Informasjonssikkerhet
Ytterligere beskyttelsestiltak
I noen tilfeller må selskaper innføre ytterligere sikkerhetstiltak ved overføring av personopplysninger til tredjeland. Et tredjeland er et land utenfor EU/EØS. Europakommisjonen («Kommisjonen») kan beslutte at en tredjeland sikrer et tilstrekkelig beskyttelsesnivå.
Ytterligere beskyttelsestiltak ved overføring av personopplysninger
Hvis et selskap ønsker å overføre personopplysninger til et tredjeland, men EU-kommisjonen ikke har bestemt at landet sikrer et tilstrekkelig beskyttelsesnivå, eller hvis overføringen kvalifiserer for bestemte situasjoner og sporadiske overføringer, må selskapet sette på plass ytterligere sikkerhetstiltak ved overføring av personopplysninger til et tredjeland.
Land utenfor EU/EØS garanterer ikke de tilsvarende forpliktelsene og rettighetene som GDPR gir innenfor EU når selskaper behandler personopplysninger. Derfor er reglene strengere ved overføring av personopplysninger fra EU til et tredjeland.
Vær oppmerksom på at det må være en mulighet for de registrerte å få saken rettslig vurdert.
Her kan du lese anbefalingene fra European Data Protection Board (EDPB) om når ytterligere sikkerhetstiltak kan være nødvendig. De har også satt opp mer om hva slike tiltak kan være.
Schrems II dom og overføring av personopplysninger til tredjeland
EU-domstolen fant i Schrems II-dommen at Privacy Shield-avtalen ikke ga tilstrekkelig beskyttelse av personopplysninger ved overføring av personopplysninger fra USA til USA. Avtalen ble inngått mellom EU og USA, og med EU-domstolens ugyldighet var det ikke lenger mulig å overføre personopplysninger til USA under Privacy Shield. Deretter begynte EU og USA med etableringen av en ny avtale som dekker manglene som ble fremhevet av EU-domstolen.
I 2023 tok EU-kommisjonen en ny beslutning om overføringer til USA og etablerte en ny avtale, EU-U.S. Data Privacy Framework (DPF). Hvis mottakerparten er koblet til det nye DPF-rammeverket, tillates overføringer der uten at EU/EØS-selskapet må ta ytterligere forholdsregler.
Eksempler på ytterligere beskyttelsestiltak for overføring av personopplysninger til tredjeländer
Nedenfor finner du noen eksempler på ekstra sikkerhetstiltak som selskaper kan bruke ved overføring av personopplysninger til tredjeland.
Bindende selskapsregler (BCR)
For å kunne bruke BCR for overføring av personopplysninger til tredjeland, må de godkjennes. Det er en EU/EØS-myndighet for databeskyttelse som må godkjenne BCR-ene.
BCR-er kan for eksempel være nyttige hvis et multinasjonalt selskap overfører personopplysninger til tredjeland innenfor sitt eget konsern. En forutsetning for BCR er at konsernet har et hensiktsmessig opplæringsprogram for ansatte som dekker BCR.
Standard kontraktsbestemmelser (SCC)
SCC-er er et annet alternativ enn BCR-er som selskaper kan bruke som en ekstra sikkerhet for overføringer til tredjeland. Det er EU-kommisjonen som bestemmer standard kontraktsklausuler som bedrifter kan bruke.
Vær oppmerksom på å bruke de riktige klausulene når du bruker SCC, da den består av fire forskjellige moduler og tilhørende bestemmelser. For eksempel er det en spesifikk modul som gjelder når overføringen av personopplysninger er en kontroller i EU og mottakeren er en prosessor i et tredjeland.
Code of Conduct
Et selskap, enten det er en behandlingsansvarlig eller databehandler, kan abonnere på en godkjent atferdskodeks. Dette er en ekstra sikkerhet for overføring av personopplysninger til tredjeland av næringer selv. Ofte er de opprettet av organisasjoner som representerer en bestemt bransje.
European Data Protection Board (EDPB) har publisert retningslinjer for atferdsregler som grunnlag for overføring av personopplysninger til tredjeland. De beskriver blant annet hva en adferdskodeks må oppnå for å bli godkjent som en ekstra sikring og hvordan selskaper kan søke om å få den godkjent.
Overføringer til tredjeland
EU-kommisjonen kan bestemme et tilstrekkelig beskyttelsesnivå
Når en tredjeland sikrer et tilstrekkelig beskyttelsesnivå, er det tillatt å overføre personopplysninger der uten å gi ytterligere beskyttelsestiltak, for eksempel bruk av standard kontraktsklausuler. På den annen side er det ikke et foretak som tar en slik beslutning. Det er kun EU-kommisjonen som avgjør om et tredjeland sikrer et tilstrekkelig beskyttelsesnivå. Vær oppmerksom på at de også kan tilbakekalle avgjørelsen hvis det skjer en endring. EU-kommisjonen kontrollerer blant annet om det tredjelandet respekterer menneskerettighetene, har uavhengige tilsynsmyndigheter og om domstolene oppfyller visse krav.