EU-domstolen har i Schrems II-dommen underkjent Privacy Shield-avtalen og kommet med nye krav til overføring av personopplysninger til land utenfor EU/EØS-området (tredjeland). Det vil si at det ikke lenger er tilstrekkelig å bruke et gyldig overføringsgrunnlag slik som EU-kommisjonens standardbestemmelser eller bindende konsernregler (BCR).
Denne dommen treffer mange selskaper i Norge som i dag outsourcer tjenester eller aktiviteter utenfor EU/EØS. Dette kan eksempelvis treffe en bedrift som har utviklere i India, eller som lagrer informasjonen sin i et system som er lokalisert i et tredjeland.
Hva er personopplysninger?
Personopplysninger er alle opplysninger og vurderinger som kan knyttes til deg som enkeltperson. Typiske personopplysninger er navn, adresse, telefonnummer, e-post og fødselsnummer. Et bilde regnes som en personopplysning dersom personer kan gjenkjennes, og lydopptak kan være personopplysninger selv om ingen navn blir nevnt i innspillingen. Biometri slik som fingeravtrykk, irismønster, hodeform (for ansiktsgjenkjenning) er også personopplysninger. Videre er en dynamisk IP-adresse i gitte tilfeller også definert som personopplysning.
Hva er en overføring av personopplysninger?
Med overføring av personopplysninger mener vi at personopplysningene sendes eller overføres til et annet land, eller at noen i et annet land får fjerntilgang til opplysningene. For eksempel, dersom du gir en indiske underleverandør tilgang til å logge seg inn og se dataene dine, selv om dataene kun er lagret på en server i Norge, regnes dette som en overføring.
Hva handlet Schrems II-dommen om?
Schrems II-dommen handlet egentlig om hvorvidt Facebook kunne overføre opplysninger om brukere i Europa til USA. Domstolen brukte også anledningen til å si noe om overføring til tredjeland generelt. Den kom frem til at overføringsgrunnlaget kjent som Privacy Shield ikke lenger er gyldig. Det finnes fremdeles andre gyldige overføringsgrunnlag, men domstolen sa at å bruke slike grunnlag i seg selv ikke er nok. Les mer om dommen
Hvilke land kan jeg overføre personopplysninger til uten å tenke på overføringsgrunnlag og EU-domstolens tilleggskrav?
Du kan overføre personopplysninger innad i EØS, altså EU-landene, Norge, Island og Liechtenstein, uten å tenke på overføringsgrunnlag og EU-domstolens tilleggskrav. Det samme gjelder land og områder godkjent av EU-kommisjonen. Per i dag er følgende land og områder godkjent: Andorra, Argentina, Canada (gjelder ikke hvis mottakeren er et offentlig organ), Færøyene, Guernsey, Israel, Isle of Man, Japan, Jersey, New Zealand, Sveits og Uruguay. For et selskap som outsourcer til offshore destinasjoner vil dermed måtte lete etter nye måter å overføre data på. Nearshoring vil dermed ikke endre seg som følge av Schrems II-dommen.
Dersom du har direkte henvendelser kan du kontakte Datatilsynet for mer informasjon. www.datatilsynet.no
Hva bør de behandlingsansvarlige gjøre nå?
Når det gjelder vurderingen av potensielt nye leverandører, bør deler av tilnærmingen være å kartlegge hvilke aktører som finnes i markedet. Den foretrukne løsningen er å finne EU-/EØS-baserte leverandører eller leverandører basert i tredjeland med et tilstrekkelig beskyttelsesnivå i henhold til GDPR artikkel 45. Dersom leverandøren er etablert i et tredjeland med et utilstrekkelig beskyttelsesnivå, må man gjennomføre vurderingen i steg 1 til 5.
