GDPR Learning Hub

Meny
  • Ta quizer
  • Last ned brukerveiledninger
  • Kjøp kurs
  • Kjøp maler
  • GDPR-kursene er under oppbygging

Informasjonssikkerhet

Særlige situasjoner og sporadiske overføringer

I visse typer særlige situasjoner og sporadiske overføringer av personopplysninger til tredjeland, kan det være tillatt å utføre overføringen.

Særlige situasjoner og sporadiske overføringer til tredjeländer

Dette gjelder selv om tredjelandet ikke har et tilstrekkelig beskyttelsesnivå, og uten at foretaket har truffet ytterligere garantier. Unntakene for slike særlige situasjoner og sporadisk overføring av personopplysninger til tredjeland er angitt i artikkel 49 i GDPR. 

What breaches of the GDPR can lead to an administrative fine?

Er overføringen nødvendig?

Selskapet bør prøve å ta hensiktsmessige sikkerhetstiltak som en prioritet. Alternativt kan du overføre personopplysninger til et land som har et tilstrekkelig beskyttelsesnivå som bestemt av EU-kommisjonen. I tillegg bør selskapet analysere om overføring av personopplysninger er nødvendig. Unntakene i artikkel 49 GDPR bør bare brukes av selskaper når selskapet ikke kan ta passende garantier.  

Overføring av personopplysninger til et tredjeland er tillatt, blant annet i disse Særlige situasjonene:

Sensitive personal data according to GDPR

Eksplisitt samtykke

Når selskapet innhenter uttrykkelig samtykke fra den registrerte. I slike tilfeller må den registrerte ha blitt informert om risikoene forbundet med overføringen, ettersom tredjelandet ikke har truffet en beslutning om tilstrekkelig beskyttelsesnivå og selskapet ikke har gitt tilstrekkelige garantier.

Gjennomføring av en kontrakt med den registrerte

Når overføring av personopplysninger er nødvendig for eksempel for å oppfylle en kontrakt mellom den registrerte og den behandlingsansvarlige. Dette kan også være tilfelle når det er nødvendig for utførelsen av operasjoner i henhold til en slik kontrakt, forutsatt at den registrerte ber om det.

What is the definition of anonymised data?

Utføre kontrakter med en annen part

Når overføring av personopplysninger er nødvendig for inngåelse eller gjennomføring av en kontrakt med en annen part enn den registrerte; Dette må imidlertid være i den registrertes interesse.

Subjektivt integritetskänsliga personuppgifter

Alminnelig interesse

Dersom en offentlig interesse er anerkjent i nasjonal lovgivning, og det er nødvendig å overføre personopplysningene for å oppnå dette. Dette kan også gjenspeiles i EU-retten.

Measures that companies need to take to comply with GDPR

Rettslige krav

Om selskapet trenger å overføre personopplysningene for å forsvare et juridisk krav. Det samme gjelder etablering eller fullbyrdelse av rettslige krav.

What is the definition of anonymised data?

Beskyttelse av grunnleggende interesser

Dersom den registrerte av juridiske eller fysiske årsaker ikke er i stand til å gi samtykke, og overføringen er nødvendig for å beskytte den registrertes grunnleggende interesse. I tillegg kan overføringen finne sted hvis det er nødvendig for å beskytte de vitale interessene til noen andre enn den registrerte.

I tillegg til å tillate overføring av personopplysninger i de ovennevnte Særlige situasjonene, er det mulig hvis overføringen oppfyller alle følgende kriterier:

Ikke vanlig

Det bør ikke være en vanlig overføring.

Begrenset antall registranter

Antallet registrerte som er gjenstand for overføringen er begrenset.

Berettiget interesse

Foretaket må ha en berettiget interesse i overføringen. I slike tilfeller skal foretaket utføre og dokumentere en interesseavveining for å vise dette.

Egnede sikkerhetsforanstaltninger

Selskapet må implementere passende sikkerhetstiltak for å beskytte personopplysningene basert på omstendighetene som fremgår av vurderingen.

Denne delen gir veiledning fra European Data Protection Board om spesifikke situasjoner og sporadisk overføring av personopplysninger til tredjeland. 

Interesseavveining ved overføring av personopplysninger til tredjeländer

Bedrifter kan utføre behandling av personopplysninger hvis de har en legitim interesse, noe som utgjør en (1) av de seks (6) juridiske grunnlagene i GDPR. Balanserende interesser betyr å balansere selskapets interesser mot interessene, rettighetene og frihetene til den registrerte. I tillegg må selskapet analysere alle omstendighetene rundt overføringen og implementere passende garantier med hensyn til beskyttelse av personopplysninger. Det er også viktig å huske på at selskaper kan vurdere at de har en legitim interesse, men ikke har den i samsvar med loven.

Vær oppmerksom på at selskaper må informere den nasjonale databeskyttelsesmyndigheten hvis de anser at de har en legitim interesse for en overføring til et tredjeland. I tillegg må de informere de registrerte om dette. Den skal blant annet angi hva som er den berettigede interessen som foretaket søker å oppnå med behandlingen.

Lær mer om informasjonssikkerhet

Standard kontraktsbestemmelser

En annen ekstra sikkerhet som selskaper kan ta i tilfelle overføringer til tredjeland er bruken av standard kontraktsklausuler vedtatt av EU-kommisjonen. På den annen side kan det hende at selskapet må ta flere garantier i visse tilfeller, selv om bruken av standard kontraktsklausuler vanligvis er tilstrekkelig. Det er viktig å vurdere å bruke de riktige klausulene i henhold til situasjonen. For eksempel, hvis det er en overføring til en prosessor i et tredjeland av en EU-kontroller, eller hvis det er en overføring mellom to prosessorer. 

Lyst til å lære mer?

Les mer
Skroll til toppen