Tre spørsmål (og svar) om overføring til tredjeland

Overføring til tredjeland er et av mange områder innen personvern som det er viktig å holde seg oppdatert på. I vår kompetansestøtte Privacy Expert har vi mottatt flere spørsmål om dette temaet som våre eksperter har besvart. Spørsmålene omhandler blant annet overføring til USA, om man kan overføre personopplysninger selv om de ikke er en del av EU, med mer. I denne artikkelen vil vi fremheve tre av de mange mottatte spørsmålene som er besvart i Privacy Expert om overføring til tredjeland.

Må vi bruke standard personvernbestemmelser (SCCer) for overføring til USA, eller finnes det andre måter?

Eksperten svarer: Å bruke EU-kommisjonens standard personvernbestemmelser, også kjent som standard contractual clauses (SCC), for å overføre personopplysninger til USA anses av mange som svært utfordrende. EU-domstolen bestemte i Schrems II-dommen (16. juli 2020) at Privacy Shield-avtalen mellom EU og USA skulle oppheves. Privacy Shield, som hadde vært i kraft fra 2016, ble kjent ugyldig da den ikke kunne garantere for tilstrekkelig beskyttelse av EU-borgeres personvern ved tredjelandsoverføringer til USA. Den umiddelbare effekten av dette var at man ikke lenger kunne overføre personopplysninger til USA fritt frem. I en lengre periode etter Schrems II og opphevelsen av Privacy Shield måtte man som virksomhet belage seg på standard personvernbestemmelser som overføringsgrunnlag for overføringen til hver enkelt databehandler. I tillegg måtte man gjennom en risikovurdering av overføringen, en såkalt TIA (Transfer Impact Assessment).  Dette er en vurdering av mottakerlandets beskyttelsesnivå, og man må vurdere om det er nødvendig å treffe eventuelle ytterligere beskyttelsestiltak for å oppnå en tilsvarende beskyttelse av personopplysninger som innenfor EU.

Dette var tilfellet frem til sommeren 2023, da EU-US Data Privacy Framework trådte i kraft. Dette nye rammeverket er, i likhet med Privacy Shield, en sertifiseringsordning. Amerikanske virksomheter kan aktivt velge å bli en sertifisert virksomhet ved Data Privacy Frameworks selvsertifiseringsordning. Dersom du vurderer å benytte deg av en databehandler i USA, og virksomheten står på denne listen over sertifiserte virksomheter etter EU-US Data Privacy Framework, så er det fritt frem for å gå videre med dette. EU-kommisjonen har gjort den tunge løftingen for oss, og sagt at dersom selskapet finnes på denne listen, så er det trygt og greit å overføre personopplysninger til USA.

Oppsummert så var det rimelig enkelt å overføre personopplysninger til USA frem til 2020, så ble det ganske komplisert, før det igjen er blitt mye enklere. Tredjelandsoverføring til USA er altså enkelt og greit dersom de er en sertifisert virksomhet etter Data Privacy Framework. Dersom virksomheten du ønsker å overføre personopplysninger til ikke er det derimot, da vil du fortsatt måtte belage deg på standard personvernbestemmelser og en Transfer Impact Assessment for tredjelandsoverføring til USA.

Du kan lese mer om tredjelandsoverføring i vårt faktaark. Last den ned på nettsiden vår.

Gjelder overføringer til England som tredjeland?

Eksperten svarer: Blir Storbritannia egentlig regnet som et tredjeland, og i så fall, hvorfor det? Storbritannia blir faktisk regnet som et tredjeland. Et tredjeland. I GDPR-sammenheng, regnes som alle land som ikke er en del av EU eller EØS. Med deres uttreden fra EU blir dermed Storbritannia et tredjeland. I denne sammenhengen er det imidlertid gledelig at Storbritannia har fått en såkalt adekvansbeslutning om tilstrekkelig beskyttelsesnivå fra EU-kommisjonen, noe som betyr at det er tillatt å overføre personopplysninger til Storbritannia. 

Hvorfor er det en gledelig nyhet for deg at Storbritannia har fått en adekvansbeslutning fra EU-kommisjonen? Jo, de har da (i likhet som med EU-US Data Privacy Framework) gjort grovjobben for oss og vurdert og konkludert med at det er trygt å overføre personopplysninger til Storbritannia. Da slipper du å bruke standard personvernbestemmelser og å gjennomføre kompliserte risikovurderinger rundt personvernet i landet - du kan benytte deg av databehandlere i Storbritannia uten noe ekstra hodeverk.

Må vi utføre en DPIA ved overføring til tredjeland?

Eksperten svarer: Det faktum at man overfører personopplysninger til og behandler dem i et tredjeland alene er ikke en omstendighet som krever at en personvernkonsekvensvurdering (DPIA) skal utføres. Kravet om en DPIA blir aktuelt i visse situasjoner, for eksempel når det dreier seg om nye teknologiske løsninger som involverer personopplysninger, eller når det behandles store mengder eller sensitive personopplysninger. Til syvende og sist handler det om en vurdering av når behandlingen "sannsynligvis vil medføre en høy risiko for fysiske personers rettigheter og friheter". I en slik helhetsvurdering kan det selvfølgelig være at overføring til et tredjeland er en faktor, men det betyr ikke i seg selv at en DPIA må utføres.