Det europeiske personvernrådet (EDPB) har kommet med en ny veileder om overføring av personopplysninger til land utenfor EØS. Veilederen gir nyttige klargjøringer av forhold knyttet til Schrems II – dommen.
Etter at EU-domstolen avsa Schrems II-dommen (se nyhetsbrev nr. 2-2020), må den som ønsker å overføre personopplysninger til tredjeland utenfor EØS selv foreta ganske kompliserte vurderinger. Den nye veilederen gir nå en del avklaringer for disse vurderingene. De viktigste klargjøringene kan oppsummeres slik:
Dersom mottagerlandet er et såkalt «godkjent tredjeland» er det ikke nødvendig å vurdere mottagerlandets lovgivning knyttet til personvern. Dette vil også gjelde selv om tjenesteleverandøren er av «tredjelands» opprinnelse.
Både bindende virksomhetsregler (Binding Corporate Rules) og standard personvernbestemmelser vedtatt av Europakommisjonen (Standard Contractual Clauses) anses som gyldige overføringsgrunnlag. Dog må man i hvert tilfelle gjøre vurderinger av om mottagerlandet gir tilstrekkelig beskyttelse ved overføring av personopplysningene.
For ikke-godkjente tredjeland slik som USA må den som overfører, gjøre en konkret vurdering hvor særlig mottagerlandets etterretningslovgivning vil stå sentralt. Vurderingen må være basert på objektive og relevante forhold og særlig den lovgivning som er offentlig tilgjengelig. Hvis mottagerlandet tillater masseovervåking eller har rett til å innhente opplysningene uten at mottageren vet om dette, bør overføring til slikt tredjeland ikke skje.
Dersom det foreligger «mangler» ved mottagerlandets lovgivning, kan dette kompenseres på ulike måter ved å treffe tiltak av teknisk, kontraktsmessig eller organisatorisk art. Dette skjer likevel på egen risiko, og veilederen bemerker at kontraktsmessige og organisatoriske tiltak normalt ikke vil være tilstrekkelige i seg selv, men at det i tillegg må treffes tekniske tiltak. Bruk av god krypteringsteknikk eller såkalt pseudonymisering vil på visse vilkår kunne godkjennes som tilstrekkelige tekniske tiltak.
Ellers er det viktig for virksomheter som ønsker å overføre personopplysninger til tredjeland å være klar over at de ikke kan begrense sin vurdering til egne forhold, men må ta med forhold knyttet til eventuelle underleverandører. Ordningen med Privacy Shield er ikke lenger gyldig. Den som overfører, må løpende vurdere situasjonen i mottagerlandet og eventuelt treffe korrigerende tiltak. Virksomheter som lagrer sine personopplysninger innen EU/EØS eller i godkjente tredjeland, og slik at det ikke er fjerntilgang fra ikke-godkjente tredjeland, trenger ikke å gjøre slike vurderinger.
De to veiledningsdokumentene som EDPB har utarbeidet, finnes på disse lenkene:
Dag Thorstensen
dt@forsberglaw.no
