Unntak
Hvis du ikke klarer å identifisere et effektivt overføringsgrunnlag for den overføringen du planlegger, kan du som unntak overføre personopplysningene hvis vilkårene i personvernforordningen artikkel 49 er oppfylt.
Overføringsgrunnlagene i personvernforordningen kapittel V skal sikre at beskyttelsesnivået for personopplysninger i EØS ikke undergraves. Det er derfor viktig at unntak bare gjøres i særlige situasjoner. Et unntak skal ikke benyttes som hovedregel, og unntakene må tolkes restriktivt.
Unntakene garanterer ikke for tilsvarende beskyttelse av personopplysningene utenfor EØS. Derfor vil bruk av unntak lede til en forhøyet risiko for de registrertes rettigheter. Dataeksportøren bør være seg dette bevisst.
Hvilke unntak finnes?
Litt forenklet formulert kan man bruke unntak når:
- Den registrerte har gitt et uttrykkelig og informert samtykke
- Nødvendig for å oppfylle en avtale med den registrerte
- Nødvendig for å oppfylle en avtale i den registrertes interesse
- Nødvendig av hensyn til viktige allmenne interesser anerkjent i lov
- Nødvendig for å fastsette, gjøre gjeldende eller forsvare rettskrav
- Nødvendig for å verne vitale interesser i tilfeller der den registrerte er ute av stand til å gi samtykke
- Personopplysningene hentes fra et offentlig register
Personvernrådet har utarbeidet en veileder om unntakene i personvernforordningen artikkel 49 (edpb.europa.eu). Veilederen går nøye gjennom hva som kreves for å benytte hvert unntak.
Unntakene ved uttrykkelig og informert samtykke, og for oppfyllelse av avtale, kan ikke benyttes av offentlige organer når de utøver offentlig myndighet. Unntakene for oppfyllelse av avtale og rettskrav kan bare brukes leilighetsvis.
Det kan være forvirrende at unntakene er utformet nokså likt som behandlingsgrunnlagene i personvernforordningen artikkel 6. Reglene gjelder imidlertid to forskjellige situasjoner. Reglene om overføringer ut av EØS skal beskytte personopplysninger mot regler og praksis i andre land som kan gi et dårligere beskyttelsesnivå. Reglene om behandlingsgrunnlag skal sikre at virksomheten selv behandler personopplysninger på lovlig vis.
Reglene gjelder også to ulike steg: Man må alltid ha et behandlingsgrunnlag før man foretar noen behandling av personopplysninger overhodet. Hvis man deretter skal overføre personopplysningene ut av EØS, må man som hovedregel identifisere et overføringsgrunnlag for dette. Man bør bare benytte et unntak etter personvernforordningen artikkel 49 hvis ikke noe effektivt overføringsgrunnlag kan identifiseres.
Personvernforordningen åpner for at nasjonal lovgivning eksplisitt kan begrense muligheten for overføringer av spesifikke kategorier personopplysninger til et tredjeland eller internasjonal organisasjon. Det fins foreløpig ikke noen slik lovgivning i Norge.
Uttrykkelig og informert samtykke
Personopplysninger kan som et unntak overføres ut av EØS hvis den registrerte uttrykkelig har samtykket til den foreslåtte overføringen, etter å ha blitt informert om de mulige risikoene overføringen kan innebære når det ikke foreligger adekvansbeslutning eller overføringsgrunnlag.
Dette er et unntak fra hovedregelen om å inneha et overføringsgrunnlag. Det er viktig at unntak bare gjøres i særlige situasjoner. Et unntak skal ikke benyttes som hovedregel, og unntakene må tolkes restriktivt.
Personvernforordningen definerer begrepet samtykke i artikkel 4 (11) og 7. Vilkårene i disse bestemmelsene må være oppfylt for at et samtykke skal være gyldig også etter artikkel 49 nr. 1 bokstav a. Det innebærer blant annet at samtykket må være frivillig og avgitt gjennom en aktiv handling, samt at den registrerte når som helst trekke sitt samtykke tilbake. Se vår veileder om behandlingsgrunnlag for mer informasjon om de alminnelige vilkårene for gyldig samtykke. Her finner du blant annet informasjon om hva som ligger i at et samtykke må være uttrykkelig, som også er et krav for behandling av særlige kategorier av personopplysninger etter personvernforordningen artikkel 9 nr. 2 bokstav a.
For å bruke samtykke som unntak fra behovet for adekvansbeslutning eller overføringsgrunnlag, må man i tillegg oppfylle noen ytterligere krav.
I tillegg til det alminnelige kravet om at samtykket skal være informert, er det et uttrykkelig krav om at den registrerte informeres om de mulige risikoene overføringen kan innebære for vedkommende.
Den registrerte bør gjøres oppmerksom på forhold som for eksempel at det aktuelle tredjelandet ikke har en egen datatilsynsmyndighet eller personvernregler som gir like rettigheter som i EØS. Det bør også gis informasjon om alle mottakere eller kategorier mottakere av personopplysningene, om alle land personopplysningene vil sendes eller videresendes til, om at uttrykkelig og informert samtykke er grunnlaget for overføringen, og om at EU-kommisjonen ikke har besluttet at det aktuelle tredjelandet har et tilstrekkelig nivå for beskyttelse av personopplysninger. Informasjonen kan være standardisert.
Samtykket skal også være spesifikt. Det innebærer at det noen ganger ikke er mulig å innhente samtykke for en fremtidig overføring ut av EØS samtidig med at personopplysningene innhentes. Hvis de spesifikke forholdene rundt overføringen ut av EØS ikke enda er kjent, vil det ikke være mulig å vurdere risikoen for de registrerte. Samtykket vil da hverken være spesifikt eller informert. I slike tilfeller må dataeksportøren innhente spesifikt samtykke på et senere tidspunkt, når disse forholdene er avklart.
Samtykke må i alle tilfeller innhentes forut for at overføringen av personopplysningene finner sted.
Offentlige organer kan ikke benytte samtykkeunntaket for overføring av personopplysninger når de utøver offentlig myndighet.
Nødvendig for å oppfylle en avtale med den registrerte
Personopplysninger kan som et unntak overføres ut av EØS hvis overføringen er nødvendig for å oppfylle en avtale mellom den registrerte og den behandlingsansvarlige. Det samme gjelder hvis overføringen er nødvendig for å gjennomføre tiltak som treffes før avtaleinngåelse etter ønske fra den registrerte.
Dette er et unntak fra hovedregelen om å inneha et overføringsgrunnlag. Det er viktig at unntak bare gjøres i særlige situasjoner. Et unntak skal ikke benyttes som hovedregel, og unntakene må tolkes restriktivt.
Selv om unntaket virker vidt, begrenses det av kravet til at overføringen må være nødvendig. Nødvendighetskriteriet krever en årsakssammenheng. Det må være en nær sammenheng mellom overføringen og oppfyllelsen av kontrakten. Unntaket kan ikke benyttes for overføringer av ytterligere informasjon som ikke har betydning for oppfyllelsen av selve avtalen, eller for å gjennomføre tiltak før avtaleinngåelse etter ønske fra den registrerte.
Når det gjelder hva som kan ansees som nødvendig for en avtale, har Personvernrådet (EDPB) gitt ut retningslinjer om artikkel 6 nr. 1 bokstav b i personvernforordningen (edpb.europa.eu), som inneholder en tilsvarende formulering. Disse retningslinjene er relevante også her.
Eksempel 1
Et reisebyrå har inngått kontrakt med en klient om å organisere dennes utenlandsopphold i Chile. I forbindelse med organiseringen må reisebyrået overføre personopplysninger om klienten til hoteller og guider i Chile. Overføringene er nødvendige for å oppfylle avtalen, og unntaket kan være passende å bruke.
Eksempel 3
Et selskap har sentralisert sin avdeling for HR og lønn i India. Begrunnelsen er at det er forretningsmessig gunstig. Avtale-unntaket kan ikke brukes for overføringer til en slik avdeling. Det finnes ingen direkte og objektiv forbindelse mellom oppfyllelsen av arbeidskontrakten og overføringen som tilsier at det er virkelig er nødvendig å overføre ansattes personopplysninger til India. For slike overføringer kan overføringsgrunnlag som standard personvernbestemmelser eller bindende virksomhetsregler være passende å bruke.
Unntaket begrenses også av at det kun bør brukes leilighetsvis, det vil si når et særskilt behov oppstår.
Eksempler på leilighetsvis overføring av personopplysninger:
Eksempel 1
En selger skal etter sin arbeidskontrakt reise til ulike land for å gjennomføre salg på vegne av selskapet hun er ansatt i. Selskapet sender personopplysningene hennes til potensielle kunder i ulike tredjeland for å planlegge fremtidige møter. En slik overføring vil være leilighetsvis.
Eksempel 2
En bank i EU overfører personopplysninger til en bank i Brasil for å utføre en transaksjon som er forespurt av sin kunde. En slik overføring vil være leilighetsvis.
Overføringen vil likevel ikke være leilighetsvis dersom den er del av et stabilt samarbeidsforhold mellom de to bankene.
Eksempler på overføring av personopplysninger som ikke er leilighetsvis:
Eksempel
Et multinasjonalt selskap organiserer jevnlig seminarer og kurs i Singapore og bruker en fast samarbeidspartner i Singapore for gjennomføringen. I forkant sender selskapet opplysninger om navn, jobbtittel, og kanskje også matallergier og tilretteleggingsbehov til de ansatte som skal delta. Overføringen av de ansattes personopplysninger skjer innenfor et stabilt samarbeid og må anses systematisk og gjentakende. En slik overføring vil ikke være leilighetsvis.
Offentlige organer kan ikke benytte dette unntaket for overføring av personopplysninger når de utøver offentlig myndighet.
Nødvendig for å oppfylle en avtale i den registrertes interesse
Personopplysninger kan som et unntak overføres ut av EØS hvis overføringen er nødvendig for å inngå eller oppfylle en avtale inngått i den registrertes interesse mellom den behandlingsansvarlige og en annen fysisk eller juridisk person.
Dette er et unntak fra hovedregelen om å inneha et overføringsgrunnlag. Det er viktig at unntak bare gjøres i særlige situasjoner. Et unntak skal ikke benyttes som hovedregel, og unntakene må tolkes restriktivt.
Kravene om nødvendighet og at overføringen er leilighetsvis gjelder også.
Eksempel
Av hensyn til kostnader har en organisasjon inngått en avtale med en leverandør i Moldova som håndterer lønn for de ansatte. Det er ikke objektivt nødvendig for en avtale inngått i den registrertes interesse at vedkommendes personopplysninger sendes til Moldova. Unntaket er derfor ikke passende.
Offentlige organer kan ikke benytte dette unntaket for overføring av personopplysninger når de utøver offentlig myndighet.
Nødvendig av hensyn til viktige allmenne interesser anerkjent i lov
Personopplysninger kan som et unntak overføres ut av EØS hvis overføringen er nødvendig av hensyn til viktige allmenne interesser.
Dette er et unntak fra hovedregelen om å inneha et overføringsgrunnlag. Det er viktig at unntak bare gjøres i særlige situasjoner. Et unntak skal ikke benyttes som hovedregel, og unntakene må tolkes restriktivt.
Eksempler på viktige allmenne interesser kan være internasjonal utveksling av opplysninger mellom konkurransemyndigheter, skatte- eller tollmyndigheter, finanstilsynsmyndigheter, trygdemyndigheter eller folkehelsemyndigheter. Utvekslingen av opplysninger kan for eksempel ha til formål å oppnå kontaktsporing i forbindelse med smittsomme sykdommer eller å avskaffe/redusere doping i idrett.
Bare allmenne interesser anerkjent i EØS-retten eller norsk rett kan begrunne bruk av unntaket. At de allmenne interessene er beskyttet i EØS-retten eller norsk rett er videre ikke nok i seg selv. Unntaket får bare anvendelse når det kan utledes av EØS-retten eller norsk rett at overføringen tillates for viktige allmenne interesser, herunder for gjensidighetsformål i internasjonalt samarbeid. En indikasjon på at unntaket får anvendelse kan være eksistensen av en internasjonal avtale som legger opp til internasjonalt samarbeid for å oppnå ett felles formål. Forutsetningen er at Norge er part til den internasjonale avtalen.
Eksempel
En virksomhet overfører personopplysninger til en internasjonal humanitær organisasjon fordi det er nødvendig for å utføre en oppgave i henhold til Genève-konvensjonene. Overføringen kan da anses å være nødvendig av hensyn til viktige allmenne interesser.
Unntaket er hovedsakelig rettet mot offentlige virksomheter. Det avgjørende er imidlertid at vilkåret om nødvendighet for viktige allmenne interesser er oppfylt, ikke hvorvidt aktøren som overfører personopplysningene er offentlig eller privat.
Dette unntaket begrenses ikke av et krav om at overføringen er leilighetsvis. Det betyr ikke at unntaket kan brukes systematisk og i stor skala. Unntakene i personvernforordningen artikkel 49 skal ikke benyttes som hovedregel, men må begrenses til spesifikke situasjoner. Kravet om nødvendighet må også være oppfylt. Overføringer som er del av vanlig drift eller praksis, bør beskyttes gjennom et overføringsgrunnlag etter personvernforordningen artikkel 46.
Nødvendig for å forsvare rettskrav
Personopplysninger kan som et unntak overføres ut av EØS hvis overføringen er nødvendig for å fastsette, gjøre gjeldende eller forsvare rettskrav. Det trenger ikke være i forbindelse med en rettssak. Også krav i forvaltningssaker eller utenrettslig prosedyre, herunder prosedyrer ved reguleringsorganer, omfattes.
Dette er et unntak fra hovedregelen om å inneha et overføringsgrunnlag. Det er viktig at unntak bare gjøres i særlige situasjoner. Et unntak skal ikke benyttes som hovedregel, og unntakene må tolkes restriktivt.
Eksempler
- Overføring av nødvendige opplysninger for å forsvare seg selv i forbindelse med en kriminal- eller administrativ etterforskning utenfor EØS (eksempelvis saker om korrupsjon, konkurranserettsbrudd, innsidehandel).
- Overføring av nødvendige opplysninger for å motta reduksjon eller bortfall av bøter eller gebyr.
- Overføring av nødvendige opplysninger i forbindelse med fremlegging av dokumenter forut for en sivil rettssak.
- Overføring av nødvendige opplysninger for å igangsette prosessuelle rettslige steg.
- Overføring av nødvendige opplysninger for å søke godkjenning av en selskapsfusjon.
Det bør være en nær sammenheng mellom overføringen og formålet om å fastsette, gjøre gjeldende eller forsvare rettskravet. Overføringen må være nødvendig. Mulig «godvilje» eller interesse hos tredjelandets myndigheter vil ikke være tilstrekkelig. Se under «Andre situasjoner» om krav om utlevering fra domstol eller et forvaltningsorgan i et tredjeland. Det kan være fristende å oversende all mulig informasjon som kan være relevant, men personopplysningene som oversendes må begrenses til det nødvendige.
Dersom det er tilstrekkelig å overføre anonymiserte opplysninger, eventuelt pseudonymiserte personopplysninger, skal man ikke overføre andre personopplysninger. Hvis det er nødvendig å knytte spesifikke personer opp til personopplysningene, bør relevansen av opplysningene for det spesifikke anliggende vurderes. Bare et sett med personopplysninger som faktisk er nødvendig for formålet skal overføres.
Unntaket begrenses også av at det kun bør brukes leilighetsvis, det vil si når et særskilt behov oppstår. Se mer om leilighetsvis-vilkåret under beskrivelsen av unntaket «Nødvendig for å oppfylle en avtale med den registrerte».
Unntaket kan ikke benyttes for overføring av personopplysninger basert på en ren mulighet for fremtidige rettslige eller andre formelle prosesser. Den aktuelle prosessen bør også fremgå av formelt regelverk.
Dette unntaket kan også offentlige organer benytte for overføring av personopplysninger når de utøver offentlig myndighet.
Merk at norsk regelverk kan sette grenser for overføring av spesifikke kategorier av personopplysninger til en tredjestat eller en internasjonal organisasjon. Foreløpig er det ikke satt noen slike spesifikke grenser.
Nødvendig for å verne vitale interesser i tilfeller der den registrerte er ute av stand til å gi samtykke
Personopplysninger kan som et unntak overføres ut av EØS hvis overføringen er nødvendig for å verne den registrertes eller andre personers vitale interesser i tilfeller der den registrerte fysisk eller juridisk ikke er i stand til å gi samtykke.
Dette er et unntak fra hovedregelen om å inneha et overføringsgrunnlag. Det er viktig at unntak bare gjøres i særlige situasjoner. Et unntak skal ikke benyttes som hovedregel, og unntakene må tolkes restriktivt.
Dette unntaket vil gjelde når det foreligger en medisinsk nødsituasjon, og det er direkte nødvendig å overføre personopplysningene for å gi nødvendig medisinsk hjelp.
Eksempel
En person har blitt kritisk syk på sin reise i Mongolia. Hastig overføring av personens helseopplysninger er nødvendig for å forhindre skade eller død, men den registrerte er hverken fysisk eller juridisk i stand til å gi sitt samtykke til overføringen. Overføringen kan da anses nødvendig fordi det er av vital interesse for den registrerte.
Overføringen må ha direkte sammenheng med den registrerte eller andre personers vitale interesse. Unntaket er ikke anvendelig for overføringer som søker å verne generelle vitale interesser på et ubestemt tidspunkt i fremtiden.
Eksempel
Et helseforetak ønsker å bidra med data til et forskningsprosjekt som i fremtiden kan gi avgjørende hjelp til personer med en gitt sykdom. Unntaket er ikke ment for denne situasjonen. Et alminnelig overføringsgrunnlag, som for eksempel standard personvernbestemmelser, kan være passende for overføringen.
Unntaket gjelder ikke bare når den registrerte er fysisk ute av stand til å samtykke. Også tilfeller hvor noen er juridisk ute av stand til å gi sitt samtykke, kan unntaket brukes hvis vitale interesser gjør overføringen nødvendig. Man kan være juridisk ute av stand til å gi sitt samtykke på grunn av mental tilstand, men også på grunn av alder. I Norge har vi ulike regler for samtykke hos mindreårige. For eksempel har mindreårige etter fylte 16 år som hovedregel rett til å samtykke til helsehjelp etter pasient- og brukerrettsloven (lovdata.no).
I tilfeller hvor personen som opplysningene gjelder er i stand til å gi sitt samtykke, kan unntaket ikke brukes.
Dette unntaket kan også offentlige organer benytte for overføring av personopplysninger når de utøver offentlig myndighet.
Personopplysningene hentes fra et offentlig register
Personopplysninger kan som et unntak overføres ut av EØS hvis overføringen finner sted fra et register som i henhold til norsk rett eller EØS-rett er beregnet på å gi informasjon til allmennheten. Registeret må være tilgjengelig for allmennheten eller for enhver person som kan gjøre gjeldende en berettiget interesse. Vilkårene for offentlig tilgjengelighet må være oppfylt i det særskilte tilfellet.
Eksempler på slike registre kan være:
- Selskapsregistre
- Organisasjonsregistre
- Register over dommer
- Registre over rettigheter og forpliktelser i eiendom
- Kjøretøysregistre
Dette er et unntak fra hovedregelen om å inneha et overføringsgrunnlag. Det er viktig at unntak bare gjøres i særlige situasjoner. Et unntak skal ikke benyttes som hovedregel, og unntakene må tolkes restriktivt.
Overføringen skal ikke omfatte alle personopplysningene eller hele kategorier av personopplysninger i registeret. Man kan altså ikke bruke dette unntaket til ukritisk overføring av et helt register.
Når registeret er ment å være tilgjengelig for personer som har en berettiget interesse i det, skal overføring bare skje på anmodning fra nevnte personer, eller dersom de selv skal være mottakere i tredjelandet eller den internasjonale organisasjonen.
Dataeksportøren må fra sak til sak vurdere om overføringen bør gjennomføres, sett hen til de registrertes interesser og rettigheter. Videre bruk av personopplysningene som stammer fra registeret må bare foretas i samsvar med gjeldende personvernregelverk.
Dette unntaket kan også offentlige organer benytte for overføring av personopplysninger når de utøver offentlig myndighet.
Andre situasjoner
Hvis ingen av de særlige angitte unntakene nevnt over passer, fins det fortsatt ett snevert unntak: Enkeltstående, ikke-gjentakende overføringer kan skje hvis de er nødvendig av hensyn til tvingende berettigede interesser som går foran interessene, rettighetene og frihetene til de registrerte, og forutsatt at de kun gjelder et begrenset antall registrerte.
Alle omstendigheter tilknyttet overføringen skal vurderes, og vurderingen skal gi nødvendige garantier for beskyttelse av personopplysningene som skal overføres. Virksomheten skal dokumentere vurderingen og de nødvendige garantiene i sin protokoll over behandlingsaktiviteter.
Datatilsynet skal varsles om en slik overføring. De registrerte skal også informeres om overføringen og om de tvingende berettigede interessene.
Virksomheten bør i vurderingen ta særlig hensyn til:
- Personopplysningenes art
- Formålet med den foreslåtte behandlingen
- Varigheten av den foreslåtte behandlingen
- Situasjonen i den aktuelle mottakerstaten og i eventuelle andre stater personopplysningene vil ende opp til slutt
Offentlige organer kan ikke benytte dette unntaket når de utøver offentlig myndighet.
Krav om utlevering fra domstol eller et forvaltningsorgan i et tredjeland
En dom eller forvaltningsvedtak fra myndigheter i tredjeland kan i noen tilfeller pålegge utlevering av personopplysninger til tredjelandet. Slik utlevering skal i utgangspunktet bare skje dersom dommen eller vedtaket kan anerkjennes og håndheves etter internasjonal avtale, se personvernforordningen artikkel 48. En slik avtale kan for eksempel en mellomstatlig traktat om gjensidig juridisk bistand. I tilfeller hvor slik en avtale foreligger, bør en virksomhet som mottar krav om utlevering normalt avslå kravet og henvise myndigheten til avtalen og relevante norske myndigheter.