Overføring av personopplysninger ut av EU/EØS

Hva er en overføring til utlandet? 

En overføring av personopplysninger til utlandet skjer når data flyttes fra ett land til et annet. For eksempel skjer det en overføring når data sendes fra en dataserver I Norge til en dataserver I USA. En rekke skytjenester og lokale tjenester som tilbys i Norge lagrer data I USA når vi bruker dem. I slike tilfeller skjer det en overføring av data. 

Hva er et overføringsgrunnlag? 

For at det skal være lov å overføre data til et land utenfor EU/EØS, må man benytte et såkalt overføringsgrunnlag. Dette er en mekanisme som skal sikre at personopplysninger får like god beskyttelse I mottagerlandet, som I Norge og Europa.

Hvordan finner man ut hvilket overføringsgrunnlag som benyttes? 

Overføringsgrunnlaget er som regel inntatt som del av tjeneste-, ramme- eller databehandleravtalen man har med aktøren som skal overføre personopplysninger ut av EU/EØS. 

Noen land er anerkjent av Europakommisjonen som land med et tilstrekkelig nivå for vern av personopplysninger. Per 2020 er disse Sveits, Andorra, Færøyene, Guernsey, Jersey, Isle of Man, Argentina, Canada, Israel, New Zealand, Japan og Uruguay. 

Til andre land utenfor EU/EØS er overføringsgrunnlaget som regel basert på standard personvernbestemmelser vedtatt av Europakommisjonen (Standard Contractual Clauses)

For spørsmål om overføringsgrunnlag kontakt behandlingsansvarlig@uio.no

Retningslinjer om ekstra sikringstiltak for overføringer

I kjølevannet av Schrems-II (C-311/18) dommen har Det europeiske personvernrådet (EDPB), kommet med retningslinjer for hvilke tiltak en virksomhet må gjøre for å sikre at en overføring ut av EU/EØS er lovlig. Retningslinjene er på en høringsrunde frem til 21.12.2020, og vil bli endelig vedtatt etter at høringsrunden er avsluttet. Retningslinjene er tilgjengelig her (ekstern lenke).

Nyttige lenker

Publisert 10. aug. 2020 13:54 - Sist endret 8. des. 2020 11:31