6 steg for overføring av personopplysninger utenfor EU

Mye skjer i kjølvannet av Schrems II-dommen. Nå har det europeiske personvernrådet, European Data Protection Board («EDPB»), kommet med sin veiledning for overføring av personopplysninger i land utenfor EU. Her er seks steg som vil hjelpe deg å vurdere slike overføringer.

Det europeiske personvernrådets veiledning gir en oversikt over hva datatilsynene forventer at virksomheter skal gjøre når personopplysninger overføres til land utenfor EU. Veiledningen er relevant for alle - og både privat og offentlig sektor. Slik kan du sikre at overføringen av personopplysninger er lovlig:

I tillegg har personvernrådet kommet med et forslag til nye standard kontraktklausuler (såkalte «standard contract clauses» eller «SCCs») for overføring av personopplysninger utenfor EØS («tredjeland»). Det nye avtaleutkastet inkluderer en gjensidig garanti fra begge parter om at de ikke har noen grunn til å tro at lovene som gjelder i mottakerlandet forhindrer dataimportøren å oppfylle sine forpliktelser under SCCs. Skal du kunne avgi og stå inne for en slik garanti, forutsetter det at du har gjennomført stegene vi har beskrevet over.

Vi har tidligere skrevet en artikkel i Digi.no om bakgrunnen for og utfordringene som følger av Schrems II-dommen, hvor vi etterlyste en tydeligere veiledning fra Datatilsynet og Personvernrådet.  Vi er glade for å se at veiledningen også anbefaler den samme metodikken som vi anbefalte i artikkelen.

Artikkelforfatter er personvernadvokat Christine Stousland