Overføring av personopplysninger ut av EØS

Unntak

Hvis du ikke klarer å identifisere et effektivt overføringsgrunnlag for den overføringen du planlegger, kan du som unntak overføre personopplysningene hvis vilkårene i personvernforordningen artikkel 49 er oppfylt.

Overføringsgrunnlagene i personvernforordningen kapittel V skal sikre at beskyttelsesnivået for personopplysninger i EØS ikke undergraves. Det er derfor viktig at unntak bare gjøres i særlige situasjoner. Et unntak skal ikke benyttes som hovedregel, og unntakene må tolkes restriktivt.

Unntakene garanterer ikke for tilsvarende beskyttelse av personopplysningene utenfor EØS. Derfor vil bruk av unntak lede til en forhøyet risiko for de registrertes rettigheter. Dataeksportøren bør være seg dette bevisst.

Hvilke unntak finnes?

Litt forenklet formulert kan man bruke unntak når:

  • Uttrykkelig og informert samtykke
  • Nødvendig for å oppfylle en avtale med den registrerte
  • Nødvendig for å oppfylle en avtale i den registrertes interesse
  • Nødvendig av hensyn til viktige allmenne interesser anerkjent i lov
  • Nødvendig for å fastsette, gjøre gjeldende eller forsvare rettskrav
  • Nødvendig for å verne vitale interesser i tilfeller der den registrerte er ute av stand til å gi samtykke
  • Personopplysningene hentes fra et offentlig register

Personvernrådet har utarbeidet en veileder om unntakene i personvernforordningen artikkel 49 (edpb.europa.eu). Veilederen går nøye gjennom hva som kreves for å benytte hvert unntak.

Unntakene ved uttrykkelig og informert samtykke, og for oppfyllelse av avtale, kan ikke benyttes av offentlige organer når de utøver offentlig myndighet. Unntakene for oppfyllelse av avtale og rettskrav kan bare brukes leilighetsvis.

Det kan være forvirrende at unntakene er utformet nokså likt som behandlingsgrunnlagene i personvernforordningen artikkel 6. Reglene gjelder imidlertid to forskjellige situasjoner. Reglene om overføringer ut av EØS skal beskytte personopplysninger mot regler og praksis i andre land som kan gi et dårligere beskyttelsesnivå. Reglene om behandlingsgrunnlag skal sikre at virksomheten selv behandler personopplysninger på lovlig vis.

Reglene gjelder også to ulike steg: Man må alltid ha et behandlingsgrunnlag før man foretar noen behandling av personopplysninger overhodet. Hvis man deretter skal overføre personopplysningene ut av EØS, må man som hovedregel identifisere et overføringsgrunnlag for dette. Man bør bare benytte et unntak etter personvernforordningen artikkel 49 hvis ikke noe effektivt overføringsgrunnlag kan identifiseres.

Personvernforordningen åpner for at nasjonal lovgivning eksplisitt kan begrense muligheten for overføringer av spesifikke kategorier personopplysninger til et tredjeland eller internasjonal organisasjon. Det fins foreløpig ikke noen slik lovgivning i Norge.

Andre situasjoner

Hvis ingen av de særlige angitte unntakene nevnt over passer, fins det fortsatt ett snevert unntak: Enkeltstående, ikke-gjentakende overføringer kan skje hvis de er nødvendig av hensyn til tvingende berettigede interesser som går foran interessene, rettighetene og frihetene til de registrerte, og forutsatt at de kun gjelder et begrenset antall registrerte.

Alle omstendigheter tilknyttet overføringen skal vurderes, og vurderingen skal gi nødvendige garantier for beskyttelse av personopplysningene som skal overføres.  Virksomheten skal dokumentere vurderingen og de nødvendige garantiene i sin protokoll over behandlingsaktiviteter.

Datatilsynet skal varsles om en slik overføring. De registrerte skal også informeres om overføringen og om de tvingende berettigede interessene.

Virksomheten bør i vurderingen ta særlig hensyn til:

  • Personopplysningenes art
  • Formålet med den foreslåtte behandlingen
  • Varigheten av den foreslåtte behandlingen
  • Situasjonen i den aktuelle mottakerstaten og i eventuelle andre stater personopplysningene vil ende opp til slutt

Offentlige organer kan ikke benytte dette unntaket når de utøver offentlig myndighet.

Krav om utlevering fra domstol eller et forvaltningsorgan i et tredjeland

En dom eller forvaltningsvedtak fra myndigheter i tredjeland kan i noen tilfeller pålegge utlevering av personopplysninger til tredjelandet. Slik utlevering skal i utgangspunktet bare skje dersom dommen eller vedtaket kan anerkjennes og håndheves etter internasjonal avtale, se personvernforordningen artikkel 48. En slik avtale kan for eksempel en mellomstatlig traktat om gjensidig juridisk bistand. I tilfeller hvor slik en avtale foreligger, bør en virksomhet som mottar krav om utlevering normalt avslå kravet og henvise myndigheten til avtalen og relevante norske myndigheter.