Overføring av personopplysninger ut av EØS

Opplysninger utelukkende behandlet i EØS

Dette kapittelet gjelder tilfellene der du skal bruke en databehandler som kun skal lagre og aksessere dataene dine i EØS. 

Dersom derimot databehandlerens tjenesteoppdrag innebærer en overføring av personopplysninger til et tredjeland, for eksempel at data skal lagres i en sky i USA eller at personell i India skal tilby teknisk støtte, gjelder ikke denne delen av veilederen, og du må forholde deg til de generelle reglene beskrevet tidligere.

Tredjelands lover kan gjelde i EØS – hvem har ansvaret?

Selv om databehandleren kun skal lagre og aksessere dataene i EØS, og databehandleravtalen ikke tillater overføringer ut av EØS, kan det være at den er underlagt tredjelands lovgivning, herunder tredjelands overvåkingslover. FISA 702 er et eksempel på en amerikansk lov som også kan gjelde data lagret i Europa. Her oppstår spørsmålet om hvem som er ansvarlig for en eventuell utlevering av personopplysninger til tredjelands myndigheter og hvorvidt man må forholde seg til Schrems II ved bruk av slike databehandlere.

En databehandler eller dens underleverandører har som hovedregel bare lov til å overføre personopplysningene til et tredjeland dersom den behandlingsansvarlige har gitt eksplisitte instruksjoner om det i databehandleravtalen. Det vil si at all den tid du ikke uttrykkelig har instruert eller tillatt at databehandleren eller dens underleverandør kan gjøre det, skal ikke databehandleren på noen som helst måte overføre personopplysningene ut av EØS.

Databehandleren kan imidlertid havne i en skvis i denne situasjonen: Skal den følge våre personvernregler, eller skal den følge overvåkingsloven i et tredjeland som sier at opplysningene skal overføres?

Dersom databehandleren handler i strid med den behandlingsansvarliges instruksjoner i dette tilfellet, kan den selv bli ansett som den behandlingsansvarlige for overføringen fordi det er databehandleren som har bestemt at overføringen skal skje, til hvilket formål og med hvilke midler. Dette følger også av personvernforordningen artikkel 28(10). Det betyr også at det trolig er databehandleren, og ikke du, som får ansvaret for å sikre at overføringen til tredjeland er lovlig, og som må forholde seg til Schrems II-dommen.

Likevel ikke fritt frem

Selv om det skulle være slik at en databehandler ender opp med å bære ansvaret for en eventuell overføring av personopplysninger til tredjeland, vil du fremdeles ha øvrige forpliktelser etter personvernforordningen. Det finnes en rekke regler du må følge når du overlater personopplysninger til en databehandler. Her vil vi trekke fram særlig to ting:

  1. Du har ansvar for å bare velge databehandlere som kan oppstille tilstrekkelige garantier for at de vil følge våre personvernregler. Se personvernforordningen artikkel 28 nr. 1. Dette kan ansees som en form for risikovurdering.
  2. Du har ansvar for å beskytte personopplysningene (informasjonssikkerhet), herunder sikre at personopplysningene behandles konfidensielt og ikke blir gjort tilgjengelig for uvedkommende. Se blant annet personvernforordningen artikkel 5 nr. 1 bokstav f og artikkel 32. Hvilke tiltak du iverksetter, må bygge på en risikovurdering.

Personvernrådet (EDPB) har gitt ut retningslinjer om behandlingsansvarlige og databehandlere (edpb.europa.eu). Der finner du blant annet mer informasjon om forholdet mellom de to, hvilke vurderinger den behandlingsansvarlige må foreta ved valg av databehandler samt informasjon om kravene til databehandleravtaler.
Les også mer om behandlingsansvarlig og databehandler her på våre nettsider

Når vilkårene tar forbehold om overføring

Ofte består databehandleravtaler av standardvilkår som det er vanskelig å forhandle individuelt. Ikke sjeldent inneholder vilkårene til for eksempel skytjenester passuser om at databehandleren «kan» overføre personopplysninger til tredjeland, eller at kunden «anerkjenner» at dette kan skje.

I slike tilfeller er det viktig å fastslå hvem som er behandlingsansvarlig for den aktuelle behandlingen (edpb.europa.eu). Det kan fremdeles være slik at det er den aktuelle tjenesteleverandøren som er behandlingsansvarlig for overføringen av personopplysninger ut av EØS.

Samtidig er situasjonen litt annerledes enn der databehandleravtalen ikke tillater overføringer ut av EØS. Derfor er det særlig én ekstra ting man må tenke på. I dette scenarioet er det klart allerede på tidspunktet for avtaleinngåelsen at man overleverer personopplysninger til en ny behandlingsansvarlig. For å overlate personopplysninger til en ny behandlingsansvarlig kreves et gyldig behandlingsgrunnlag. Derfor kan man bare inngå avtalen i den grad man har identifisert et passende behandlingsgrunnlag for overlevering av personopplysningene til ny behandlingsansvarlig

Eksempel: EU-organer og Microsoft-tjenester

Datatilsynet for EU-organene, European Data Protection Supervisor (EDPS), har tidligere ført tilsyn med hvordan EU-organene bruker Microsoft-tjenester. I 2020 ga EDPS ut en rapport som sa at EU-organenes avtaler med Microsoft ikke var tilstrekkelige (edps.europa.eu). Blant annet trekker EDPS frem Microsoft som behandlingsansvarlig samt manglende kontroll med overføring av data ut av EØS. EDPS kom med flere anbefalinger til EU-organene.