Hvordan overføre personopplysninger til USA og andre land utenfor EU/EØS

Tredjelands­overføring av personopplysninger

I dagens globaliserte og digitaliserte verden er dataflyt en uunngåelig del av nesten all virksomhet. Men når personopplysninger skal flyttes fra Den europeiske union (EU) eller Det europeiske økonomiske samarbeidsområdet (EØS) til et såkalt tredjeland, må strenge regler følges. Feil håndtering kan føre til alvorlige konsekvenser, inkludert høye bøter og tapt kundetillit.

Dette innlegget gir deg en fordypning i hva en tredjelands­overføring innebærer, hvilke lover som regulerer den og hvordan du sikrer at dataene dine behandles på en trygg og lovlig måte. Vi går gjennom alt fra grunnleggende begreper til hvordan overføring skjer i praksis.

Hva er tredjelands­overføring?

Med et tredjeland menes land som ikke inngår i Det europeiske økonomiske samarbeidsområdet (EØS) – for eksempel USA, India, Australia, Russland, Mexico og Kina. Det er tillatt å overføre personopplysninger til land utenfor EU/EØS som EU-kommisjonen har godkjent og der det finnes et vedtak om tilstrekkelig beskyttelsesnivå, et såkalt adekvansbeslutning.

Et eksempel på et land hvor EU ved flere anledninger har truffet vedtak om tilstrekkelig beskyttelsesnivå, er USA. EU har sammen med USA inngått en avtale om hvordan personopplysninger skal overføres, behandles, lagres og beskyttes i USA. Den nåværende avtalen kalles EU-U.S Data Privacy Framework (DPF).

For at EU-kommisjonen skal kunne avgjøre om et land har et tilstrekkelig adekvat beskyttelsesnivå for personopplysninger, må det sikres at personopplysningene får samme beskyttelse i tredjelandet som under GDPR.

Det er viktig å merke seg at en overføring ikke bare handler om å fysisk flytte data. Det kan også være å gjøre personopplysninger tilgjengelige for noen i et tredjeland, selv om selve dataen lagres på en server innenfor EU. I bunn og grunn handler det om at GDPRs høye beskyttelsesnivå må opprettholdes, uavhengig av hvor informasjonen behandles eller av hvem.

Hva er adekvat beskyttelsesnivå?

Adekvat beskyttelsesnivå er et begrep i GDPR som avgjør om personopplysninger fra EU kan overføres til et land utenfor EU. Dersom EU-kommisjonen mener at et land har et adekvat beskyttelsesnivå, betyr det at landets lovgivning gir en beskyttelse som er likeverdig med den som finnes i EU/EØS.

Dette vedtaket er svært viktig for internasjonal handel og dataoverføringer. Dersom et land anses å opprettholde et adekvat beskyttelsesnivå, kan selskaper og organisasjoner i EU sende personopplysninger dit uten å måtte iverksette ytterligere tiltak, som for eksempel å etablere standard­avtale­klausuler (SCC-er) eller bindende konsernregler (BCR-er). Overføringen anses som lovlig basert på adekvansbeslutningen.

Eksempler på overføring til tredjeland

Det er ikke alltid lett å vite hva som regnes som en tredjelands­overføring. For eksempel er det ikke en tredjelands­overføring å publisere noe på internett når nettsiden lagres hos en leverandør etablert innen EU/EØS.

En tredjelands­overføring skjer hver gang personopplysninger forlater EU/EØS og overføres til et land utenfor dette området. Dette inkluderer:

• Lagring i skytjenester: Hvis en skytjenesteleverandør har serverne sine i et land utenfor EU/EØS, og personopplysningene lagres der, regnes det som en tredjelands­overføring. Det gjelder også hvis leverandøren er basert i EU, men lagrer data utenfor.
  
  
• E-post til mottakere utenfor EU/EØS: Å sende en e-post som inneholder personopplysninger til noen i et tredjeland, er en overføring, ettersom opplysningene da lagres på en server utenfor EU/EØS.
  
  
• Databehandler utenfor EU/EØS: Hvis du bruker en databehandler (en leverandør som behandler personopplysninger på dine vegne) som er basert i et tredjeland, regnes det som en overføring.
  
  
• Tilgjengeliggjøring av data: Hvis du gjør personopplysninger tilgjengelige for personer i et land utenfor EU/EØS, for eksempel ved å gi dem tilgang til en database, regnes det også som en overføring.

Hva regnes som tredjelands­overføring?

En tredjelands­overføring skjer når personopplysninger sendes fra en behandlingsansvarlig eller en databehandler i EU/EØS til en mottaker i et tredjeland (utenfor EU/EØS) eller til en internasjonal organisasjon.

En behandlingsansvarlig eller databehandler som følger personvernforordningen skal være den som behandler dataen. Denne parten gir data til en behandlingsansvarlig i et tredjeland eller en internasjonal organisasjon. Når det skjer en overføring til tredjeland, innebærer det også at handlingen må ha hjemmel i personvernforordningens kapittel V for å være lovlig.

Hvordan bør du overføre personopplysninger til USA og andre land utenfor EU/EØS?

Overføring av personopplysninger til land utenfor EU og EØS reguleres strengt av GDPR.

Nylig kom en avgjørelse fra EU-domstolen om dataoverføring til USA. Vedtaket bekrefter at det såkalte adekvansbeslutningen (DPF), som gjør det mulig for selskaper å overføre personopplysninger til USA, fortsatt skal gjelde. Det bekrefter at USA fremdeles oppfyller kravene til beskyttelse av personopplysninger i samsvar med EU-kommisjonens beslutning.

Dette innebærer at det fremdeles er lovlig å overføre personopplysninger til USA med støtte i adekvansbeslutningen, så lenge mottakeren er tilknyttet Data Privacy Framework-avtalen.

PCLOB (Privacy and Civil Liberties Oversight Board) overvåker for eksempel etterretningstjenesten og sørger for at individers rettigheter ikke krenkes når personopplysninger samles inn. PCLOB er en viktig del av EU-kommisjonens beslutning om adekvat beskyttelsesnivå i USA.

Her er en oversikt over hvordan du kan overføre personopplysninger på en trygg og lovlig måte:

1. Vedtak om adekvat beskyttelsesnivå
   Dette er den enkleste måten å overføre personopplysninger på. Hvis EU-kommisjonen har vedtatt at et land har et adekvat beskyttelsesnivå, anses landets lovgivning å gi en beskyttelse som tilsvarer GDPR. Du kan da overføre personopplysninger til mottakere i disse landene uten å måtte gjøre ytterligere tiltak eller inngå spesielle avtaler.
   
   
2. Egnede beskyttelsestiltak
   Hvis det ikke finnes et vedtak om adekvat beskyttelsesnivå for landet, må du bruke egnede beskyttelsestiltak. Dette er den vanligste metoden for internasjonale dataoverføringer. Du må sikre at mottakeren av opplysningene har iverksatt tiltak for å beskytte dem. De mest brukte metodene er:
   
   
   • Standard­avtale­klausuler (SCC): Standardiserte avtale­maler godkjent av EU-kommisjonen. Både avsender og mottaker av personopplysningene må signere og følge vilkårene.
     
     
   • Bindende konsernregler (BCR): Store internasjonale konsern kan bruke interne regler for å overføre data mellom sine ulike datterselskaper, forutsatt at de er godkjent av en tilsynsmyndighet (for eksempel Datatilsynet i Norge).
     
     
3. Unntak for spesifikke situasjoner
   Disse unntakene kan brukes i sjeldne tilfeller når ingen av de ovennevnte metodene er aktuelle. De får bare brukes under strengt angitte omstendigheter og er ikke en generell løsning for regelmessige overføringer.
   
   Unntak kan gjelde dersom den registrerte uttrykkelig har samtykket til overføringen, hvis det er nødvendig for å oppfylle en avtale med den registrerte, eller hvis overføringen er nødvendig av viktige allmenne interesser.
   
   Datatilsynet fraråder å bruke disse unntakene for systematiske eller regelmessige overføringer. Du må alltid ha et gyldig rettslig grunnlag for å overføre personopplysninger utenfor EU/EØS. Hvilket grunnlag som er egnet, avhenger av mottakerlandets status og formålet med overføringen.

Neste steg: Analyser risiko og dokumenter riktig

Når dere allerede har oversikt over hvilke personopplysninger som behandles i virksomheten, er neste steg å analysere risikoene. Med vår løsning håndterer du hele prosessen – fra behovsvurdering til dokumentert risikovurdering – i ett og samme verktøy:

• Alt samlet: Behandlingsprotokoll og DPIA i ett – ingen separate systemer eller dobbeltarbeid
  
  
• Forhåndsvurdering på noen minutter: Få raskt svar på om en DPIA kreves
  
  
• Ferdig dokumentasjon – strukturert etter GDPR artikkel 35
  
  
• Fleksibelt oppsett: Tilpass vurderingen etter ulike behandlinger og risikonivåer
  
  
• Smidig samarbeid: Jobb på tvers av team – direkte i løsningen

Med én og samme plattform får du kontroll over både oversikt og risiko – strukturert, dokumentert og klart for eventuell revisjon.

Book en demo.

Viktigheten av å jobbe proaktivt med tredjelands­overføringer

Å håndtere tredjelands­overføringer på riktig måte krever et proaktivt og systematisk arbeid:

• Kartlegg dataflytene dine: Ha full kontroll over hvor personopplysningene dine befinner seg og hvor de sendes. Hvilke av leverandørene og samarbeidspartnerne dine er basert utenfor EU/EØS?
  
  
• Gjennomfør overføringsvurderinger: Sørg for at du har gjort en grundig vurdering av risikoene i mottakerlandet, og dokumenter konklusjonene og eventuelle ytterligere tiltak.
  
  
• Velg leverandører med omhu: Foretrekk leverandører som kan tilby servere og lagring innen EU/EØS, hvis mulig. Hvis du må bruke en tredjelandsleverandør, kontroller sertifiseringene og avtalene deres.
  
  
• Hold deg oppdatert: Lover og regler for internasjonale dataoverføringer endres stadig. Følg utviklingen og anbefalingene fra Datatilsynet og EU-kommisjonen.
  
  
• Dokumenter alt: Alt arbeid med tredjelands­overføringer må dokumenteres nøye. Dette inkluderer rettslig grunnlag, overføringsvurderinger og avtaler.

Trenger du hjelp med å få struktur på personvernarbeidet ditt og sikre at alle dataflytene dine er trygge og lovlige?

Vi tilbyr spesialiserte tjenester for å hjelpe virksomheter med å navigere i GDPRs kompleksitet. Med en tydelig prosjektplan og kontinuerlig oppfølging kan dere implementere personvernforordningen på en god måte og få struktur på personvernarbeidet deres.

Book en demo i dag og se hvordan Privacy as a Service kan hjelpe dere å jobbe effektivt, langsiktig og lovlig.