Choose language

Overføring av personopplysninger til tredjeland: Dette må du ta stilling til nå

Bruker dere leverandører utenfor EU – for eksempel amerikanske skytjenester eller supporttjenester i tredjeland? Da må dere forholde dere til GDPRs regler om overføring av personopplysninger til land utenfor EØS. 

I dette innlegget får du oversikt over hva som gjelder, når det kreves ekstra tiltak – og hva Schrems II-dommen faktisk betyr i praksis.

Hva betyr overføring av personopplysninger til tredjeland?

Overføring til tredjeland innebærer at personopplysninger sendes til et land utenfor EU/EØS. Det kan for eksempel være hvis dere bruker en skytjeneste i USA, har et IT-system med databehandling i India, eller benytter supportfunksjoner i andre verdensdeler.

GDPR krever at personopplysningene fortsatt er beskyttet på et tilstrekkelig nivå – også etter at de er overført ut av EØS. Det betyr at dere ikke kan overføre data uten at visse vilkår er oppfylt.

Når gjelder reglene om overføring ut av EØS?

Reglene gjelder for både behandlingsansvarlige og databehandlere i EU/EØS – og for alle typer overføringer, uavhengig av formål eller type data. Det handler ikke bare om å flytte store mengder data, men også om tilgang – for eksempel hvis en utvikler i et tredjeland har tilgang til personopplysninger i et europeisk system.

Hva er et advekvat beskyttelsesnivå - og hvilke land har det?

EU-kommisjonen kan fatte en såkalt adekvansbeslutning, som betyr at et tredjeland har lover og systemer som gir tilstrekkelig beskyttelse for personopplysninger – tilsvarende nivået i EU.

Hvis et slikt vedtak er på plass, kan virksomheten overføre personopplysninger uten ekstra tiltak. Du finner oppdatert oversikt over slike land på EU-kommisjonens nettsider. 

Hva gjelder hvis landet ikke har en adekvansbeslutning?

Da må dere bruke egnede beskyttelsestiltak, som definert i GDPR artikkel 46. Den vanligste løsningen er å bruke standard personvernbestemmelser (også kalt standardavtaler eller SCC – Standard Contractual Clauses).

EU-kommisjonen oppdaterte disse i juni 2021, og det finnes i dag ulike varianter tilpasset ulike typer overføringer:

  • Fra behandlingsansvarlig i EU til behandlingsansvarlig i tredjeland

  • Fra behandlingsansvarlig i EU til databehandler i tredjeland

  • Fra databehandler i EU til databehandler eller behandlingsansvarlig i tredjeland

Disse standardavtalene kan brukes som en del av en eksisterende kontrakt eller inngås separat.

Hva innebærer Schrems II- dommen?

Schrems II-dommen fra 2020 slo fast at tidligere overføringsgrunnlag mellom EU og USA (Privacy Shield) ikke lenger var gyldig. Dommen stiller strengere krav til vurdering av lover og myndighetsadgang i mottakerlandet.

Det betyr at det ikke er nok å bruke standardavtaler alene. Virksomheten må vurdere om beskyttelsen i praksis er god nok – basert på forhold som:

  • Risiko for myndighetsinnsyn eller masseovervåking

  • Manglende rettssikkerhet for registrerte

  • Mottakerlandets rettssystem og tilsynsstruktur

Dersom risikoen er høy, må virksomheten supplere standardavtalene med ytterligere tiltak – tekniske, organisatoriske eller juridiske.

Kan man bruke egne tillegg til standardavtalene?

Ja, men med forbehold. Det er tillatt å legge til egne bestemmelser i kontrakten, så lenge disse ikke strider mot innholdet i standardavtalene, og ikke reduserer rettighetene til de registrerte.

Det er for eksempel mulig å:

  • Spesifisere hvordan data skal krypteres

  • Beskrive sikkerhetsrutiner

  • Innføre prosedyrer for varsling ved innsynsforespørsler fra myndigheter

Er standardavtaler en garanti for lovlig overføring?

Nei. Standardavtaler er et nødvendig tiltak, men ikke alltid tilstrekkelig. Dere må alltid gjøre en konkret vurdering før hver enkelt overføring – og ta hensyn til blant annet type data, mottakerlandets lover, og tekniske sikkerhetstiltak.

I noen tilfeller må det også gjennomføres en DPIA (personvernkonsekvensvurdering) før overføringen.

Hva med unntak fra hovedregelen?

Du kan behandle personopplysninger basert på unntak når det er:

  • Nødvendig for å oppfylle en avtale med personen opplysningene gjelder.

  • Avgjørende for å ivareta vitale interesser, hvis personen ikke er i stand til å gi samtykke.

  • Gitt et uttrykkelig og informert samtykke fra den registrerte.

  • Nødvendig for rettslige krav – for eksempel fastsette, gjøre gjeldende eller forsvare rettigheter.

  • Knyttet til viktige samfunnsinteresser som er definert i lovverket.

  • Hentet fra et offentlig tilgjengelig register.

  • Nødvendig for å oppfylle en avtale i den registrertes interesse – altså når avtalen gagner personen direkte.

Tre raske spørsmål (og svar) om overføring til tredjeland

1. Må vi bruke standard personvernbestemmelser (SCC) for overføring til USA?

Etter Schrems II-dommen i 2020 ble Privacy Shield-avtalen mellom EU og USA ugyldig, og lenge måtte man bruke standard personvernbestemmelser (SCC) kombinert med en risikovurdering (TIA) ved overføring til USA.

Fra sommeren 2023 ble dette enklere: EU-US Data Privacy Framework erstattet Privacy Shield. Bruker dere amerikanske selskaper som er sertifisert etter denne nye ordningen, trenger dere ikke lenger SCC eller TIA. Hvis selskapet ikke er sertifisert, gjelder fortsatt krav om SCC og TIA.

2. Regnes Storbritannia som tredjeland, og trenger vi ekstra tiltak?

Ja, Storbritannia regnes nå som tredjeland etter Brexit. Men EU-kommisjonen har vedtatt en adekvansbeslutning for Storbritannia, noe som betyr at dere kan overføre personopplysninger dit uten å måtte bruke SCC eller gjøre ekstra risikovurderinger.

3. Må vi gjøre en DPIA ved overføring til tredjeland?

Ikke automatisk. Overføring til tredjeland i seg selv krever ikke en DPIA (personvernkonsekvensvurdering). DPIA blir aktuelt når databehandlingen innebærer høy risiko, som ved bruk av ny teknologi eller store mengder sensitive personopplysninger. At data går til tredjeland kan være en faktor i vurderingen, men utløser ikke alene DPIA-krav.

Trenger du hjelp til å vurdere overføring til tredjeland?

Å overføre personopplysninger ut av EØS krever mer enn en avtale. Du må forstå risikoene, kjenne til kravene i Schrems II, og kunne dokumentere at vurderingene er gjort riktig.

Mange virksomheter utsetter disse vurderingene – men kravene gjelder uansett. Det kan få konsekvenser både juridisk og tillitsmessig dersom overføringen skjer uten tilstrekkelig grunnlag.

Vi hjelper virksomheter med:

  • Vurderinger av overføringsgrunnlag

  • DPIA-er knyttet til tredjelandsoverføringer

  • Oppfølging og dokumentasjon i tråd med GDPR

Med tjenesten Privacy as a Service får dere den riktige kombinasjonen av verktøy, kompetanse og metode for å veilede dere trygt gjennom GDPR-arbeidet. Våre jurister og personvernombud hjelper dere med både vurderinger, prosjektledelse og løpende støtte – tilpasset din virksomhets behov.

Book en demo og se hvordan vi kan hjelpe. 

Categories

Related blog posts