Hva er en overf?ring til tredjeland??
En overf?ring av personopplysninger betyr at opplysninger gj?res tilgjengelige for noen i et annet land utenfor EU/E?S.
Selv om dataene ikke “flyttes” eller "sendes", er det fortsatt en overf?ring hvis noen i et tredjeland kan f? tilgang til dem.
En overf?ring kan skje n?r personopplysninger:
- sendes til en mottaker i et tredjeland
- lagres p? en server i et tredjeland
- blir tilgjengelige for noen som befinner seg i et tredjeland
En rekke skytjenester og lokale tjenester som tilbys i Norge lagrer data i USA n?r vi bruker dem. I slike tilfeller skjer det en overf?ring av data.?
Eksempler:?
- Du deler forskningsdata som inneholder personopplysninger til en person ved et annet forskningsinstitusjon i USA
- Du bruker en skytjeneste med servere i India
- En leverand?r i et tredjeland har tilgang til systemet ditt, gjennom for eksempel supporttjenester
Hva er et tredjeland?
Et tredjeland er et land utenfor EU/E?S. N?r du sender personopplysninger dit, gjelder egne regler.
Hva med hvis opplysningene blir tilgjengeliggjort for en UiO-ansatt i tredjelandet?
Fjernaksess fra egne ansatte regnes normalt ikke som overf?ring, fordi den ansatte ikke er en selvstendig mottaker/import?r – de handler p? vegne av UiO. Overf?ringsreglene i GDPR kapittel V gjelder derfor ikke.
Selv om det ikke er en overf?ring, m? UiO fortsatt sikre at tilgangen er trygg. Dette inkluderer ? bruke kryptert tilkobling, sterke passord og tilgangskontroller, samt ? vurdere risikoen for at myndigheter i tredjeland kan f? tilgang til opplysningene.
Hva m? man gj?re for ? overf?re personopplysninger til tredjeland lovlig??
For at det skal v?re lov ? overf?re data til et land utenfor EU/E?S, m? man benytte et s?kalt lovlig overf?ringsgrunnlag. Dette er en mekanisme som skal sikre at personopplysninger f?r like god beskyttelse i mottakerlandet, som i Norge og EU.
Noen ganger m? man ogs? iverksette noen supplerende sikkerhetstiltak for ? sikre at beskyttelsen er reell.?
1. Sjekk om landet har godkjent beskyttelsesniv? - adekvansbeslutning
Noen land har f?tt vedtak om at de har et tilstrekkelig beskyttelsesniv? fra EU-kommisjonen - en s?kalt adekvansbeslutning.
Noen land f?r en adekvansbeslutning, med visse begrensinger for hva beslutningen om tilstrekkelig beskyttelse gjelder.
Hvis landet er godkjent du kan overf?re personopplysninger til tredjelandet uten ekstra sikkerhetstiltak, fordi personvernet anses ? v?re like godt som i EU/E?S.
Se Datatilsynets oversikt over hvilke land som har en adekvansbeslutning (?pne lenke).
2. Overf?ringsgrunnlag
Hvis landet ikke har en adekvansbeslutning om at landet har tilstrekkelig beskyttelsesniv?, m? du bruke et annet overf?ringsgrunnlag. Typiske grunnlag er:
- EUs standard personvernbestemmelser (SCC) – avtaler som sikrer personvern mellom eksport?r og import?r
- Bindende virksomhetsregler (BCR) – interne regler for multinasjonale selskaper
- Unntak etter GDPR artikkel 49 – for eksempel eksplisitt samtykke fra de registrerte, eller at overf?ringen er n?dvendig for kontrakt
Overf?ringsgrunnlaget er som regel inntatt som del av tjeneste-, ramme- eller databehandleravtalen man har med akt?ren som skal overf?re personopplysninger ut av EU/E?S. Det vanligste overf?ringsgrunnlaget er EUs Standard kontaktsvilk?r (SCC).
EUs standard personvernbestemmelser (SCC)
EUs standard personvernbestemmelser (SCC) er ferdig utformede kontraktsmaler godkjent av EU-kommisjonen som sikrer at mottaker f?lger GDPR.
SCC-avtaler setter krav til behandling, sikkerhet, og rettigheter for de registrerte. De kan ogs? fungere som en databehandleravtale.
Bindende virksomhetsregler (BCR)
Bindende virksomhetsregler (BCR) brukes ofte i multinasjonale selskaper for interne overf?ringer mellom ulike enheter i konsernet. BCR sikrer at personopplysninger behandles lovlig og trygt p? tvers av land. Reglene m? godkjennes av en europeisk datatilsynsmyndighet og omfatter sikkerhet, rettigheter for de registrerte og prosedyrer ved databrudd.?
Et eksempel kan v?re et globalt konsern med kontorer i Norge, India og USA som bruker BCR for ? overf?re data mellom kontorene.
S?rlige unntak etter GDPR artikkel 49
S?rlige unntak er situasjoner der overf?ringen kan gj?res uten SCC eller BCR, men bare dersom strenge kriterier er oppfylt. Dette kan v?re n?r den registrerte har gitt eksplisitt samtykke og er informert om risikoen overf?ringen kan medf?re, n?r overf?ringen er n?dvendig for ? oppfylle en kontrakt, for ? oppfylle en rettslig forpliktelse, eller av viktige grunner av allmenn interesse.?
Unntakene brukes sv?rt sjelden og m? dokumenteres n?ye.
3. Vurder behov for og iverksett ekstra sikkerhetsstiltak
N?r du overf?rer personopplysninger til tredjeland, er det ikke n?dvendigvis nok bare ? ha et lovlig grunnlag (SCC, BCR eller unntak).?
Du m? ogs? vurdere om ekstra sikkerhetstiltak er n?dvendig for ? beskytte dataene, s?rlig hvis det er h?y risiko for tilgang fra uvedkommende eller myndigheter i tredjelandet.
For sp?rsm?l om overf?ringsgrunnlag kontakt behandlingsansvarlig@uio.no
Hvordan finner man ut hvilket overf?ringsgrunnlag som benyttes??
Overf?ringsgrunnlaget er som regel inntatt som del av tjeneste-, ramme- eller databehandleravtalen man har med akt?ren som skal overf?re personopplysninger ut av EU/E?S.?
For sp?rsm?l om overf?ringsgrunnlag kontakt behandlingsansvarlig@uio.no
Retningslinjer om ekstra sikringstiltak for overf?ringer
I kj?levannet av Schrems-II (C-311/18) dommen har Det europeiske personvernr?det (EDPB), kommet med retningslinjer for hvilke tiltak en virksomhet m? gj?re for ? sikre at en overf?ring ut av EU/E?S er lovlig. Retningslinjene har v?rt p? en h?ringsrunde, og er n? endelig vedtatt. Retningslinjene er tilgjengelig her (ekstern lenke).