt beskyttet i alle land i EØS.

Andre land kan ha andre regler

Land utenfor EØS kan ha andre regler om hvordan personopplysninger skal behandles. Det samme gjelder internasjonale organisasjoner (for eksempel FN, OECD, eller WTO). Derfor må virksomheter ha et ytterligere grunnlag før de kan overføre personopplysninger ut av EØS. Overføringsgrunnlaget skal sikre at personopplysningene fortsatt vil være like godt vernet.

Det er viktig at virksomheten vurderer om overføringsgrunnlaget faktisk vil fungere slik det skal i forkant. Hvis overføringsgrunnlaget ikke sikrer god nok beskyttelse for personopplysningene i seg selv, må man i tillegg iverksette andre tiltak. Dette utdypes nærmere i kapittelet om tilleggskrav til overføringsgrunnlag (Schrems II).

EU-kommisjonen har fattet en beslutning om at noen land og områder har et tilstrekkelig beskyttelsesnivå for personopplysninger (en såkalt adekvansbeslutning). Overføringer til slike land og områder kan skje uten et særskilt overføringsgrunnlag, eller ytterligere vurderinger om beskyttelsesnivå. Det samme gjelder hvis et av unntakene i personvernforordningen artikkel 49 får anvendelse.

Reglene om overføring av personopplysninger ut av EØS kommer i tillegg til alle de andre forpliktelsene etter forordningen. Merk blant annet at virksomheten må føre protokoll over hvilke typer personopplysninger som overføres og til hvem.

Hvem har plikt til å følge reglene?

Både den behandlingsansvarlige og databehandleren har plikt til å oppfylle reglene i personvernforordningen kapittel V.

Husk at personvernreglene, og dermed reglene forklart i denne veilederen, også kan gjelde virksomheter utenfor EØS. Personvernrådet, også kjent som EDPB, har utarbeidet en veileder om det geografiske virkeområdet til personvernforordningen (edpb.europa.eu).

Hvis en behandlingsansvarlig skal engasjere en databehandler som overfører personopplysninger ut av EØS, må denne forsikre seg om at databehandleren oppfyller sine plikter. Den behandlingsansvarlige har rett og plikt til å gi databehandleren dokumenterte skriftlige instrukser for hvordan personopplysningene skal behandles. Databehandleren må omgående underrette den behandlingsansvarlige dersom databehandleren mener en instruks er i strid med personvernregelverket eller annen nasjonal rett.
Les mer om databehandleravtaler

Hva er en overføring?

Første steg for å oppfylle reglene om overføring av personopplysninger ut av EØS, er å vite om man faktisk overfører personopplysninger.

«Overføring» er ikke definert i personvernforordningen. Derfor har EDPB laget retningslinjer som utdyper hva som anses som en overføring (edpb.europa.eu). Ifølge retningslinjene må samtlige tre vilkår være oppfylt for at det skal være snakk om en overføring:

1. En behandlingsansvarlig eller databehandler er underlagt GDPR for en bestemt behandling av personopplysninger
2. Denne virksomheten (dataeksportøren) tilgjengeliggjør eller sender de aktuelle personopplysningene til en annen behandlingsansvarlig, felles behandlingsansvarlig eller databehandler (dataimportøren)
3. Dataimportøren er i et land utenfor EØS eller er en internasjonal organisasjon

Retningslinjene klargjør at det anses som en overføring selv om dataimportøren etablert i et tredjeland allerede er direkte underlagt personvernforordningen i henhold til artikkel 3(2). 

Retningslinjene forklarer også at det ikke regnes som en overføring når for eksempel ansatte i en norsk virksomhet reiser på forretningsreise utenfor EØS og har fjernadgang til virksomhetens personopplysninger. Grunnen er at den ansatte ikke er en annen behandlingsansvarlig, felles behandlingsansvarlig eller databehandler. Dersom det derimot er snakk om en ansatt i et datterselskap utenfor EØS i samme konsern som har fjerntilgang til den norske virksomhetens personopplysninger, vil fjerntilgangen regnes som en overføring. Uansett må behandlingen være i tråd med de øvrige kravene i personvernforordningen, for eksempel når det gjelder informasjonssikkerhet.

Personvernrådet anser for øvrig at innsamling av personopplysninger direkte fra personer i EØS, på personens eget initiativ, ikke utgjør en overføring (edpb.europa.eu).

Så lenge man er underlagt personvernforordningen, skal alle personopplysninger beskyttes. Da spiller det ingen rolle om opplysningene det er snakk om, tilhører personer som befinner seg i eller utenfor EØS, eller hvilken nasjonalitet personene har.

Hvis EU-kommisjonen har fattet en slik beslutning, kan man overføre personopplysninger til landet, området eller den internasjonale organisasjonen. Overføringsgrunnlag eller godkjenning fra Datatilsynet er da ikke nødvendig. Overføringen vil være sammenlignbar med overføringer mellom land innenfor EØS.

Følgende stater har per nå fått en beslutning om tilstrekkelig beskyttelsesnivå under personvernforordningen:

Følgende områder og sektorer har per nå fått en beslutning om tilstrekkelig beskyttelsesnivå under personvernforordningen:

Merk at enkelte adekvansbeslutninger kan ha unntak. Vi anbefaler derfor å kikke på informasjonen som EU-kommisjonen selv har publisert.
Se oversikten over beslutningene fra Europakommisjonen (ec.europa.eu).

USA har en adekvansbeslutning som innebærer at hvis en amerikansk virksomhet står på lista over godkjente virksomheter (dataprivacyframework.gov), kan det overføres personopplysninger til den som om det var en europeisk virksomhet.
Se også nyhetssaken vår fra juli 2023 om overføring til USA med tilhørende spørsmål og svar. 

Når det foreligger en beslutning om tilstrekkelig beskyttelsesnivå, trenger ikke virksomheten foreta egne vurderinger om beskyttelsesnivået. EU-kommisjonen har gjort dette på forhånd. Da trenger heller ikke virksomheten treffe ytterligere tiltak før de overfører personopplysningene.

Personvernrådet (EDPB) har utarbeidet en veileder om hvilke momenter EU-kommisjonen bør vektlegge i sin vurdering av beskyttelsesnivået (ec.europa.eu).

Adekvansbeslutningene nevnt ovenfor gjelder for overføringer omfattet av personvernforordningen. For overføringer omfattet av direktiv (EU) 2016/680 (LED) gjelder adekvansbeslutninger fattet i medhold av artikkel 36 i direktivet. Foreløpig er det bare fattet en slik adekvansbeslutning for Storbritannia.

Dette følger av personvernforordningen artikkel 46 nr. 2, og betyr i praksis at virksomheten må bruke et av overføringsgrunnlagene i kapittel V i personvernforordningen. Som vi vil komme tilbake til, kreves det noen ganger ytterligere tiltak også.

Virksomhetene er selv ansvarlige for å finne ut hvilket overføringsgrunnlag i personvernforordningen artikkel 46 som er best egnet for deres overføring. Listen under begynner med de mest praktiske og vanligste overføringsgrunnlagene:

1. Det mest brukte overføringsgrunnlaget er standard personvernbestemmelser (Standard Contractual Clauses eller SCCs) vedtatt av EU-kommisjonen (jf. personvernforordningen artikkel 46 nr. 2 bokstav c)).
2. Bindende virksomhetsregler - Binding Corporate Rules eller BCR (jf. personvernforordningen artikkel 46 nr. 2 bokstav b og artikkel 47), kan brukes av internasjonale konsern og grupper av virksomheter.
3. Bindende avtale mellom offentlige myndigheter eller organer innen og utenfor EØS (jf. artikkel 46 nr. 2 bokstav a).
   Personvernrådet har utgitt en veileder om hvilke nødvendige garantier en slik bindende avtale bør inneholde. Se EDPBs retningslinjer 2/2020 (edpb.europa.eu).
4. For offentlige myndigheter eller organer som overfører personopplysninger til sin gjenpart utenfor EØS, er det mulig å ta inn personvernbestemmelser i administrative ordninger (jf. personvernforordningen artikkel 46 nr. 3 bokstav b). 
   Disse bestemmelsene må gi den registrerte håndhevbare rettigheter og effektive rettsmidler. Ordningen må godkjennes av Datatilsynet, og Personvernrådet må gi sin tilslutning. Personvernrådet har kommet med en veileder om hvilke nødvendige garantier en administrativ ordning mellom offentlige myndigheter eller organer bør inneholde. Se EDPBs retningslinjer 2/2020 (edpb.europa.eu). Personvernrådet har også kommet med en relevant uttalelse angående en administrativ avtale for ESMA. Denne kan brukes som en mal.
5. Godkjente atferdsnormer (jf. personvernforordningen artikkel 46 nr. 2 bokstav e), sammen med bindende og håndhevbar avtale med dataimportør utenfor EØS.
   Personvernrådet har utgitt en veileder (edpb.europa.eu) som utdyper bruk av atferdsnormer som overføringsgrunnlag. Per i dag finnes det ingen godkjente atferdsnormer som kan brukes for overføring av personopplysninger til tredjeland.
6. En godkjent sertifiseringsmekanisme (jf. personvernforordningen artikkel 46 nr. 2 bokstav f), sammen med bindende og håndhevbar avtale med dataimportør utenfor EØS.
   Personvernrådet har vedtatt retningslinjer (edbp.europa.eu) som utdyper bruk av sertifisering som overføringsgrunnlag. Per i dag finnes det imidlertid ingen godkjente sertifiseringsmekanismer som kan brukes for overføring av personopplysninger til tredjeland.
7. Dersom de standardiserte personvernbestemmelsene vedtatt av EU-kommisjonen ikke skulle passe, er det også mulig å inngå avtalevilkår som virksomheten utformer selv (jf. personvernforordningen artikkel 46 nr. 3 bokstav a).
   I dette tilfellet må kontrakten godkjennes av Datatilsynet, og Personvernrådet må gi sin tilslutning. Hittil finnes ingen presedens, og godkjenningsprosessen vil være tidkrevende.
8. Datatilsynet kan vedta egne standard personvernbestemmelser som også må godkjennes av EU-kommisjonen (jf. personvernforordningen artikkel 46 nr. 2 bokstav d).
   Hittil finnes ingen presedens og godkjenningsprosessen vil være tidkrevende.

Meningen med disse overføringsmekanismene er å pålegge dataimportøren en rekke plikter for å sikre at europeeres personopplysninger blir like godt beskyttet etter overførselen til tredjeland som de blir i EØS.

Den som mottar opplysningene kan imidlertid være underlagt lokale lover som er i strid med, og går foran, forpliktelsene etter overføringsgrunnlaget, eller det kan finnes andre omstendigheter som senker beskyttelsesnivået. Derfor må dataeksportøren i tillegg undersøke om beskyttelsesnivået som vil oppnås i praksis, faktisk er tilsvarende som i EØS.

Med andre ord, når det er snakk om å overføre personopplysninger til et tredjeland som ikke er godkjent av EU-kommisjonen, er en overføringsmekanisme nødvendig, men gir ikke alltid tilstrekkelig beskyttelse. Les mer om ytterligere tiltak i kapittelet om tilleggskrav (Schrems II).

Det vanligste overføringsgrunnlaget når personopplysninger skal overføres til tredjeland, er EU-kommisjonens standard personvernbestemmelser (Standard Contractual Clauses eller SCCs) 2021/914 (ec.europa.eu).

Ved signering av standard personvernbestemmelser forplikter dataimportøren seg til å behandle opplysningene i samsvar med de kravene som gjelder innenfor EØS-området. Samtidig må dataeksportøren som er etablert i EØS, sjekke at personopplysningene som blir overført, faktisk får tilstrekkelig beskyttelsesnivå på lik linje som i EØS før overføringen og at rettssystemet i mottakerlandet gjør det mulig å følge de standard personvernbestemmelsene i praksis. Vi utdyper dette nærmere i kapittelet om tillegskrav (Schrems II).

Plikten til å sikre at beskyttelsesnivået er tilstrekkelig, er nå bakt inn som et eget kontraktsvilkår i de nye standard personvernbestemmelsene. De standard personvernbestemmelsene forutsetter altså at alle nødvendige vurderinger er foretatt før signering.

Videre skal dataimportøren opplyse eksportøren så fort som mulig om eventuelle hindringer for å oppfylle kravene. Et eksempel på en slik hindring er nasjonal lovgivning i tredjeland som kan gi de offentlige myndighetene i landet tilgang til personopplysninger utover det som anses proporsjonalt og nødvendig i et demokratisk samfunn (jf. fortalepunkt 22 i EU-kommisjonens beslutning 2021/914). I så fall skal dataeksportøren ikke overføre personopplysningene i henhold til avtalen. Ved tvil kan det være hensiktsmessig at dataeksportøren konsulterer med Datatilsynet. Datatilsynet har rett til, og kan ha plikt til, å utsette eller forby overføring (jf. personvernforordningen artikkel 58 nr. 2 bokstav j og den såkalte Schems II-dommen fra EU-domstolen, CJEU-311/18).

Dersom man bruker personvernbestemmelsene uendret, trenger man hverken søke om forhåndsgodkjenning eller varsle Datatilsynet.

Det er lov å inkorporere standard personvernbestemmelsene i en større avtale. Videre er det lov, uten varsel til Datatilsynet, å tilføye klausuler, så lenge disse ikke motsier, direkte eller indirekte, de standard personvernbestemmelsene som er vedtatt av EU-kommisjonen. I de tilfellene der eksportøren har konkludert med at ytterligere tiltak anses nødvendige for å opprettholde personopplysningenes beskyttelse på lik linje som i EØS, må disse bli tilføyd de standard personvernbestemmelsene.

De nye standard personvernbestemmelsene er bygget opp av fire moduler som omfatter følgende tilfeller:

1. overføring fra en behandlingsansvarlig etablert i EØS til en virksomhet i et tredjeland som selv opptrer som behandlingsansvarlig
2. overføring fra en behandlingsansvarlig etablert i EØS til en virksomhet i et tredjeland som opptrer som databehandler
3. overføring fra en databehandler etablert i EØS til en virksomhet i tredjeland som også er databehandler
4. overføring fra en databehandler etablert i EØS til en virksomhet i et tredjeland som opptrer som behandlingsansvarlig

Standard personvernbestemmelser der databehandlere er dataeksportør, er en nyvinning som ikke fantes tidligere. Figuren nedenfor illustrerer de ulike modulene:

Husk: Ved overføring fra behandlingsansvarlig til databehandlere er det et krav om databehandleravtale (jf. personvernforordningen artikkel 28). De nyeste standard personvernbestemmelsene fra EU-kommisjonen oppfyller kravene i personvernforordningen artikkel 28. Med andre ord er det ikke nødvendig å inngå en egen databehandleravtale i tillegg.

En godkjent BCR tillater multinasjonale selskaper å overføre personopplysninger internasjonalt innenfor samme konserngruppe til land som ikke gir et tilstrekkelig beskyttelsesnivå for personopplysninger. En BCR-søknad må sendes til Datatilsynet som kan vedta disse etter en godkjenningsprosess som også krever en uttalelse fra Personvernrådet.

Før overføringen starter, må dataeksportøren som er etablert i EØS gjøre en selvstendig vurdering av om personopplysningene som blir overført, faktisk får tilstrekkelig beskyttelsesnivå på lik linje som i EØS. Det må også vurderes om rettssystemet i mottakerlandet gjør det mulig å følge virksomhetsreglene i praksis. Vi utdyper dette senere.

Hvis beskyttelsesnivået vurderes til å være lavere enn i EØS, og det ikke finnes ytterligere tiltak som hever beskyttelsesnivået til samme nivå som i EØS, skal personopplysningene ikke overføres.

For at reglene kan godkjennes må de inneholde følgende (jf. personvernforordningen artikkel 47 nr. 2): 

• konsernets struktur og kontaktopplysninger
• omfang ("scope")
• et element som viser at reglene er bindende for alle i konsernet/gruppen
• anvendelse av de allmenne personvernprinsippene, for eksempel åpenhet, datakvalitet og sikkerhet
• de registrertes rettigheter
• ansvarlighet til enheten etablert i EØS
• hvordan informasjon om BCR gis til de registrerte
• personvernombud
• fremgangsmåte for å klage
• mekanismene for å sikre overholdelse av reglene, f.eks. personvernrevisjoner
• rapportering og registrering av endring i reglene til selskapene og til tilsynsmyndigheten
• samarbeidet med tilsynsmyndigheten
• rapportering til tilsynsmyndigheten av regler i tredjestat som sannsynligvis vil ha betydelig negativ virkning på garantiene i BCR-en
• opplæring

Fordeler ved BCR

Bindende virksomhetsregler er ment å sikre at alle dataoverføringer innenfor en konserngruppe, er trygge. Andre fordeler ved bruk av bindende virksomhetsreglene er at:

1. det er lettere å demonstrere etterlevelse av personvernforordningen og forpliktelsene i kapittel V
2. det fører til mindre papirarbeid – det er ikke nødvendig med nye standard personvernbestemmelser for hver overføring
3. BCR fungerer som interne retningslinjer – alle i virksomheten forholder seg til samme regler. BCR vil gi klare og ikke minst bindende instrukser.
4. det kan være et konkurransefortrinn – BCR offentliggjøres og viser omverden at virksomheten tar personvern på alvor

Datatilsynsmyndighetene i EØS har generelt lang saksbehandlingstid for godkjenning av BCR. Dersom dere vurderer å ta i bruk bindende virksomhetsregler, må dere regne med at det kan ta et par år før dere faktisk kan sette i gang overføring av personopplysninger basert på BCR. I tillegg er ikke alle selskapsformer like egnet for dette.

Vi anbefaler å ta kontakt med Datatilsynet på for å avklare om bindende virksomhetsregler passer for virksomheten.

Om godkjenningsprosessen

Her følger en kort oversikt over saksbehandlingsprosessen slik den er beskrevet i "Working Document on the approval procedure of the Binding Corporate Rules for controllers and processors", WP263rev.01 (ec.europa.eu):

1. Selskapet utpeker den ledende tilsynsmyndigheten, "Lead Supervisory Authority". Dersom dere har hovedkvarter i Norge er det sannsynlig at Datatilsynet i Norge er ledende tilsynsmyndighet. Den ledende tilsynsmyndighet er den som håndterer samarbeidsprosedyren med de andre europeiske datatilsynsmyndighetene etter personvernforordningen.
2. Selskapet utarbeider de bindende virksomhetsreglene. Det anbefales på det sterkeste å utarbeide dokumentene på engelsk. BCR må oppfylle kravene fastsatt i arbeidsdokumentene fra Personvernrådet. Den fullstendige søknaden som sendes inn til Datatilsynet må inneholde:
   • Utkast til BCR, med eventuelle annekser
   • Utfylt søknadskjema og BCR-kriterier i 1/2022 (for behandlingsansvarlige) eller utfylt søknadskjema i WP265 og BCR-kriterier i WP257 (for databehandler). Vi anbefaler å fylle inn tabellen med henvisninger til både BCR-teksten og søknadskjema.
   • Liste med de enheter som vil bli bundet av BCR og deres lokasjoner ("List of entities bound"). Dersom virksomheten har enheter i Tyskland, må man spesifisere i hvilke(n) delstat(er) virksomheten er lokalisert.
   • Bevis på at reglene er bindende for alle selskapene i konsernet.
3. Videre kan det være aktuelt å sende ved dokumentasjon som viser hvordan forpliktelsene i BCR vil bli etterlevd i praksis. Eksempler:
   • Personvernpolicies
   • Instrukser for hvordan ansatte må håndtere personopplysninger (kan være en del av konsernets generelle "Code of conduct")
   • Rutiner for internkontroll
   • Opplæringsplan og materiell for opplæring av de ansatte
   • Beskrivelse av klageprosedyren
   • Sikkerhetsrutiner
   • Beskrivelse av personvernombudets oppgaver og støtte
4. Dokumentene sendes til Datatilsynet for vurdering. Datatilsynet vil gi tilbakemelding dersom det er nødvendig med eventuelle endringer.
5. Etter at Datatilsynet har vurdert søknaden og funnet at dokumentene oppfyller kravene i personvernforordningen artikkel 47, sendes søknaden med alle vedlegg til en annen datatilsynsmyndighet (co-reviewer) i EØS som foretar en sjekk for å sikre kvaliteten til BCR-en. Dersom det er flere enn 14 berørte tilsynsmyndigheter (det vil si at konsernet eller gruppen har etablering i flere enn 14 EØS-land), må to tilsynsmyndigheter foreta en såkalt co-review.
6. BCR-dokumentene blir delt med alle datatilsynsmyndighetene i EØS, som får en mulighet til å kommentere skriftlig. BCR-søknaden vil så diskuteres i kontekst av Personvernrådets ekspertundergruppe for internasjonale overføringer. Datatilsynet formidler nødvendige og foreslåtte endringer til virksomheten.
7. Når tilsynsmyndighetene har blitt enige om at BCR-en oppfyller kravene, sender Datatilsynet BCR-søknaden til Personvernrådet for godkjenning. Personvernrådet skal da gi en uttalelse innen åtte uker (med mulighet for forlengelse på seks uker).
8. Når Personvernrådet har gitt en positiv uttalelse, skal Datatilsynet gi den endelige godkjenningen.
9. Virksomheten må oversette BCR-en til alle relevante språk og gjøre den kjent for de den gjelder (ansatte, kunder, forretningsrelasjoner og så videre).
10. Virksomheten har plikt til å oppdatere BCR i henhold til det til enhver tid gjeldende regelverket i EØS og underrette Datatilsynet om eventuelle mindre endringer én gang i året. Det er ønskelig å sende endret BCR med spor endringer («track changes») i dokumentet. Større materielle endringer må meldes umiddelbart.
11. Om kravene i 1/2022 og WP257 blir endret, må virksomhet med godkjent BCR fylle den ut på nytt i forbindelse med årlig oppdatering av dokumentene for å vise at alle gjeldende krav er oppfylt.

På Personvernrådet (EDPB) sine nettsider finnes en oversikt over godkjente BCR etter personvernforordningen (edpb.europa.eu).

Hva med bindende virksomhetsregler (BCR) som ble godkjent før 25. mai 2018?

BCR-er som er godkjent i medhold av gammelt regelverk, skal fortsette å gjelde fram til de ved behov endres, erstattes eller oppheves. Dette følger av personvernforordningen artikkel 46 nr. 5. For at virksomheter som har en godkjent BCR skal kunne fortsette å bruke den som overføringsgrunnlag, må de imidlertid:

• oppdatere BCR-dokumentene i henhold til personvernforordningen. Bruk 1/2022 (for behandlingsansvarlige) og WP257 rev.01 (for databehandlere) for å demonstrere at alle kravene er oppfylt
• varsle Datatilsynet om endringene som er gjort. Dette kan gjøres i forbindelse med den årlige rapporteringsplikten (jf. personvernforordningen artikkel 47 nr. 2 bokstav k).

Her er en liste over virksomheter som fikk godkjent BCR før 24. mai 2018 etter gammelt regelverk (ec.europa.eu).

Ta gjerne kontakt med Datatilsynet på  ved eventuelle spørsmål.

I den såkalte Schrems II-dommen (curia.europa.eu) understreket EU-domstolen at man alltid må undersøke om beskyttelsesnivået i praksis vil bli undergravd av forhold i tredjelandet, for eksempel overvåkingslover som går lenger enn det som er nødvendig og proporsjonalt. I så fall må man iverksette ytterligere tiltak.

Det er viktig å skille mellom to typetilfeller: Noen ganger skjer overføringen på virksomhetens vegne, for eksempel fordi det sendes personopplysninger til en mottaker i tredjeland, lagrer personopplysninger i tredjeland eller bruker support-tjenester fra tredjeland. Andre ganger er det databehandleren som bestemmer at personopplysninger skal overføres, i strid med virksomhetens ønsker. Reglene kan slå ulikt ut i disse to tilfellene, og derfor kommer vi til å omtale sistnevnte tilfelle senere i veiledningen.

Dersom overføringen bygger på en adekvansbeslutning eller et av unntakene i artikkel 49 (utdypet i siste kapittel i veiledningen), kan du se bort fra tilleggskravene etter Schrems II-dommen.

Introduksjon: Schrems II-dommen

Bakgrunnen for Schrems II-dommen var at en person klaget på at Facebook overførte personopplysningene hans til USA. EU-domstolen tok stilling til den daværende adekvansbeslutningen for USA, Privacy Shield, og kom frem til at denne var ugyldig. Motsatt kom domstolen til at EU-kommisjonens standard personvernbestemmelser fremdeles er et gyldig overføringsrunnlag – men at standard personvernbestemmelser ikke alltid er tilstrekkelig i seg selv.

Formålet med standard personvernbestemmelser er at dataimportøren skal garantere et tilstrekkelig beskyttelsesnivå etter at personopplysningene har blitt overført ut av EØS. Man må imidlertid vurdere hvorvidt dette beskyttelsesnivået vil opprettholdes i praksis før data overføres. Standard personvernbestemmelser er nemlig ikke bindende for tredjelandets myndigheter, og tredjelandets lover kan gå foran standard personvernbestemmelser. Et særlig praktisk typetilfelle er der tredjelandets lovgivning tillater at myndighetene kan skaffe seg adgang til data i større grad enn det som er proporsjonalt og nødvendig.

Derfor uttalte domstolen at i noen tilfeller må standard personvernbestemmelser suppleres av ytterligere garantier og tiltak. Dersom det er nødvendig med ytterligere tiltak, men slike tiltak ikke iverksettes, er overføringen ulovlig og må opphøre. Datatilsynet og de andre datatilsynsmyndighetene i EØS legger til grunn at det samme også gjelder ved bruk av andre overføringsgrunnlag.

Ikke alle overvåkingslover i tredjeland er problematiske. Noen ganger kan man gjøre unntak fra personopplysningsvernet hvis det er proporsjonalt og strengt nødvendig. Det må fremgå av unntakslovene når, på hvilke vilkår og i hvilket omfang de gjelder. Unntakslovene må også inneholde garantier som ivaretar de berørtes data mot misbruk. Det er viktig at de registrertes rettigheter og deres adgang til effektive rettsmidler ved brudd på personvernet er ivaretatt i praksis.

Når det gjelder USA spesifikt, har amerikanske etterretningslover blitt oppdatert siden Schrems II-dommen, og USA har siden mottatt en ny adekvansbeslutning. Du kan lese mer om dette i del 2 av veiledningen "Områder med tilstrekkelig beskyttelsesnivå".

EU-domstolens dommer er ikke direkte bindende for Norge, Island og Liechtenstein, men vi må tolke personvernforordningen likt som alle EU-landene, og derfor har EU-domstolens avgjørelser i praksis mye å si også for oss. EU-domstolen henviser flere ganger til EU-charteret for grunnleggende rettigheter. Heller ikke dette er bindende for Norge, men personvernforordningen leses ofte i lys av Charteret, og igjen må vi tolke personvernforordningen likt som EU-landene.

Last ned Schrems II-dommen i (pdf)

De ulike stegene i vurderingen

Når du skal vurdere om det er lov å overføre personopplysninger ut av EØS, kan du ta utgangspunkt i følgende sjekkliste:

1. Kjenn overføringene
   Det er viktig å ha full oversikt over alle prosesser, systemer, tjenester, løsninger, partnere, leverandører, databehandlere og databehandleres underleverandører som overfører personopplysninger ut av EØS. Fjerntilgang, for eksempel for teknisk støtte, regnes som nevnt også som en overføring. Behandlingsansvarlige og databehandlere har som hovedregel plikt til å føre protokoll over behandlingsaktiviteter, og her skal alle overføringer ut av EØS være beskrevet. Man har også plikt til å informere de registrerte om slike overføringer.
   
   Husk at vanlige løsninger som nettsidetillegg, markedsføringstjenester og skytjenester kan innebære overføring av personopplysninger ut av EØS. Husk også å ta med videreoverføringer ("onward transfers") i oversikten din, for eksempel hvis en databehandler i et tredjeland bruker underleverandører i andre tredjeland.
2. Identifiser overføringsgrunnlag
   Før overføringen starter, må man også ha identifisert et passende overføringsgrunnlag. Alternativt kan man i enkelte tilfeller bruke unntaksreglene. I så fall trenger man ikke følge steg 3 og 4.
3. Vurder om overføringsgrunnlaget vil være effektivt i lys av alle omstendighetene ved overføringen
   I dette steget må man undersøke lover og praksis i tredjelandet. Vil disse lovene og praksisene påvirke hvordan dataeksportør eller dataimportør behandler personopplysninger under overføringsgrunnlaget? Hvis ja, vil disse lovene og praksisene føre til et lavere beskyttelsesnivå i praksis enn i EØS? Husk å vurdere hvordan lovene og praksisene påvirker eventuelle databehandlere, underleverandører og infrastruktur som brukes i behandlingen av personopplysninger.
   
   Som nevnt er ikke alle lover og praksiser som gir lokale myndigheter adgang til data, problematiske. Det er først når lokale lover og praksis går lenger enn det som er nødvendig og proporsjonalt, at beskyttelsesnivået undergraves. Vi utdyper nedenfor.
4. Iverksett ytterligere tiltak
   Dersom vurderingen under steg 3 viste at beskyttelsesnivået i praksis vil være lavere enn i EØS, må du iverksette ytterligere tiltak som veier opp for dette og som sikrer et tilsvarende beskyttelsesnivå i praksis. Dersom det ikke finnes slike ytterligere tiltak eller du ikke er i stand til å iverksette slik tiltak, kan du ikke overføre personopplysningene. Vi utdyper nedenfor.
5. Re-evaluer med jevne mellomrom
   Lovgivning i tredjeland kan endre seg, eller det kan være at ytterligere tiltak som tidligere var effektive, ikke lenger er det. Det kan også være at dataimportøren har brutt eller ikke lenger kan følge forpliktelsene sine. Dersom man har basert overføringen på en unntaksregel, kan det være at unntaksregelen ikke lenger passer eller har blitt brukt i større grad enn opprinnelig forutsett. Det er viktig å være i stand til å fange opp slike endringer og å evaluere ved jevne mellomrom at overføringen fremdeles er lovlig.

Særlig om steg 3 – Vurdering av beskyttelsesnivået

Når man skal vurdere beskyttelsesnivået i ett eller flere tredjeland, må man se på alle involverte aktører – behandlingsansvarlige, databehandlere og databehandleres underleverandører – samt infrastrukturen som benyttes. Man må se på hvilke lover og hvilken praksis som påvirker den spesifikke overføringen, i lys av alle overføringens omstendigheter. Hvilke lover og praksis som gjelder kan komme an på

• formålet med behandlingen og overføringen (for eksempel formål knyttet til markedsføring, HR, lagring, teknisk støtte, kliniske studier)
• typen aktører involvert (offentlige/private, behandlingsansvarlige/databehandlere)
• den aktuelle sektoren (for eksempel adtech, telekom, finans, journalistikk, helse)
• kategorien personopplysninger (for eksempel kan tredjelandet ha særlover knyttet til mindreårige)
• hvorvidt dataene lagres i tredjeland eller hvorvidt det vil være fjerntilgang til data lagret i EØS
• dataformat (klartekst, pseudonymisert eller kryptert)
• muligheten for videreoverføring til nye tredjeland

Lover og praksis kan utgjøre et inngrep i personvernet, uavhengig av om dataene er sensitive eller hvorvidt personene det gjelder faktisk har blitt negativt berørt av inngrepet – men ikke alle inngrep utgjør en krenkelse. Det er først når lovene og praksisene går lenger enn nødvendig og proporsjonalt at de utgjør en krenkelse. Man trenger bare iverksette ytterligere tiltak der det foreligger en krenkelse.

Når man skal vurdere om lover og praksis utgjør en krenkelse av personvernet, kan man blant annet se hen til momentene som

• Den europeiske menneskerettighetsdomstolen (EMD) vektlegger i praksis knyttet til den europeiske menneskerettighetskonvensjonen (EMK) artikkel 8. Se for eksempel faktaark om dommer relatert til masseovervåking (PDF, echr.coe.int). 
• EU-domstolen trekker frem i Schrems II-dommen (PDF, datatilsynet.no) (se også oppsummeringen ovenfor)
• fremgår av personvernforordningen artikkel 45(2) (lovdata.no)
• Personvernrådet (EDPB) trekker frem i sine anbefalinger om europeiske essensielle garantier for overvåkingstiltak (edpb.europa.eu) 

Som nevnt over er EU-charteret for grunnleggende rettigheter ikke bindende for Norge. Charteret kan imidlertid være relevant der personvernforordningen blir tolket i lys av det. EMK er bindende for Norge og gjelder som norsk lov gjennom menneskerettighetsloven.

Noen ganger kan det være motstrid mellom lov og praksis. Dersom loven på papiret ikke utgjør en krenkelse av personvernet, men den praktiseres på en måte som utgjør en krenkelse, må man iverksette ytterligere tiltak. Det kan også være tilfeller der tredjelandets overvåkingslover ikke er offentlig tilgjengelige, eller der tredjelandet ikke har lovgivning om overvåking. I disse tilfellene er det viktig å sjekke hva situasjonen er i praksis og om praksisen utgjør en krenkelse.

Motsatt kan det være tilfeller der loven er problematisk, men der det ikke er noen grunn til å tro at den problematiske lovgivningen kommer til anvendelse for de overførte personopplysningene i praksis. I så fall trenger du ikke å iverksette ytterligere tiltak. Du må kunne dokumentere detaljert gjennom vurderingen din at loven ikke blir tolket eller anvendt i praksis slik at den dekker overføringen, også tatt i betraktning av erfaringene til liknende aktører i samme bransje og/eller relatert til tilsvarende overføringer, samt annen aktuell informasjon.

Her kan man også legge vekt på dataimportørens dokumenterte praktiske erfaringer med tidligere utleveringsbegjæringer fra tredjelands myndigheter. Dette gjelder imidlertid bare dersom tredjelandets lovgivning ikke forbyr dataimportøren å gi informasjon om tidligere utleveringsbegjæringer. Det er viktig å merke seg at det faktum at en dataimportør ikke har mottatt utleveringsbegjæringer tidligere, ikke i seg selv er tilstrekkelig til å fortsette uten å iverksette ytterligere tiltak. Dette kan imidlertid inngå i en helhetsvurdering dersom annen informasjon om praksis i tredjelandet underbygger og ikke motsier dataimportørens dokumenterte praktiske erfaringer.

Informasjonen vurderingene bygger på bør være

• relevant – den må være til hjelp i den konkrete situasjonen og ikke være for generell eller abstrakt
• objektiv – den må underbygges av empirisk kunnskap, ikke antakelser om potensielle hendelser
• pålitelig – man må kritisk vurdere kilden for informasjonen og selve informasjonen separat
• verifiserbar – det må være mulig for tilsynsmyndighetene eller domstolene å ettergå informasjonen
• tilgjengelig – det må være mulig å gjenskaffe informasjonen slik at den kan deles med tilsynsmyndighetene, domstolene og de registrerte

EDPBs anbefalinger om ytterligere tiltak inneholder mer informasjon om vurderingen av beskyttelsesnivået, samt mulige informasjonskilder (edpb.europa.eu). 

Særlig om steg 4 – Eksempler på ytterligere tiltak

Dersom du kommer frem til at lovene og praksis i tredjelandet går lenger enn nødvendig og ikke er proporsjonale, må du iverksette ytterligere tiltak for å sikre at beskyttelsesnivået for personopplysninger blir tilsvarende som i EØS. Med andre ord må krenkelser av personvernet motvirkes. Tiltakene kan være tekniske, juridiske eller organisatoriske, og ofte bør ulike typer tiltak kombineres.

I utgangspunktet bør de ytterligere tiltakene inkludere tekniske tiltak. Grunnen til at man trenger ytterligere tiltak er jo nettopp fordi lokale lover i tredjelandet går foran overføringsgrunnlaget, som ofte er en juridisk bindende avtale. Da kan det som regel være vanskelig å se for seg ytterligere juridiske eller organisatoriske tiltak som alene kan sikre beskyttelsesnivået. Hva som er effektivt i praksis, må imidlertid vurderes konkret i hver enkelt sak.

Når det gjelder tekniske tiltak, står særlig sterk kryptering og nøkkelhåndtering sentralt. Kryptering kan typisk motvirke at tredjelands myndigheter får adgang til data under transport og lagring så lenge krypteringsnøkkelen ikke er eller vil bli tilgjengelig for myndighetene eller aktørene underlagt tredjelands lovgivning.

Vær oppmerksom på at det kan være mulig for skytjenesteleverandører å hente ut kryptert data ved hjelp av særskilte fremgangsmåter. Dette er relevant dersom lovgivning eller praksis i det aktuelle tredjelandet tilsier at myndighetene har adgang til å hente ut data gjennom slike fremgangsmåter i praksis. For mer informasjon, se NSMs nettsider. 

Dersom derimot en dataimportør i tredjeland forvalter krypteringsnøkkelen på vegne av behandlingsansvarlig, vil ikke kryptering være effektivt mot utleveringsbegjæringer fra lokale myndigheter. Vi vil også minne om at krypteringsalgoritmen må være state-of-the-art, og at det er en plikt for den behandlingsansvarlige for å rutinemessig kvalitetssikre dette sikkerhetstiltaket.

Et annet veldig praktisk teknisk tiltak er pseudonymisering. Dette forutsetter at koblingsnøkkelen ikke er eller vil bli tilgjengelig for myndighetene eller aktørene underlagt tredjelands lovgivning. Husk å ta i betraktning informasjon som man kan forvente at tredjelandets myndigheter har og kan bruke. Pseudonymisering er særlig praktisk for forskningsmiljøer.

Juridiske tiltak kan for eksempel innebære en kontraktsmessig forpliktelse til å iverksette bestemte tekniske tiltak og tiltak når det gjelder nøkkelhåndtering. Tilsvarende kan man forby at dataimportøren forsøker å reidentifisere personer i pseudonymiserte datasett.

Avtalen kan også pålegge dataimportøren å hjelpe dataeksportøren vurdere og følge med på beskyttelsesnivået i tredjelandet, eller å kommunisere hvilke tiltak dataimportøren har blitt og blir pålagt av tredjelands overvåkingsmyndigheter hvis mulig. Et annet eksempel kan være at dataimportøren blir pålagt å utfordre alle utleveringsbegjæringer de mottar i fremtiden, eller at de blir pålagt å hjelpe de registrerte ivareta deres rettigheter i tredjelandet.

Organisatoriske tiltak sikter til interne rutiner, fremgangsmåter og internkontroll. For eksempel bør virksomheten være organisert slik at den er godt rustet til å håndtere utleveringsbegjæringer, den bør ha gode rapporteringslinjer. Det er viktig å dokumentere godt ved eventuelle utleveringsbegjæringer. God opplæring og streng tilgangsstyring er helt sentrale, organisatoriske tiltak.

EDPBs anbefalinger om ytterligere tiltak (edpb.europa.eu), anneks 2, inneholder flere eksempler på ytterligere tiltak samt hva som skal til for at tiltakene skal være effektive. Dette er bare eksempler – listen er ikke uttømmende.

Når du skal vurdere hvilke ytterligere tiltak som er mest effektive, bør du for eksempel se på

• dataformat (klartekst, pseudonymisert eller kryptert)
• dataenes natur (for eksempel nyter særlige kategorier personopplysninger høyere beskyttelse etter personvernforordningen)
• lengden og kompleksiteten av personopplysningsbehandlingsforløpet, antallet aktører involvert og forholdet mellom dem (involverer for eksempel overføringen flere behandlingsansvarlige eller både behandlingsansvarlige og databehandlere, og hvem av dem foretar overføringen?)
• gjennom hvilke teknikker eller basert på hvilke parametere tredjelandets problematiske lovgivning anvendes
• muligheten for at dataene blir overført videre innenfor det samme tredjelandet eller til et annet tredjeland (for eksempel gjennom databehandlers underleverandør)

Dersom man iverksetter ytterligere tiltak som sikrer et tilstrekkelig beskyttelsesnivå, kan overføringen av personopplysninger begynne. Dersom ytterligere tiltak er påkrevd, men man ikke iverksetter eller lykkes med å identifisere effektive tiltak, kan overføringen ikke finne sted. Hvis man tidligere har overført data lovlig, men endringer i omstendighetene gjør at overføringen nå er ulovlig, må overføringene opphøre, og dataene allerede overført skal tilbakeføres eller slettes.

Vurderinger og dokumentasjon

Reglene om overføring av personopplysninger ut av EØS er kompliserte. Samtidig har EU-domstolen sagt at det er virksomhetene selv som må foreta vurderingene. Dette følger også av ansvarlighetsprinsippet i personvernforordningen. Det betyr at Datatilsynet ikke kan gå inn og "forhåndsgodkjenne" vurderingene til norske virksomheter, selv om mange ønsker dette.

I stedet er det viktig å foreta vurderingene samvittighetsfullt etter beste evne og å dokumentere dem godt. I en eventuell tilsynssak vil Datatilsynet være særlig opptatt av at vurderingene er dokumentert.

Mer informasjon

EDPBs anbefalinger om ytterligere tiltak inneholder mer utdypende informasjon om dette temaet (edpb.europa.eu). Datatilsynet vil tolke loven likt som EDPB i en eventuell tilsynssak. 

Se oversikt over adekvate tredjeland i kapittel 2 om områder med tilstrekkelig beskyttelsesnivå.

Likevel kan personopplysninger ende opp i ikke-adekvate tredjeland dersom en skyleverandør er underlagt tredjelands lovgivning. Derfor er det en del ting dere må tenke på i denne situasjonen.

Når dere skal behandle personopplysninger i EØS eller et adekvat tredjeland, for eksempel ved å bruke en skytjeneste med servere i EØS, er utgangspunktet at dere ikke trenger å forholde dere til reglene om overføring av personopplysninger til tredjeland. Dette utgangspunktet har imidlertid flere unntak, og derfor er det nødvendig med ytterligere vurderinger. Nedenfor har vi delt opp vurderingene i fire steg.

Husk også på at, i tillegg til vurderinger i forbindelse med en mulig overføring, er det en rekke andre relevante plikter i personvernforordningen som uansett gjelder, slik som plikten til å sørge for informasjonssikkerhet.

Steg 1: Kan overføringer likevel skje?

Det er viktig å sjekke om personopplysninger kan bli overført selv om dataene skal behandles i EØS eller et adekvat tredjeland. Her er noen eksempler på situasjoner der det er tilfellet:

• Skytjenesten spesifiserer at enkelte typer support kan ytes av supportpersonell i et ikke-adekvat tredjeland, for eksempel til visse tider av døgnet eller i tilfelle krisegjenoppretting. Husk at tilgang til personopplysninger, inkludert fjernaksess, kan være en form for overføring.
• Tjenesteavtalen tar forbehold om at personopplysninger kan utleveres til myndighetene i et ikke-adekvat tredjeland.
• Skytjenesten er underlagt juridiske forpliktelser i et ikke-adekvat tredjeland som går foran avtalen og som kan innebære utlevering av personopplysninger.

Hvis overføringer kan skje, gå videre til neste steg i vurderingen.

Steg 2: Hvem er behandlingsansvarlig for den mulige overføringen?

Hvis overføringer kan skje selv om dataene skal behandles i EØS, må dere vurdere hvem som er behandlingsansvarlig for en eventuell overføring. Den behandlingsansvarlige er den som bestemmer formålet og midlene med en overføring. Typisk er det den som har interesse i overføringen som er behandlingsansvarlig.

For eksempel, dersom opplysningene kan overføres for å yte supporttjenester til dere, er det nærliggende at dere er behandlingsansvarlig for en slik overføring. Når dere er behandlingsansvarlig for eventuelle overføringer, må dere forholde dere til reglene beskrevet foran i denne veilederen for å sikre at eventuelle overføringer skjer lovlig.

Motsatt, dersom en overføring skjer for at en tjenesteleverandør skal oppfylle sine juridiske forpliktelser, er det sannsynligvis tjenesteleverandøren som er behandlingsansvarlig for overføringen. Dere har likevel et ansvar i denne situasjonen siden det er dere som beslutter å ta leverandøren i bruk og dermed gir den tilgang til de aktuelle personopplysningene. I slike tilfeller er det nødvendig å gå videre til neste steg.

Steg 3: Forpliktelser når tjenesteleverandøren potensielt kan overføre personopplysningene

Dere kan bare velge databehandlere som oppstiller tilstrekkelige garantier for at behandling av personopplysninger vil skje i tråd med personvernforordningen, herunder at personopplysninger kun behandles i tråd med deres instrukser og ikke overføres ulovlig av noen i leverandørkjeden. Dette følger av personvernforordningen artikkel 28(1).

Denne bestemmelsen krever at man bare benytter databehandlere som «gir tilstrekkelige garantier». I vurderingen av når en databehandler kan sies å ha gitt tilstrekkelige garantier, altså hvor mye garantier de må legge frem før det er godt nok, er det naturlig å se hen behandlingens art og omfang og omstendighetene for øvrig. Det er grunnen til at artikkel 28(1) ofte omtales som en form for risikovurdering.

Dette må imidlertid ikke trekkes for langt. Bestemmelsens ordlyd gir på ingen måte dekning for å si at man kan velge å bruke databehandlere som sier at de kan bryte databehandleravtalen, deres instrukser eller personvernforordningen, og en slik forståelse ville for øvrig gått imot bestemmelsens formål. Formålet er nettopp å sikre at man bare velger leverandører som man kan stole på og som forplikter seg til å følge forordningen fullt ut.

Dersom forbehold som innebærer brudd på personvernforordningen er tatt, eller det på annet grunnlag er grunn til å tro at databehandleren kan bryte reglene, må man selvsagt iverksette tiltak for å motvirke at dette skjer, hvis ikke kan ikke databehandleren benyttes. Man kan altså ikke risikovurdere seg bort fra eget ansvar.

Ofte tar tjenesteavtaler vage og vide forbehold om at leverandøren kan overføre personopplysninger til ikke-adekvate tredjeland for oppfylle dens juridiske forpliktelser. Dette er et typisk holdepunkt for at leverandøren kan overføre personopplysninger i strid med forordningen og at tiltak for å forhindre brudd derfor må iverksettes.

Når det gjelder hva slags tiltak man kan iverksette og hva som er tilstrekkelig, er det naturlig å se hen til tiltakene beskrevet i forrige delkapittel, altså tiltak man kan iverksette for å sikre lovlig overføring av personopplysninger. Kryptering eller pseudonymisering med god nøkkelhåndtering kan være særlig praktisk.

Litt forenklet, la oss si at dere lagrer personopplysninger om navngitte personer i en skytjeneste i EØS. Skyleverandøren er imidlertid underlagt problematisk lovgivning i et ikke-adekvat tredjeland som innebærer at myndighetene kan be om å få utlevert opplysninger knyttet til gitte identifikatorer. Myndighetene i tredjelandet ber nå om å få utlevert opplysninger knyttet navnet «Navn Navnesen». Dersom dataene er korrekt pseudonymiserte og bare dere har adgang til koblingsnøkkelen, vil ikke skyleverandøren finne opplysninger knyttet til «Navn Navnesen». Da vil det heller ikke skje en potensielt ulovlig utlevering av personopplysninger. Forutsetningen er det ikke på annen måte, for eksempel ved sammenstilling av personopplysningene, er mulig å avdekke hvilke personopplysninger som gjelder «Navn Navnesen». I dette tilfellet innebærer altså pseudonymiseringen at skytjenesten kan benyttes lovlig selv om den er underlagt problematisk tredjelandslovgivning.

Steg 4: Hva er avtalt?

Det er viktig å vurdere hva som er avtalt om databehandleroppdraget.

I noen tilfeller kan det være avtalt at en tjenesteleverandør er behandlingsansvarlig for enkelte behandlinger og databehandler for andre behandlinger. Dersom det er avtalt at en tjenesteleverandør skal være behandlingsansvarlig for en behandling som kan medføre overføring, er tommelfingerregelen at det er den nye behandlingsansvarlige som sitter med ansvaret.

Husk imidlertid at dere må ha et gyldig rettslig grunnlag i personvernforordningen artikkel 6 (og eventuelt artikkel 9 ved særlige kategorier personopplysninger) for å utlevere personopplysninger til tjenesteleverandøren som en ny behandlingsansvarlig. Utleveringen må dessuten være forenlig med formålet som personopplysningene ble samlet inn for. Husk også på informasjonsplikten.

Dersom dere ikke lovlig kan utlevere personopplysninger til tjenesteleverandøren som en ny behandlingsansvarlig, må dere iverksette tiltak for å påse at tjenesteleverandøren bare behandler personopplysninger etter deres instruksjoner. Se steg 3.

Europeiske eksempler og veiledning

Overføringsgrunnlagene i personvernforordningen kapittel V skal sikre at beskyttelsesnivået for personopplysninger i EØS ikke undergraves. Det er derfor viktig at unntak bare gjøres i særlige situasjoner. Et unntak skal ikke benyttes som hovedregel, og unntakene må tolkes restriktivt.

Unntakene garanterer ikke for tilsvarende beskyttelse av personopplysningene utenfor EØS. Derfor vil bruk av unntak lede til en forhøyet risiko for de registrertes rettigheter. Dataeksportøren bør være seg dette bevisst.

Hvilke unntak finnes?

Personvernrådet har utarbeidet en veileder om unntakene i personvernforordningen artikkel 49 (edpb.europa.eu). Veilederen går nøye gjennom hva som kreves for å benytte hvert unntak.

Unntakene ved uttrykkelig og informert samtykke, og for oppfyllelse av avtale, kan ikke benyttes av offentlige organer når de utøver offentlig myndighet. Unntakene for oppfyllelse av avtale og rettskrav kan bare brukes leilighetsvis.

Det kan være forvirrende at unntakene er utformet nokså likt som behandlingsgrunnlagene i personvernforordningen artikkel 6. Reglene gjelder imidlertid to forskjellige situasjoner. Reglene om overføringer ut av EØS skal beskytte personopplysninger mot regler og praksis i andre land som kan gi et dårligere beskyttelsesnivå. Reglene om behandlingsgrunnlag skal sikre at virksomheten selv behandler personopplysninger på lovlig vis.

Reglene gjelder også to ulike steg: Man må alltid ha et behandlingsgrunnlag før man foretar noen behandling av personopplysninger overhodet. Hvis man deretter skal overføre personopplysningene ut av EØS, må man som hovedregel identifisere et overføringsgrunnlag for dette. Man bør bare benytte et unntak etter personvernforordningen artikkel 49 hvis ikke noe effektivt overføringsgrunnlag kan identifiseres.

Personvernforordningen åpner for at nasjonal lovgivning eksplisitt kan begrense muligheten for overføringer av spesifikke kategorier personopplysninger til et tredjeland eller internasjonal organisasjon. Det fins foreløpig ikke noen slik lovgivning i Norge.

Uttrykkelig og informert samtykke

Personopplysninger kan som et unntak overføres ut av EØS hvis den registrerte uttrykkelig har samtykket til den foreslåtte overføringen, etter å ha blitt informert om de mulige risikoene overføringen kan innebære når det ikke foreligger adekvansbeslutning eller overføringsgrunnlag.

Dette er et unntak fra hovedregelen om å inneha et overføringsgrunnlag. Det er viktig at unntak bare gjøres i særlige situasjoner. Et unntak skal ikke benyttes som hovedregel, og unntakene må tolkes restriktivt.

Personvernforordningen definerer begrepet samtykke i artikkel 4 (11) og 7. Vilkårene i disse bestemmelsene må være oppfylt for at et samtykke skal være gyldig også etter artikkel 49 nr. 1 bokstav a. Det innebærer blant annet at samtykket må være frivillig og avgitt gjennom en aktiv handling, samt at den registrerte når som helst trekke sitt samtykke tilbake. Se vår veileder om behandlingsgrunnlag for mer informasjon om de alminnelige vilkårene for gyldig samtykke. Her finner du blant annet informasjon om hva som ligger i at et samtykke må være uttrykkelig, som også er et krav for behandling av særlige kategorier av personopplysninger etter personvernforordningen artikkel 9 nr. 2 bokstav a.

For å bruke samtykke som unntak fra behovet for adekvansbeslutning eller overføringsgrunnlag, må man i tillegg oppfylle noen ytterligere krav.

I tillegg til det alminnelige kravet om at samtykket skal være informert, er det et uttrykkelig krav om at den registrerte informeres om de mulige risikoene overføringen kan innebære for vedkommende.

Den registrerte bør gjøres oppmerksom på forhold som for eksempel at det aktuelle tredjelandet ikke har en egen datatilsynsmyndighet eller personvernregler som gir like rettigheter som i EØS. Det bør også gis informasjon om alle mottakere eller kategorier mottakere av personopplysningene, om alle land personopplysningene vil sendes eller videresendes til, om at uttrykkelig og informert samtykke er grunnlaget for overføringen, og om at EU-kommisjonen ikke har besluttet at det aktuelle tredjelandet har et tilstrekkelig nivå for beskyttelse av personopplysninger. Informasjonen kan være standardisert.

Samtykket skal også være spesifikt. Det innebærer at det noen ganger ikke er mulig å innhente samtykke for en fremtidig overføring ut av EØS samtidig med at personopplysningene innhentes. Hvis de spesifikke forholdene rundt overføringen ut av EØS ikke enda er kjent, vil det ikke være mulig å vurdere risikoen for de registrerte. Samtykket vil da hverken være spesifikt eller informert. I slike tilfeller må dataeksportøren innhente spesifikt samtykke på et senere tidspunkt, når disse forholdene er avklart.

Samtykke må i alle tilfeller innhentes forut for at overføringen av personopplysningene finner sted.

Offentlige organer kan ikke benytte samtykkeunntaket for overføring av personopplysninger når de utøver offentlig myndighet.

Nødvendig for å oppfylle en avtale med den registrerte

Personopplysninger kan som et unntak overføres ut av EØS hvis overføringen er nødvendig for å oppfylle en avtale mellom den registrerte og den behandlingsansvarlige. Det samme gjelder hvis overføringen er nødvendig for å gjennomføre tiltak som treffes før avtaleinngåelse etter ønske fra den registrerte.

Dette er et unntak fra hovedregelen om å inneha et overføringsgrunnlag. Det er viktig at unntak bare gjøres i særlige situasjoner. Et unntak skal ikke benyttes som hovedregel, og unntakene må tolkes restriktivt.

Selv om unntaket virker vidt, begrenses det av kravet til at overføringen må være nødvendig. Nødvendighetskriteriet krever en årsakssammenheng. Det må være en nær sammenheng mellom overføringen og oppfyllelsen av kontrakten. Unntaket kan ikke benyttes for overføringer av ytterligere informasjon som ikke har betydning for oppfyllelsen av selve avtalen, eller for å gjennomføre tiltak før avtaleinngåelse etter ønske fra den registrerte.

Når det gjelder hva som kan ansees som nødvendig for en avtale, har Personvernrådet (EDPB) gitt ut retningslinjer om artikkel 6 nr. 1 bokstav b i personvernforordningen (edpb.europa.eu), som inneholder en tilsvarende formulering. Disse retningslinjene er relevante også her. 

Unntaket begrenses også av at det kun bør brukes leilighetsvis, det vil si når et særskilt behov oppstår.

Eksempler på leilighetsvis overføring av personopplysninger:

Eksempler på overføring av personopplysninger som ikke er leilighetsvis:

Offentlige organer kan ikke benytte dette unntaket for overføring av personopplysninger når de utøver offentlig myndighet.

Nødvendig for å oppfylle en avtale i den registrertes interesse

Personopplysninger kan som et unntak overføres ut av EØS hvis overføringen er nødvendig for å inngå eller oppfylle en avtale inngått i den registrertes interesse mellom den behandlingsansvarlige og en annen fysisk eller juridisk person.

Dette er et unntak fra hovedregelen om å inneha et overføringsgrunnlag. Det er viktig at unntak bare gjøres i særlige situasjoner. Et unntak skal ikke benyttes som hovedregel, og unntakene må tolkes restriktivt.

Kravene om nødvendighet og at overføringen er leilighetsvis gjelder også. 

Offentlige organer kan ikke benytte dette unntaket for overføring av personopplysninger når de utøver offentlig myndighet.

Nødvendig av hensyn til viktige allmenne interesser anerkjent i lov

Personopplysninger kan som et unntak overføres ut av EØS hvis overføringen er nødvendig av hensyn til viktige allmenne interesser.

Dette er et unntak fra hovedregelen om å inneha et overføringsgrunnlag. Det er viktig at unntak bare gjøres i særlige situasjoner. Et unntak skal ikke benyttes som hovedregel, og unntakene må tolkes restriktivt.

Eksempler på viktige allmenne interesser kan være internasjonal utveksling av opplysninger mellom konkurransemyndigheter, skatte- eller tollmyndigheter, finanstilsynsmyndigheter, trygdemyndigheter eller folkehelsemyndigheter. Utvekslingen av opplysninger kan for eksempel ha til formål å oppnå kontaktsporing i forbindelse med smittsomme sykdommer eller å avskaffe/redusere doping i idrett.

Bare allmenne interesser anerkjent i EØS-retten eller norsk rett kan begrunne bruk av unntaket. At de allmenne interessene er beskyttet i EØS-retten eller norsk rett er videre ikke nok i seg selv. Unntaket får bare anvendelse når det kan utledes av EØS-retten eller norsk rett at overføringen tillates for viktige allmenne interesser, herunder for gjensidighetsformål i internasjonalt samarbeid. En indikasjon på at unntaket får anvendelse kan være eksistensen av en internasjonal avtale som legger opp til internasjonalt samarbeid for å oppnå ett felles formål. Forutsetningen er at Norge er part til den internasjonale avtalen.

Unntaket er hovedsakelig rettet mot offentlige virksomheter. Det avgjørende er imidlertid at vilkåret om nødvendighet for viktige allmenne interesser er oppfylt, ikke hvorvidt aktøren som overfører personopplysningene er offentlig eller privat.

Dette unntaket begrenses ikke av et krav om at overføringen er leilighetsvis. Det betyr ikke at unntaket kan brukes systematisk og i stor skala. Unntakene i personvernforordningen artikkel 49 skal ikke benyttes som hovedregel, men må begrenses til spesifikke situasjoner. Kravet om nødvendighet må også være oppfylt. Overføringer som er del av vanlig drift eller praksis, bør beskyttes gjennom et overføringsgrunnlag etter personvernforordningen artikkel 46.

Nødvendig for å forsvare rettskrav

Personopplysninger kan som et unntak overføres ut av EØS hvis overføringen er nødvendig for å fastsette, gjøre gjeldende eller forsvare rettskrav. Det trenger ikke være i forbindelse med en rettssak. Også krav i forvaltningssaker eller utenrettslig prosedyre, herunder prosedyrer ved reguleringsorganer, omfattes.

Dette er et unntak fra hovedregelen om å inneha et overføringsgrunnlag. Det er viktig at unntak bare gjøres i særlige situasjoner. Et unntak skal ikke benyttes som hovedregel, og unntakene må tolkes restriktivt.

Det bør være en nær sammenheng mellom overføringen og formålet om å fastsette, gjøre gjeldende eller forsvare rettskravet. Overføringen må være nødvendig. Mulig «godvilje» eller interesse hos tredjelandets myndigheter vil ikke være tilstrekkelig. Se under «Andre situasjoner» om krav om utlevering fra domstol eller et forvaltningsorgan i et tredjeland. Det kan være fristende å oversende all mulig informasjon som kan være relevant, men personopplysningene som oversendes må begrenses til det nødvendige.

Dersom det er tilstrekkelig å overføre anonymiserte opplysninger, eventuelt pseudonymiserte personopplysninger, skal man ikke overføre andre personopplysninger. Hvis det er nødvendig å knytte spesifikke personer opp til personopplysningene, bør relevansen av opplysningene for det spesifikke anliggende vurderes. Bare et sett med personopplysninger som faktisk er nødvendig for formålet skal overføres.

Unntaket begrenses også av at det kun bør brukes leilighetsvis, det vil si når et særskilt behov oppstår. Se mer om leilighetsvis-vilkåret under beskrivelsen av unntaket «Nødvendig for å oppfylle en avtale med den registrerte».

Unntaket kan ikke benyttes for overføring av personopplysninger basert på en ren mulighet for fremtidige rettslige eller andre formelle prosesser. Den aktuelle prosessen bør også fremgå av formelt regelverk.

Dette unntaket kan også offentlige organer benytte for overføring av personopplysninger når de utøver offentlig myndighet.

Merk at norsk regelverk kan sette grenser for overføring av spesifikke kategorier av personopplysninger til en tredjestat eller en internasjonal organisasjon. Foreløpig er det ikke satt noen slike spesifikke grenser.

Nødvendig for å verne vitale interesser i tilfeller der den registrerte er ute av stand til å gi samtykke

Personopplysninger kan som et unntak overføres ut av EØS hvis overføringen er nødvendig for å verne den registrertes eller andre personers vitale interesser i tilfeller der den registrerte fysisk eller juridisk ikke er i stand til å gi samtykke.

Dette er et unntak fra hovedregelen om å inneha et overføringsgrunnlag. Det er viktig at unntak bare gjøres i særlige situasjoner. Et unntak skal ikke benyttes som hovedregel, og unntakene må tolkes restriktivt.

Dette unntaket vil gjelde når det foreligger en medisinsk nødsituasjon, og det er direkte nødvendig å overføre personopplysningene for å gi nødvendig medisinsk hjelp.

Overføringen må ha direkte sammenheng med den registrerte eller andre personers vitale interesse. Unntaket er ikke anvendelig for overføringer som søker å verne generelle vitale interesser på et ubestemt tidspunkt i fremtiden.

Unntaket gjelder ikke bare når den registrerte er fysisk ute av stand til å samtykke. Også tilfeller hvor noen er juridisk ute av stand til å gi sitt samtykke, kan unntaket brukes hvis vitale interesser gjør overføringen nødvendig. Man kan være juridisk ute av stand til å gi sitt samtykke på grunn av mental tilstand, men også på grunn av alder. I Norge har vi ulike regler for samtykke hos mindreårige. For eksempel har mindreårige etter fylte 16 år som hovedregel rett til å samtykke til helsehjelp etter pasient- og brukerrettsloven (lovdata.no).

I tilfeller hvor personen som opplysningene gjelder er i stand til å gi sitt samtykke, kan unntaket ikke brukes.

Dette unntaket kan også offentlige organer benytte for overføring av personopplysninger når de utøver offentlig myndighet.

Personopplysningene hentes fra et offentlig register

Personopplysninger kan som et unntak overføres ut av EØS hvis overføringen finner sted fra et register som i henhold til norsk rett eller EØS-rett er beregnet på å gi informasjon til allmennheten. Registeret må være tilgjengelig for allmennheten eller for enhver person som kan gjøre gjeldende en berettiget interesse. Vilkårene for offentlig tilgjengelighet må være oppfylt i det særskilte tilfellet.

Eksempler på slike registre kan være:

• Selskapsregistre
• Organisasjonsregistre
• Register over dommer
• Registre over rettigheter og forpliktelser i eiendom
• Kjøretøysregistre

Dette er et unntak fra hovedregelen om å inneha et overføringsgrunnlag. Det er viktig at unntak bare gjøres i særlige situasjoner. Et unntak skal ikke benyttes som hovedregel, og unntakene må tolkes restriktivt.

Overføringen skal ikke omfatte alle personopplysningene eller hele kategorier av personopplysninger i registeret. Man kan altså ikke bruke dette unntaket til ukritisk overføring av et helt register.

Når registeret er ment å være tilgjengelig for personer som har en berettiget interesse i det, skal overføring bare skje på anmodning fra nevnte personer, eller dersom de selv skal være mottakere i tredjelandet eller den internasjonale organisasjonen.

Dataeksportøren må fra sak til sak vurdere om overføringen bør gjennomføres, sett hen til de registrertes interesser og rettigheter. Videre bruk av personopplysningene som stammer fra registeret må bare foretas i samsvar med gjeldende personvernregelverk.

Dette unntaket kan også offentlige organer benytte for overføring av personopplysninger når de utøver offentlig myndighet.

Andre situasjoner

Hvis ingen av de særlige angitte unntakene nevnt over passer, fins det fortsatt ett snevert unntak: Enkeltstående, ikke-gjentakende overføringer kan skje hvis de er nødvendig av hensyn til tvingende berettigede interesser som går foran interessene, rettighetene og frihetene til de registrerte, og forutsatt at de kun gjelder et begrenset antall registrerte.

Alle omstendigheter tilknyttet overføringen skal vurderes, og vurderingen skal gi nødvendige garantier for beskyttelse av personopplysningene som skal overføres.  Virksomheten skal dokumentere vurderingen og de nødvendige garantiene i sin protokoll over behandlingsaktiviteter.

Datatilsynet skal varsles om en slik overføring. De registrerte skal også informeres om overføringen og om de tvingende berettigede interessene.

Virksomheten bør i vurderingen ta særlig hensyn til:

• Personopplysningenes art
• Formålet med den foreslåtte behandlingen
• Varigheten av den foreslåtte behandlingen
• Situasjonen i den aktuelle mottakerstaten og i eventuelle andre stater personopplysningene vil ende opp til slutt

Offentlige organer kan ikke benytte dette unntaket når de utøver offentlig myndighet.

Krav om utlevering fra domstol eller et forvaltningsorgan i et tredjeland

En dom eller forvaltningsvedtak fra myndigheter i tredjeland kan i noen tilfeller pålegge utlevering av personopplysninger til tredjelandet. Slik utlevering skal i utgangspunktet bare skje dersom dommen eller vedtaket kan anerkjennes og håndheves etter internasjonal avtale, se personvernforordningen artikkel 48. En slik avtale kan for eksempel en mellomstatlig traktat om gjensidig juridisk bistand. I tilfeller hvor slik en avtale foreligger, bør en virksomhet som mottar krav om utlevering normalt avslå kravet og henvise myndigheten til avtalen og relevante norske myndigheter. 

Datatilsynet har hatt flere veiledningsmøter om overføringsproblematikk med aktører som bruker skytjenester. Datatilsynet har ikke myndighet til å forhåndsgodkjenne løsninger, men vi kan gi råd om hvilke tiltak som skal til for å følge regelverket og hvordan vurderinger kan gjennomføres.

Vestre Viken helseforetak: Pseudonymisering som effektivt tiltak

Vestre Viken HF ønsket å ta i bruk en løsning for hjemmedialyse. Løsningen var utarbeidet slik at helsepersonell kunne følge med på og justere behandlingen fra sykehusene via en skytjeneste. Løsningen ville medføre en rekke fordeler for både sykehus og pasienter som kunne gjennomføre behandlingen hjemme.

Leverandøren av løsningen, samt skytjenesten der løsningen var installert, var begge underlagt tredjelands lovgivning. I utgangspunktet skulle personopplysninger behandles innenfor EØS, men i visse tilfeller ville support ytes fra tredjeland. Dessuten var det en mulighet for at leverandørene ville motta utleveringsbegjæringer fra myndigheter i ikke-adekvate tredjeland.

Datatilsynet uttalte at i supporttilfellene ville Vestre Viken HF trolig være behandlingsansvarlig for eventuelle overføringer til tredjeland og dermed direkte underlagt reglene i personvernforordningen kapittel V. Derfor var det nødvendig å vurdere overføringsgrunnlag og ytterligere tiltak (se del 1–6 i denne veiledningen). Det var også nødvendig å vurdere tiltak for å forhindre at leverandørene skulle overføre personopplysninger til tredjelands myndigheter ulovlig selv om dataene befant seg i EØS (se del 7 i veiledningen).

Som tiltak så Vestre Viken HF for seg å pseudonymisere personopplysningene i løsningen med et eksisterende pasientpseudonym i kombinasjon med pasientens initialer. Datatilsynet uttalte at pasientpseudonymet kunne egne seg fordi koblingsnøkkelen var under helseforetakets kontroll og ikke var tilgjengelig for tredjelands myndigheter. Vi frarådet imidlertid å kombinere pasientpseudonymet med initialer, siden initialer i noen tilfeller kunne øke identifiserbarheten og potensielt gjøre det mulig å omgå pseudonymiseringen.

I dette tilfellet hadde Vestre Viken HF vurdert slik at det ikke var mulig å identifisere pasienten kun basert på en sammenstilling av personopplysningene som ble lagret i løsningen. Da kan pseudonymisering være et effektivt tiltak.

Med disse rådene på veien hadde ikke Datatilsynet innvendinger mot at Vestre Viken HF gikk videre med prosjektet.

Sikt: Ikke grunn til å tro at problematisk lovgivning får anvendelse i praksis

Sikt er kunnskapssektorens tjenesteleverandør. De tok kontakt med Datatilsynet i forbindelse med utarbeidelse av en felles løsning for identitets- og tilgangsstyring for sektoren. Denne løsningen skulle bli levert av amerikanske leverandører i amerikanskeid sky, og leverandørens ansatte i USA hadde behov for å se personopplysninger i klartekst for å drifte løsningen. På tidspunktet hadde ikke USA en adekvansbeslutning eller «godkjenning» som område med tilstrekkelig beskyttelsesnivå.

Veiledningsforespørselen omfattet flere temaer, men her har vi valgt å fokusere på hvordan Sikt vurderte den amerikanske etterretningsloven FISA 702. I utgangspunktet var Sikts leverandører underlagt FISA 702. Loven var identifisert som problematisk og uproporsjonal.

FISA 702 har i teorien et vidt virkeområde. Samtidig har EDPB uttalt i anbefalingene sine at man ikke trenger å iverksette tiltak mot en problematisk tredjelandslov dersom det ikke er grunn til å tro at loven får anvendelse på den aktuelle behandlingen av personopplysninger i praksis.

Sikt spurte hva Datatilsynet mener med at dette er en «binær» vurdering – det er jo vanskelig å være helt sikker på om loven får anvendelse. Datatilsynet klargjorde at enten er det «grunn til å tro», eller så er det «ikke grunn til tro». Ordlyden i EDPBs retningslinjer tilsier ikke at man må være 100 % sikker, men at konklusjonen må trekkes med en viss sannsynlighetsovervekt og på bakgrunn av grundige vurderinger. Vurderingen står på om det er grunn til å tro at loven får anvendelse i det konkrete tilfellet, ikke om det er grunn til å tro at myndighetene vil benytte seg av innsynsmuligheten i tilfeller hvor loven får anvendelse.

For å vurdere om det var grunn til å tro at FISA 702 ville få anvendelse på Sikts data, hadde Sikt spurt flere leverandører i markedet om de i praksis hadde mottatt utleveringsbegjæringer fra amerikanske myndigheter, noe de ikke hadde. EDPB åpner for at dette kan være ett av flere elementer i vurderingen så lenge man spør flere leverandører.

Sikt hadde også vurdert lovens ordlyd og dokumentasjon fra amerikanske myndigheter, selv om dette i seg selv ikke ga fullstendige svar. Sikt hadde videre undersøkt øvrig informasjon fra andre kilder og eksperter om hvordan loven tolkes og praktiseres.

På bakgrunn av dette mente Sikt at det var avgjørende etter FISA 702 om de aktuelle personopplysningene kunne sies å være innenfor leverandørens «possession, custody or control». Det vil igjen si at på hvilken måte leverandøren har tilgang til personopplysningene kan få betydning. Ikke enhver teoretisk mulighet for at en leverandør kan skaffe seg adgang til personopplysningene trenger å være relevant.

Videre mente Sikt at man må vurdere hvorvidt personopplysningene er innhold i kommunikasjon eller metadata om kommunikasjon (til sammen kalt «contents of communications») til eller fra en fysisk person av interesse («target»). Sikt mente at den aktuelle kommunikasjonen mellom to systemer ville falle utenfor FISA 702 fordi hverken avsender eller mottaker kunne være et «target».

Der det var snakk om kommunikasjon til fysiske personer, vurderte Sikt tilsvarende om systemet ville inneholde «contents of communications». Her var det relevant at det aktuelle systemet bare ville inneholde hvorvidt et varsel var blitt sendt, mens e-postadresse og innhold i e-post ville bli håndtert av et annet, separat system.

På bakgrunn av vurderingene kom Sikt frem til at de kunne gå videre med systemet selv om det ville innebære at leverandøren i USA fikk adgang til personopplysninger i klartekst. Sikt ville imidlertid iverksette avtalemessige tilleggstiltak likevel.

Datatilsynet har ikke godkjent Sikts vurdering av FISA 702. Datatilsynet bekreftet imidlertid at det er handlingsrom i personvernregelverket til å vurdere hvordan problematisk lovgivning fungerer i praksis. Videre uttalte Datatilsynet at Sikts presentasjon i veiledningsmøtet tydet på grundige og metodisk gode vurderinger. Datatilsynet hadde ikke innvendinger til hvordan vurderingene var blitt gjennomført.

Sikt er villig til å dele analysen sin med andre. Hvis dette er interessant, kan man ta kontakt med Sikts personvernombud (sikt.no).