Overføring av personopplysninger ut av EØS

Overføring av personopplysninger til land utenfor Det europeiske økonomiske samarbeidsområdet (EØS) er ofte viktig for internasjonal handel eller samarbeid. Din SMB kan bli nødt til å overføre personopplysninger til et land utenfor EØS som ledd i sine aktiviteter, for eksempel når du må dele personopplysninger med forretningspartnere eller leverandører som er basert utenfor EØS.

GDPR inneholder spesifikke bestemmelser for slike overføringer. Disse bestemmelsene skal sikre at personopplysninger som overføres ut av EØS garanteres et tilsvarende beskyttelsesnivå som innenfor EØS.

Hva er en overføring av personopplysninger utenfor EØS?

 «Overføring» er ikke definert i GDPR. EDPB har imidlertid identifisert følgende tre kumulative vilkår for at det skal være snakk om en overføring utenfor EØS: 

  • en behandlingsansvarlig eller en databehandler er underlagt GDPR for den bestemte behandlingen;
  • den behandlingsansvarlige eller databehandleren (dataeksportøren) sender eller på annen måte tilgjengeliggjør de aktuelle personopplysningene til en annen virksomhet (behandlingsansvarlig eller databehandler);
  • den andre virksomheten (dataimportøren) er i et land utenfor EØS eller er en internasjonal organisasjon.

Hvordan overføre personopplysninger utenfor EØS?

GDPR begrenser overføringer av personopplysninger utenfor EØS, til tredjeland eller til internasjonale organisasjoner, for å sikre at beskyttelsesnivået for de registrerte forblir det samme i henhold til GDPR.

Personopplysninger kan bare overføres utenfor EØS i henhold til vilkårene for slike overføringer fastsatt i kapittel V i GDPR.

Vilkårene for overføringer må etterleves i tillegg til de øvrige reglene i GDPR. Disse vilkårene er et tilleggskrav til for eksempel de grunnleggende behandlingsprinsippene, som også må være oppfylt for overføring utenfor EØS. Når du overfører personopplysninger må du fortsatt sørge for at du har et passende rettslig grunnlag for behandlingen; at de nødvendige sikkerhetstiltakene gjennomføres; at du bare behandler de personopplysningene som er nødvendige for de fastsatte formålene (prinsipp om dataminimering), etc. Hvis mottakeren av personopplysningene fungerer som databehandler er du fortsatt lovpålagt å sette opp en databehandleravtale. Akkurat som du ville gjort for en databehandler innenfor EØS. 

I henhold til GDPR er det i prinsippet to hovedmåter for overføring av personopplysninger til et land utenfor EØS eller en internasjonal organisasjon. Overføringer kan skje på grunnlag av en beslutning om tilstrekkelig beskyttelsesnivå, eller, i mangel av en slik beslutning, på grunnlag av nødvendige garantier, under forutsetning av at den registrerte har håndhevbare rettigheter og effektive rettsmidler. I mangel av enten en beslutning om tilstrekkelig beskyttelsesnivå eller nødvendige garantier, tillater GDPR noen unntak i visse situasjoner.
Du finner mer informasjon om de forskjellige alternativene nedenfor.

Overføring på grunnlag av en beslutning om tilstrekkelig beskyttelsesnivå

EU-kommisjonen har mulighet til å vedta beslutninger om tilstrekkelig beskyttelsesnivå for å formelt bekrefte, med bindende virkning for EØS-land, at nivået på personvern i et land utenfor EØS eller en internasjonal organisasjon i hovedsak tilsvarer beskyttelsesnivået i EØS.

Når EU-kommisjonen vurderer om beskyttelsesnivået er tilstrekkelig, vektlegges det momenter som rettssikkerhet, respekt for menneskerettigheter og grunnleggende friheter, samt om de registrertes rettigheter er effektive og håndhevbare, om det eksisterer en effektiv tilsynsmyndighet i det aktuelle landet, og i lys av de internasjonale forpliktelsene landet eller den internasjonale organisasjonen har inngått. 

Hvis EU-kommisjonen bestemmer at landet har et tilstrekkelig beskyttelsesnivå og det vedtas en såkalt adekvansbeslutning, kan personopplysninger overføres til dataimportøren i det aktuelle landet utenfor EØS uten at det er nødvendig med ytterligere garantier og uten ytterligere vilkår knyttet til overføringen.Med andre ord vil overføringen til et land med tilstrekkelig beskyttelsesnivå, være likestilt med overføring av personopplysninger innenfor EØS. Virksomheten vil imidlertid fortsatt være underlagt de øvrige grunnleggende behandlingsprinsippene i henhold til GDPR, som forklart ovenfor.

En adekvansbeslutning kan dekke et land i sin helhet, eller den kan være begrenset til en konkret del (dvs. til en region). En adekvansbeslutning kan dessuten dekke alle overføringer av personopplysninger til et land, eller den kan være begrenset til enkelte typer overføringer (f.eks. i en bestemt sektor).

Så langt har EU-kommisjonen vedtatt adekvansbeslutninger for:

  • Andorra,
  • Argentina,
  • Canada (privat sektor),
  • Færøyene,
  • Guernsey,
  • Israel,
  • Isle of Man,
  • Japan,
  • Jersey,
  • New Zealand,
  • Sør-Korea,
  • Sveits,
  • Storbritannia,
  • USA (kommersielle virksomheter som deltar i EU-US Data Privacy Framework),
  • og Uruguay.

EU-kommisjonen publiserer listen over adekvansbeslutninger på sin nettside.

Dataeksportører er ansvarlige for å kontrollere om adekvansbeslutninger som er relevante for overføringen fortsatt er i kraft og ikke er i ferd med å bli tilbakekalt eller ugyldiggjort.

Vær oppmerksom på at adekvansbeslutninger ikke hindrer enkeltpersoner i å sende inn en klage. De forhindrer heller ikke tilsynsmyndigheter (DPA) i å utøve sin myndighet i henhold til GDPR.

Overføring på grunnlag av nødvendige garantier

I mangel av en adekvansbeslutning, kan virksomheter også overføre personopplysninger der dataimportøren kan gi nødvendige garantier. I tillegg må den registrerte kunne utøve sine rettigheter og ha effektive rettsmidler tilgjengelig.

Artikkel 46 GDPR  ramser opp en rekke overføringsgrunnlag som utgjør "nødvendige garantier" og som dermed kan benyttes til å overføre personopplysninger til land utenfor EØS, i fravær av en adekvansbeslutning. De viktigste overføringsgrunnlagene for private virksomheter etter artikkel 46 i GDPR er:

  • Standard personvernbestemmelser (SCC-er);
  • Bindende virksomhetsregler (BCR)
  • Atferdsnormer;
  • Sertifiseringsmekanismer,
  • Ad hoc avtalevilkår.

Standard kontraktsklausuler (SCC)

Standard personvernbestemmelser (SCC) er et sett av standardiserte kontrakter som gjør det mulig for dataeksportører å gi nødvendige garantier. Det er et verktøy som ofte brukes av mange virksomheter. EU-kommisjonen har myndighet til å vedta SCC som et passende vern for overføring av personopplysninger til land utenfor EØS i henhold til artikkel 46 annet ledd bokstav c GDPR.

Den 4. juni 2021 vedtok EU-kommisjonen en gjennomføringsbeslutning om SCC-er for overføring av personopplysninger til land utenfor EØS i henhold til GDPR. EU-kommisjonen har også et sett med standard personvernbestemmelser på deres hjemmeside. Finn ut mer om  standard personvernbestemmelser. 

SCC-ene adresserer ulike overføringstilfeller og kompleksiteten til moderne behandlingskjeder. Behandlingsansvarlige og databehandlere kan bruke flere alternativer, avhengig av de spesifikke omstendighetene ved overføringen, som inkluderer:

  • behandlingsansvarlig-til-behandlingsansvarlig (C2C),
  • behandlingsansvarlig-til-databehandler (C2P),
  • databehandler-til-databehandler (P2P),
  • databehandler-til-behandlingsansvarlig (P2C), databehandler som er i EU og den behandlingsansvarlige i et tredjeland.

Andre viktige aspekter ved SCC er:

  • en mulighet for flere enn to parter til å etterleve bestemmelsene;
  • en mulighet, med noen unntak, til å bruke SCC ved overføring av personopplysninger til en underdatabehandler i et land utenfor EØS;
  • en mulighet, med noen unntak, for enkeltpersoner å påberope seg bestemmelsene som tredjepart;
  • regler om ansvar mellom partene i tilfelle brudd på den registrertes rettigheter;
  • enkeltpersoners rett til erstatning for skade påført når deres rettigheter er blitt brutt;
  • et krav om å gjennomføre en vurdering av personvernkonsekvenser ved overføring som dokumenterer de spesifikke omstendighetene ved overføringen, lovgivningen i landet til dataimportøren og de ekstra sikkerhetstiltakene som er iverksatt for å beskytte personopplysningene;
  • forpliktelser ved offentlige myndigheters tilgang til de overførte personopplysningene, f.eks. plikten til å gi informasjon til dataeksportører og til å bestride ulovlige forespørsler.
Lenke
Art. 46 (c) & (d) GDPR

EUR-Lex

Lenke
Artikkel 93 (2) GDPR

EUR-Lex

Lenke
Spørsmål og svar om standard personvernbestemmelser

EU-kommisjonen

Bindende virksomhetsregler (BCR)

Bindende virksomhetsregler (BCR) bidrar til å sikre et tilstrekkelig beskyttelsesnivå for datautveksling innad i en multinasjonal gruppe av virksomheter som er etablert både innenfor og utenfor EØS, og er mer egnet for grupper av virksomheter som utfører et stort antall dataoverføringer.

BCR er interne regler vedtatt av en gruppe virksomheter, som fastsetter deres globale retningslinjer for overføring av personopplysninger. Disse reglene må være bindende og fulgt av alle konsernenheter, uavhengig av deres vertsland. Videre må de uttrykkelig gi håndhevbare rettigheter til enkeltpersoner i forbindelse med behandling av personopplysninger.

Vilkårene som må respekteres for å få en BCR godkjent av den kompetente tilsynsmyndighet følger av artikkel 47 i GDPR og er videre forklart i anbefalingene vedtatt av artikkel 29 -gruppen og godkjent av EDPB. Ulike sett er gitt for BCR-behandlingsansvarlige og BCR-databehandlere.

Lenke
Artikkel 47 GDPR

EUR-Lex

Lenke
Anbefaling fra EDPB om standard søknadsskjema for godkjenning av behandlingsansvarliges bindende virksomhetsregler for overføring av personopplysninger

NORSK

Lenke
Artikkel 29 -gruppe: anbefaling om godkjenning av databehandlerens bindende virksomhetsregler

EU-kommisjonens nyhetsrom

Atferdsnormer

GDPR innfører dette nye grunnlaget for overføringer. I motsetning til BCR, som kan utarbeides direkte av grupper av virksomheter, er atferdsormer sektorspesifikke og utviklet av foreninger som representerer kategorier av virksomheter. Et system av akkrediterte organer som kontrollerer etterlevelse av atferdsnormene må innføres. EDPB har tatt initiativ til å klargjøre vilkårene for hvordan atferdsnormer kan brukes og godkjennes av vedkommende myndigheter. I tillegg til dette har EDPB også ansvaret for å sikre ensartethet i vilkårene for akkreditering av kontrollorganer.

Lenke
Art. 40 GDPR

EUR-Lex

Lenke
Art. 46(e) GDPR

EUR-Lex

Lenke
Retningslinjer for atferdsnormer som grunnlag for overføring

NORSK

Sertifisering

GDPR innfører dette nye grunnlaget for dataoverføringer til organisasjoner som er sertifisert av sertifiseringsorganer eller tilsynsmyndigheter.
EDPB har vedtatt retningslinjer for å avklare vilkårene for å etablere en sertifiseringsmekanisme. Denne mekanismen er fortsatt under utvikling.
EDPB har også ansvaret for å sikre ensartethet i vilkårene for akkreditering av sertifiseringsorganer.

Lenke
Art. 42 GDPR

EUR-Lex

Lenke
Art. 46(f) GDPR

EUR-Lex

Lenke
Retningslinjer for sertifisering som grunnlag for overføringer

NORSK

Ad hoc avtalevilkår

Dersom den behandlingsansvarlige eller databehandler velger å ikke benytte EU-kommisjonens standard personvernbestemmelser, kan de utarbeide egne avtalevilkår («ad hoc» -vilkår) som gir tilstrekkelig personvernsgarantier. Før en eventuell dataoverføring må avtalevilkårene godkjennes av vedkommende tilsynsmyndighet i samsvar med artikkel 46 nr. 3 bokstav a GDPR og etter tilslutning av EDPB.

Lenke
Artikkel 46 (3)(a) GDPR

EUR-Lex

Tilleggskrav etter Schrems II-avgjørelsen

I sin dom C-311/18 (Schrems II) fra 2020 understreket EU-domstolen (CJEU) det mulige behovet for ytterligere tiltak for å sikre det nødvendige beskyttelsesnivået ved overføring av personopplysninger utenfor EØS. 

SCCer og andre overføringsgrunnlag nevnt i artikkel 46 GDPR opererer ikke i et vakuum. EU-domstolen fastslo at den behandlingsansvarlige eller databehandler som er dataeksportør,er ansvarlig for å undersøke om loven eller praksisen i tredjelandet kan påvirke effektiviteten av nødvendige garantier for overføring etter artikkel 46.

EDPB har vedtatt anbefalinger om tilleggskravene for å hjelpe dataeksportører med den komplekse vurderingen av tredjeland som mottar personopplysningene og av hensiktsmessige ytterligere tiltak etter behov.

Lenke
Anbefalinger om tilleggskrav

NORSK

Lenke
Spørsmål og svar om Schrems II avgjørelse

NORSK

Overføring på grunnlag av unntak

I tillegg til adekvansbeslutninger og overføringsgrunnlag etter artikkel 46 GDPR, inneholder GDPR en tredje mulighet som tillater overføring av personopplysninger i visse situasjoner. Underlagt særlige vilkår, kan du overføre personopplysninger basert på unntak som følger av artikkel 49 i GDPR. 

Artikkel 49 GDPR har en restriktiv karakter. Unntakene må tolkes på en måte som ikke undergraver hovedregelen om at personopplysninger ikke kan overføres til land utenfor EØS med mindre det foreligger en adekvansbeslutning eller nødvendige garantier. Unntakene skal ikke benyttes som hovedregel og må derfor begrenses til særlige situasjoner.

Basert på artikkel 49 GDPR, kan en overføring gjøres når:

  • den registrerte har gitt et uttrykkelig og informert samtykke;
  • nødvendig for å oppfylle en avtale med den registrerte, eller for tiltak som treffes før oppfyllelsen av avtalen på anmodning fra den registrerte;
  • nødvendig for å oppfylle en avtale i den registrertes interesse mellom den behandlingsansvarlige og en annen fysisk eller juridisk person;
  • nødvendig av av hensyn til viktige allmenne interesser;
  • nødvendig for å fastsette, gjøre gjeldende eller forsvare rettskrav;
  • nødvendig for å verne den registrertes eller andre personers vitale interesser, når den registrerte fysisk eller juridisk er ute av stand til å gi samtykke, eller
  • personopplysningene hentes fra et register som i henhold til unionsretten eller nasjonal rett er et offentlig register (og som er tilgjengelig for allmennheten eller for enhver person som kan gjøre gjeldende en berettiget interesse).

En "nødvendighetstest" må anvendes for å vurdere nødvendigheten av overføringen. Denne testen krever en vurdering av om en overføring av personopplysninger kan anses som nødvendig for det særlige formålet med det aktuelle unntaket.

Når ingen av de ovennevnte unntakene får anvendelse på en bestemt situasjon, er det mulig å overføre personopplysninger av hensyn til berettigede interesser som forfølges av den behandlingsansvarlige.

Slike overføringer er imidlertid tillatt bare dersom overføringen:

  • ikke er gjentakende (lignende overføringer gjøres ikke regelmessig);
  • bare gjelder et begrenset antall registrerte;
  • er nødvendig for de berettigede interessene som forfølges (forutsatt at den registrertes interesser eller rettigheter og friheter ikke går foran);
  • er underlagt egnede sikkerhetstiltak satt på plass av virksomheten (i lys av en vurdering av alle omstendighetene rundt overføringen) for å beskytte personopplysningene; og
  • ikke er gjort av en offentlig myndighet i utøvelsen av sin offentlige myndighet.

I slike tilfeller er virksomheter forpliktet til å underrette den relevante tilsynsmyndigheten om overføringen og gi ytterligere informasjon til den registrerte.

Generelt bør unntak bare brukes som en siste utvei for en dataoverføring — virksomheter må først vurdere om det ikke er mulig å bruke enten en adekvansbeslutning eller nødvendige garantier.

Når du baserer deg på unntak etter artikkel 49 i GDPR, må du huske på at virksomheter som overfører data også må overholde andre bestemmelser i GDPR (har et rettslig grunnlag behandlingen, implementere sikkerhetstiltak, dataminimering, signere en avtale hvis mottakeren er en databehandler, etc).

Lenke
Art. 49 GDPR

EUR-Lex

Lenke
Retningslinjer for unntak

NORSK