Tredjelandsoverføring med standardavtaler
Ifølge GDPR er det nødvendig å sikre at det beskyttelsesnivået som enkeltpersoner er garantert gjennom GDPR ikke undergraves når personopplysninger overføres til tredjeland, det vil si land utenfor EU/EØS.
Hvis det ikke er fattet en beslutning om tilstrekkelig beskyttelsesnivå for landet, kan en behandlingsansvarlig eller en databehandler bare overføre personopplysninger til et tredjeland eller en internasjonal organisasjon etter å ha truffet egnede beskyttelsestiltak.
Hva er et egnet beskyttelsestiltak i henhold til GDPR?
Et egnet beskyttelsestiltak er for eksempel standardiserte personvernbestemmelser vedtatt av EU-kommisjonen, som fremgår av artikkel 46 (2) bokstav c i GDPR. Slike bestemmelser - ofte kalt standardavtaler - ble vedtatt av kommisjonen senest i juni 2021.
Det har siden vært standardavtaler tilpasset tredjelandsoverføring i fire forskjellige situasjoner:
- fra en behandlingsansvarlig etablert i EU/EØS til en annen behandlingsansvarlig i et tredjeland
- fra en behandlingsansvarlig etablert i EU/EØS til en databehandler i et tredjeland
- fra en databehandler etablert i EU/EØS til en annen databehandler i et tredjeland
- fra en databehandler etablert i EU/EØS til en behandlingsansvarlig i et tredjeland
Hvis den behandlingsansvarliges virksomhet bruker disse standardavtalene, er det ikke nødvendig med tillatelse fra en tilsynsmyndighet. Partene kan inkludere disse standardavtalene i en mer omfattende avtale eller inngå en separat overføringsavtale med disse avtalene som mal.
Det er også mulig å legge til andre bestemmelser eller ytterligere beskyttelsestiltak. Men dette må gjøres under forutsetning av at tilleggene ikke er i strid med standardavtalene eller at de påvirker den registrertes grunnleggende rettigheter eller friheter.
Standardavtalene er ingen universalløsning for overføring til tredjeland
Merk at det alltid er nødvendig å gjøre en vurdering i det konkrete tilfellet for å avgjøre om en overføring til tredjeland er mulig, og om standardavtalene er tilstrekkelige. Avtalene er ikke en universalløsning og betyr ikke at man kan se bort fra eksempelvis Schrems II-dommen. I stedet må partene ta hensyn til de spesifikke omstendighetene rundt overføringen og relevante lover og prosedyrer i det mottakende tredjelandet.
Det kan være aktuelt å innføre ekstra, supplerende beskyttelsestiltak for å komplementere de som er inkludert i standardavtalene. Behandlingsansvarlige og databehandlere oppfordres til å tilby ytterligere beskyttelsestiltak gjennom avtalefestede forpliktelser som supplerer standardavtalene.
Reglene om overføring til tredjeland krever handling fra mange virksomheter. Vil du vite mer? Vi har samlet de viktigste spørsmålene med svar fra våre eksperter i dette faktabladet.