Bruker dere leverandører utenfor EU – for eksempel amerikanske skytjenester eller supporttjenester i tredjeland? Da må dere forholde dere til GDPRs regler om overføring av personopplysninger til land utenfor EØS.
I dette innlegget får du oversikt over hva som gjelder, når det kreves ekstra tiltak – og hva Schrems II-dommen faktisk betyr i praksis.
Overføring til tredjeland innebærer at personopplysninger sendes til et land utenfor EU/EØS. Det kan for eksempel være hvis dere bruker en skytjeneste i USA, har et IT-system med databehandling i India, eller benytter supportfunksjoner i andre verdensdeler.
GDPR krever at personopplysningene fortsatt er beskyttet på et tilstrekkelig nivå – også etter at de er overført ut av EØS. Det betyr at dere ikke kan overføre data uten at visse vilkår er oppfylt.
Reglene gjelder for både behandlingsansvarlige og databehandlere i EU/EØS – og for alle typer overføringer, uavhengig av formål eller type data. Det handler ikke bare om å flytte store mengder data, men også om tilgang – for eksempel hvis en utvikler i et tredjeland har tilgang til personopplysninger i et europeisk system.
EU-kommisjonen kan fatte en såkalt adekvansbeslutning, som betyr at et tredjeland har lover og systemer som gir tilstrekkelig beskyttelse for personopplysninger – tilsvarende nivået i EU.
Hvis et slikt vedtak er på plass, kan virksomheten overføre personopplysninger uten ekstra tiltak. Du finner oppdatert oversikt over slike land på EU-kommisjonens nettsider.
Da må dere bruke egnede beskyttelsestiltak, som definert i GDPR artikkel 46. Den vanligste løsningen er å bruke standard personvernbestemmelser (også kalt standardavtaler eller SCC – Standard Contractual Clauses).
EU-kommisjonen oppdaterte disse i juni 2021, og det finnes i dag ulike varianter tilpasset ulike typer overføringer:
Disse standardavtalene kan brukes som en del av en eksisterende kontrakt eller inngås separat.
Schrems II-dommen fra 2020 slo fast at tidligere overføringsgrunnlag mellom EU og USA (Privacy Shield) ikke lenger var gyldig. Dommen stiller strengere krav til vurdering av lover og myndighetsadgang i mottakerlandet.
Det betyr at det ikke er nok å bruke standardavtaler alene. Virksomheten må vurdere om beskyttelsen i praksis er god nok – basert på forhold som:
Dersom risikoen er høy, må virksomheten supplere standardavtalene med ytterligere tiltak – tekniske, organisatoriske eller juridiske.
Ja, men med forbehold. Det er tillatt å legge til egne bestemmelser i kontrakten, så lenge disse ikke strider mot innholdet i standardavtalene, og ikke reduserer rettighetene til de registrerte.
Det er for eksempel mulig å:
Nei. Standardavtaler er et nødvendig tiltak, men ikke alltid tilstrekkelig. Dere må alltid gjøre en konkret vurdering før hver enkelt overføring – og ta hensyn til blant annet type data, mottakerlandets lover, og tekniske sikkerhetstiltak.
I noen tilfeller må det også gjennomføres en DPIA (personvernkonsekvensvurdering) før overføringen.
Du kan behandle personopplysninger basert på unntak når det er:
Etter Schrems II-dommen i 2020 ble Privacy Shield-avtalen mellom EU og USA ugyldig, og lenge måtte man bruke standard personvernbestemmelser (SCC) kombinert med en risikovurdering (TIA) ved overføring til USA.
Fra sommeren 2023 ble dette enklere: EU-US Data Privacy Framework erstattet Privacy Shield. Bruker dere amerikanske selskaper som er sertifisert etter denne nye ordningen, trenger dere ikke lenger SCC eller TIA. Hvis selskapet ikke er sertifisert, gjelder fortsatt krav om SCC og TIA.
Ja, Storbritannia regnes nå som tredjeland etter Brexit. Men EU-kommisjonen har vedtatt en adekvansbeslutning for Storbritannia, noe som betyr at dere kan overføre personopplysninger dit uten å måtte bruke SCC eller gjøre ekstra risikovurderinger.
Ikke automatisk. Overføring til tredjeland i seg selv krever ikke en DPIA (personvernkonsekvensvurdering). DPIA blir aktuelt når databehandlingen innebærer høy risiko, som ved bruk av ny teknologi eller store mengder sensitive personopplysninger. At data går til tredjeland kan være en faktor i vurderingen, men utløser ikke alene DPIA-krav.
Å overføre personopplysninger ut av EØS krever mer enn en avtale. Du må forstå risikoene, kjenne til kravene i Schrems II, og kunne dokumentere at vurderingene er gjort riktig.
Mange virksomheter utsetter disse vurderingene – men kravene gjelder uansett. Det kan få konsekvenser både juridisk og tillitsmessig dersom overføringen skjer uten tilstrekkelig grunnlag.
Vi hjelper virksomheter med:
Med tjenesten Privacy as a Service får dere den riktige kombinasjonen av verktøy, kompetanse og metode for å veilede dere trygt gjennom GDPR-arbeidet. Våre jurister og personvernombud hjelper dere med både vurderinger, prosjektledelse og løpende støtte – tilpasset din virksomhets behov.
Book en demo og se hvordan vi kan hjelpe.