Hvordan overføre personopplysninger på en sikker måte?

Publisert:

illustrasjon av overføring av data

I mange tilfeller må man overføre personopplysninger, for eksempel til samarbeidspartnere eller myndigheter, eller når man setter ut IT-drift. Men visste du at det er strenge regler for hvordan det skal gjøres?

Vi definerer overføring av personopplysninger som at opplysningene overføres til en annen virksomhet eller juridisk person. Informasjonsflyt blant ansatte internt i et selskap i Norge anses ikke som overføring.

Forskjellige formål krever ulik fremgangsmåte

  • Tjenestetilbydere (outsourcing): Overføring kan blant annet være aktuelt dersom virksomheten har tjenesteutsatt personaladministrasjon, regnskap, IT-drift eller andre interne oppgaver. I forbindelse med gjennomføringen av oppdraget vil tjenesteyteren for eksempel få innsyn i personopplysninger knyttet til de ansatte, og vil behandle disse opplysningene på vegne av den behandlingsansvarlige. Tjenesteyteren anses da som en databehandler. De nye personvernreglene pålegger databehandleren et direkte ansvar for den behandlingen han foretar. Blant annet skal databehandleren ha rutiner for innsamling og bruk av personopplysningene, på lik linje med den behandlingsansvarlige.
  • Myndigheter/nye leverandører/annet: I andre tilfeller kan det være aktuelt med overføring til en virksomhet som skal benytte opplysningene til egne formål. Et eksempel er overføring av lønnsopplysninger til skattemyndighetene, eller overføring av kundeopplysninger til ny leverandør etter ønske fra den registrerte. Selve overføringen er en «behandling» som krever lovhjemmel på lik linje med andre behandlingsformer, se vår artikkel om lovlig grunnlag for å behandle personopplysninger. Mottakeren anses da som en (ny) behandlingsansvarlig, som må sikre lovlig behandling av opplysningene på lik linje med andre behandlingsansvarlige.

Enten det gjelder overføring til en databehandler eller en ny behandlingsansvarlig kan opplysningene bare utleveres i den grad de er saklig og relevant for det formålet de skal benyttes til. Personvernreglene stiller også krav til hvordan personopplysninger kan utleveres, bl.a. for å sikre at opplysningene ikke kommer på avveie i utleveringsprosessen.

Hva med overføring av personopplysninger til utlandet?

Overføring av personopplysninger til utlandet reiser særlige problemstillinger. Slik overføring er kun tillatt dersom det sikres at opplysningene også i disse tilfellene vil behandles på en måte som ivaretar den registrertes personvern på en forsvarlig måte.
Overføring til utlandet er tillatt i følgende tilfeller:

  1. Overføring på grunnlag av en beslutning om tilstrekkelig beskyttelsesnivå
    Opplysningene overføres til et land eller en nærmere angitt sektor i et land som er forhåndsgodkjent av EU-kommisjonen. Dette vil blant annet omfatte alle EU/EØS-land, men også andre land som EU-kommisjonen mener sikrer en forsvarlig behandling av opplysningene. Land som i dag er godkjent av EU-kommisjonen vil fortsatt være godkjent inntil slik godkjenning eventuelt endres eller oppheves. Se land som i dag er godkjent av EU-kommisjonen. For å overføre personopplysninger til amerikanske virksomheter, må de har sluttet seg til Privacy Shield.
  2. Overføring som omfattes av nødvendige garantier
    Den som overfører opplysningene har gitt tilstrekkelige garantier for at opplysningene vil behandles forsvarlig hos mottakeren, og de registrerte kan håndheve sine rettigheter overfor mottaker.
    Dette innebærer som regel at det må inngås en avtale med mottakeren som sikrer et tilstrekkelig beskyttelsesnivå. Dersom det benyttes standardvilkår som er vedtatt eller godkjent av Kommisjonen er det ikke nødvendig med ytterligere forhåndsgodkjenning av Datatilsynet. Dersom det benyttes egne avtaler må det søkes om tillatelse fra Datatilsynet før overføringen kan finne sted.
    Opplysninger kan også overføres mellom foretak innenfor samme konsern, dersom slik overføring skjer i tråd med godkjente bindende konsernregler (binding corporate rules), som sikrer tilstrekkelige garantier for den registrertes personvern. Dette er en videreføring av dagens praksis.
  3. Unntak for særlige situasjoner
    Dersom det ikke foreligger en beslutning om tilstrekkelig beskyttelsesnivå eller nødvendige garantier som nevnt ovenfor, vil det likevel i enkelte unntakstilfeller være anledning til å overføre opplysningene til utlandet. Dette kan blant annet være aktuelt der den registrerte har gitt et uttrykkelig samtykke til overføringen etter å ha blitt informert om de mulige risikoene denne kan innebære, eller dersom overføringen er nødvendig for å oppfylle en avtale med den registrerte. Disse unntaksreglene vil generelt sett sjelden komme til anvendelse.