GDPR Learning Hub

Meny
  • Ta quizer
  • Last ned brukerveiledninger
  • Kjøp kurs
  • Kjøp maler
  • GDPR-kursene er under oppbygging

Informasjonssikkerhet

Overføring av personopplysninger til et tredjeland

Overføring av personopplysninger til et tredjeland kan være tillatt i noen tilfeller, mens det i andre er forbudt.

Hva er et tredjeland?

Selskaper som ønsker å overføre personopplysninger til et tredjeland, må sørge for at overføringen er lovlig før den finner sted. Definisjonen av et tredjeland er et land utenfor EU/EØS.

Eksempler på overføring av personopplysninger til et tredjeland:

What breaches of the GDPR can lead to an administrative fine?

E-post

Når en person i et selskap sender et dokument til en person i et land utenfor EU/EØS som inneholder personopplysninger som navn og telefonnummer.

Databehandling i skyen

Et selskap er en kontrollør og ønsker å lagre backup av personlige datafiler på en online skytjeneste, hvis selskap er utenfor EU / EØS.

Særlige situasjoner og unntak

Hvis EU-kommisjonen ikke har bestemt seg for tilstrekkelighet, eller om passende garantier (for eksempel bindende bedriftsregler), kan et selskap bare overføre personopplysninger til det tredjelandet dersom et vilkår i artikkel 45 GDPR er oppfylt. Unntak i særlige situasjoner er derfor nødvendig for atoverføring av personopplysninger til et tredjeland skal være lovlig. Et eksempel på et unntak som gjør en slik overføring gyldig, er når den registrerte har gitt uttrykkelig samtykke til overføringen og foretaket har overholdt opplysningskravet om risikoen ved overføringen. 

Overføring av personopplysninger til USA

EU-US Privacy Shield var en avtale som ble inngått i 2016 mellom EU og USA om beskyttelse av personopplysninger som overføres mellom EU og USA. I 2020 opphevet EU-domstolen «EU-US Privacy Shield» i den såkalte Schrems II-dommen. Dette innebar at Privacy Shield-avtalen ikke ga tilstrekkelig beskyttelse under GDPR for overføring av personopplysninger til tredjeland. Som et resultat var det ikke lenger tillatt å støtte overføringen på EU-US Privacy Shield. Etter Shrems II-avgjørelsen begynte EU og USA å etablere en ny avtale, uten de manglene som ble identifisert av kjennelsen; 

EU-kommisjonen vedtok en ny tilstrekkelighetsavgjørelse for USA i 2023. På den annen side må den mottakende parten være underlagt det nye EU-U.S. Data Privacy Framework (DPF). Med andre ord, hvis mottakeren av personopplysningene er underlagt DPF, tillater beslutningen overføring av personopplysninger til USA uten ytterligere garantier. 

Selv om mottakeren i USA ikke er underlagt DPF, kan overføring av personopplysninger fortsatt være tillatt. På den annen side må selskapet som overfører personopplysningene implementere passende sikkerhetstiltak i slike tilfeller.

Tilstrekkelig

Europakommisjonen (EU-kommisjonen) kan beslutte at et land har et «tilstrekkelig beskyttelsesnivå».Videre kan en slik beslutning gjelder et bestemt territorium, for eksempel en føderal stat i et land, snarere enn hele landet. I dette tilfellet kan selskaper som behandler personopplysninger som omfattes av GDPR, overføre personopplysninger til dem uten noen spesifikk autorisasjon eller ytterligere garantier. Eksempler på ytterligere sikkerhetstiltak som skal tas ved overføring til et tredjeland som ikke har et tilstrekkelig beskyttelsesnivå, er inngåelse av EUs standard kontraktsklausuler (SCC) eller etablering av bindende konsernregler (Binding Corporate Rules, BCR). 

Ytterligere beskyttelsestiltak

Hvis et tredjeland ikke gir et tilstrekkelig beskyttelsesnivå i henhold til EU-kommisjonen, må selskapet som ønsker å overføre personopplysningene til det, innføre ytterligere sikkerhetstiltak. Dette kan gjøres på forskjellige måter. For eksempel ved å etablere bindende selskapsregler. En annen ekstra sikkerhet er å inkludere standard kontraktsklausuler fra EU-kommisjonen i kontrakten med tredjepartsoperatøren som vil motta personopplysningene. Ytterligere eksempler på en ekstra beskyttelse inkluderer muligheten for selskapet å abonnere på en godkjent adferdskodeks. En kort oppsummering av disse ekstra sikkerhetstiltakene finner du nedenfor.

Bindende selskapsregler

Et multinasjonalt konsern, for eksempel et multinasjonalt konsern eller flere selskaper i forskjellige land som i fellesskap utøver en økonomisk virksomhet, kan fastsette bindende virksomhetsregler for å regulere overføring av personopplysninger til selskaper i sitt eget konsern som er lokalisert i et tredjeland. 

BCR er et eksempel på en passende beskyttelse i henhold til artikkel 46 (2) (b) GDPR og er videre regulert i artikkel 47 GDPR. 

BCR-ene må godkjennes av den ansvarlige DPA-en for å kunne brukes som en ekstra hensiktsmessig beskyttelse. I tillegg kan enhver annen EU / EØS databeskyttelsesmyndighet samt European Data Protection Board avgi en uttalelse før godkjenningen.

Standard kontraktsbestemmelser (SCC)

EU-kommisjonen har utviklet og godkjent standard kontraktsklausuler (SCC) som selskaper kan bruke når de overfører personopplysninger til et tredjeland (dvs. et land utenfor EU/EØS som ikke har et tilstrekkelig beskyttelsesnivå). 

Vær oppmerksom på at EU-kommisjonen kan oppdatere standard kontraktsklausuler, noe som betyr at selskaper som bruker dem, også må oppdatere standard kontraktsklausuler i sine inngåtte kontrakter.

Kort sagt regulerer SCC overføring av personopplysninger som faller innenfor rammen av GDPR til et tredjeland. Formålet med avtalen er å oppfylle GDPRs krav til «sikkerhetsvakter» i forbindelse med overføringer til tredjeland (i henhold til artikkel 46 i GDPR).

Sensitive personal data according to GDPR
Valg av riktige klausuler ved bruk av SCC

Standard kontraktsklausuler inneholder bestemmelser som gjelder for ulike typer situasjoner. Strukturen er delt inn i ulike «moduler». SCC består av bestemmelser knyttet til fire moduler. For eksempel for overføring av personopplysninger fra en EU-kontroller til en annen kontroller i et tredjeland, eller en prosessor i et tredjeland. Det er viktig å bruke de klausulene i avtalen som passer til den spesifikke situasjonen.

Etiske retningslinjer eller sertifiseringsmekanismer

En Code of Conduct er en spesifikk instruksjon i en bestemt bransje om hvordan å overholde GDPR. Spesielt ved å gi praktiske instruksjoner. Det er vanlig for organisasjoner som representerer en bestemt bransje å lage en adferdskodeks som selskaper kan abonnere på. En fordel er at det kan øke tilliten til kundene. 

Mer om GDPR

Be om forhåndskonsultasjon med den nasjonale personvernmyndigheten

I noen tilfeller må et selskap be om forhåndskonsultasjon med den nasjonale databeskyttelsesmyndigheten før den begynner å behandle personopplysninger. Dette omfatter tilfeller der risikoen for de registrertes rettigheter og friheter fortsatt er høy etter at selskapet har gjennomført en konsekvensanalyse. Vær oppmerksom på at selskapet må gjennomføre en konsekvensanalyse før du ber om forhåndskonsultasjon. 

Lyst til å lære mer?

Les mer
Skroll til toppen