Informasjonssikkerhet
Tilstrekkelig beskyttelsesnivå
For å overføre personopplysninger fra EU til et tredjeland uten en spesifikk autorisasjon eller for å være underlagt ytterligere garantier, trenger det tredjelandet et tilstrekkelig beskyttelsesnivå i henhold til EU-kommisjonen.
EU-kommisjonens tilstrekkelighetsvurdering
Ifølge GDPR er et tredjeland et land utenfor EU/EØS. Det er bare EU-kommisjonen som kan fatte en slik beslutning. Et enkelt selskap kan med andre ord ikke anse dette tredjelandet for å gi et tilstrekkelig beskyttelsesnivå, men bare EU-kommisjonen. Vær oppmerksom på at en hel tredjestat ikke nødvendigvis må sikre at beskyttelsesnivået er tilstrekkelig, men at det for eksempel kan gjelde for et bestemt territorium innenfor tredjestatens grenser.
Begrunnelse for EU-kommisjonens beslutning om tilstrekkelig beskyttelsesnivå
Det er flere elementer som EU-kommisjonen analyserer når den bestemmer om beskyttelsesnivået i et tredjeland er tilstrekkelig. For eksempel:
- Lovgivningen i tredjestaten.
- Tredjestatens internasjonale forpliktelser.
- De registrertes mulighet til å få et rettslig botemiddel.
- Tredjestatens holdning til menneskerettighetene.
- Hvorvidt tredjelandet har en uavhengig tilsynsmyndighet for databeskyttelsesregler.
EU-kommisjonen oppdaterer kontinuerlig sin liste over land som de har funnet et tilstrekkelig beskyttelsesnivå for.
Syv prinsipper i GDPR
- Lovlighet, rettferdighet og åpenhet
- Begrenset bruk
- Minimering av data
- Korrekthet
- Begrensning av lagring
- Integritet og konfidensialitet
- Ansvarlighet
Regelmessige revisjoner
Bare fordi EU-kommisjonen har bestemt at et land har et tilstrekkelig beskyttelsesnivå, betyr ikke dette at dette alltid vil være tilfelle. EU-kommisjonen må revurdere beslutningen regelmessig. Revisjonen gjennomføres minst en gang hvert fjerde år og kan gjennomgås på nytt.
Overføring av personopplysninger fra EU til USA
I Schrems II-dommen av 2020 annullerte EU-domstolen Privacy Shield og den tilsvarende tilstrekkelighetsavgjørelsen. Som et resultat hadde USA ikke et høyt nok beskyttelsesnivå til å bli ansett som tilstrekkelig. En av grunnene var tilgangen til personopplysninger fra amerikanske myndigheter. Deretter innledet EU og USA forhandlinger om rammeverket for personvern mellom EU og USA («EU-U.S DPF»).
Overføring av personopplysninger fra EU til USA er nå tillatt, hvis mottakeren er underlagt EU-U.S Data Privacy Framework bestemt av EU-kommisjonen i 2023. Det kan imidlertid også være tillatt i tilfeller der mottakeren ikke er tilknyttet DPF, men i slike tilfeller må foretaket treffe egnede ytterligere vernetiltak. For eksempel bindende selskapsregler. En annen sikkerhet er bruken av standard kontraktsklausuler.
Overføring til Storbritannia etter brexit
Storbritannia har vært et tredjeland under GDPR siden 2021 da de forlot EU. Senere i 2021 bestemte EU-kommisjonen at Storbritannia har et tilstrekkelig høyt beskyttelsesnivå, dvs. et tilstrekkelig beskyttelsesnivå. Beslutningen tillater at personopplysninger fra EU overføres der uten ytterligere garantier eller spesifikk autorisasjon, som om Storbritannia var et annet EU-land.
Mer informasjon om overføringer til tredjeland
Overføring av personopplysninger til tredjeland i bestemte situasjoner og ved sporadiske overføringer
Overføring av personopplysninger til et tredjeland kan tillates i visse situasjoner, selv om det tredjelandet ikke har et tilstrekkelig beskyttelsesnivå eller selskapet tar ytterligere garantier, for eksempel inngåelse av standard kontraktsklausuler av EU-kommisjonen. For eksempel, hvis selskapet innhenter eksplisitt samtykke fra den registrerte. Vær oppmerksom på at selskapet må informere den registrerte om risikoene ved en slik overføring til et tredjeland dersom det tredjelandet mangler et tilstrekkelig beskyttelsesnivå, eller hvis selskapet ikke har iverksatt egnede sikkerhetstiltak.