I EDPBs nye retningslinjer avklares det at dine ansatte kan være i et tredjeland og ha fjerntilgang til virksomhetens personopplysninger, uten at dette regnes som en «overføring» i GDPRs forstand. Det kan ha betydning for lokasjoner man velger å ha utviklere i. Også andre situasjoner «unnslipper» overføringsregimet i GDPR.
Hva som er en overføring av personopplysninger ut av EØS og hva som ikke er en overføring, er viktig for svært mange. Dersom en flyt av data ikke regnes som «overføring», kan man jo slippe de kompliserte overføringsreglene. Helt nylig publiserte EDPB (Personvernrådet) nye retningslinjer om dette. Foreløpig er dette et utkast, men fristen for å gi kommentarer er allerede i januar, så antakelig tar det ikke lang tid før en endelig versjon foreligger.
Retningslinjene sier blant annet at man er utenfor overføringsreglene dersom individet gir opplysningene til en behandlingsansvarlig i et tredjeland på eget initiativ. Det er klart at dette for eksempel gjelder når europeere bestiller varer fra en amerikansk nettside. Men kanskje kan dette også brukes på noen arbeidsrelaterte systemer, der leverandøren er behandlingsansvarlig. EDPB tar ikke uttrykkelig stilling til dette, men det vil nok bli adressert i høringsrunden.
Tre avgjørende vilkår
Generelt sier retningslinjene at det er tre avgjørende vilkår for at behandlingen skal anses som en overføring.
For det første må altså en av partene være direkte underlagt GDPR. EDPB trekker frem at behandlingsansvarlige og databehandlere, som ikke er etablert i EU/EØS, kan være underlagt GDPR etter artikkel 3 (2) for den aktuelle behandlingen.
Det andre vilkåret krever at en behandlingsansvarlig eller databehandler sender eller tilgjengeliggjør personopplysningene for en annen behandlingsansvarlig, felles behandlingsansvarlig eller databehandler. Vilkåret er altså ikke oppfylt dersom det er individet selv om gir personopplysningene, da et individ ikke er behandlingsansvarlig eller databehandler jf. artikkel 4 (10). EDPB kommer med et eksempel på dette: Et individ bor i Italia, og fyller inn personopplysninger i en nettbutikk i forbindelse med et kjøp. Nettbutikken drives av en virksomhet i Singapore, og har ingen tilstedeværelse i EU/EØS. Ettersom personopplysningene ble gitt direkte av individet, regnes ikke dette som en overføring.
Eksempelet illustrerer også et annet viktig poeng, nemlig at eksportøren og importøren må være to ulike parter. Hvis en ansatt i en norsk virksomhet reiser til et tredjeland, og har fjerntilgang til virksomhetens personopplysninger, anses ikke denne behandlingen som en overføring. Den ansatte er jo ikke en annen part, men en del av den norske virksomheten. Dette må ikke forveksles med tilfellet hvor personopplysningene utleveres til et datterselskap i et tredjeland. Datterselskapet vil være en selvstendig enhet, en egen behandlingsansvarlig eller databehandler, og i så fall er det snakk om en overføring som må skje i tråd med overføringsreglene.
«Sikker boks» stjålet: Kundedata kan være på avveie
Bevisst på risiko
Selv om behandlingen av personopplysningene ikke anses som en overføring, er det viktig at virksomheten er bevisst på eventuelle risikoer ved den aktuelle behandlingen. Behandlingen i tredjelandet kan tross alt medføre en økt risiko for individet selv om overføringsreglene ikke gjelder. Virksomheten har for eksempel uansett en plikt til å implementere tekniske og organisatoriske tiltak etter artikkel 32. Det er altså ikke utenkelig at en behandlingsansvarlig må konkludere med at behandlingen i tredjelandet krever omfattende sikkerhetstiltak, eller til og med er ulovlig, selv om det ikke er en overføring i rettslig forstand.
Det tredje vilkåret krever at dataimportøren er i et tredjeland eller er en internasjonal organisasjon. Det kan for eksempel tenkes at en behandlingsansvarlig i et tredjeland tilbyr varer og tjenester til borgere i EU/EØS, og benytter en databehandler i EU/EØS som sender opplysninger til importøren. Å sende personopplysningene til den behandlingsansvarlige i tredjelandet vil anses som en overføring selv om både behandlingen som databehandleren gjør er underlagt forpliktelsene i GDPR etter artikkel 3 (1) og artikkel 3 (2) angir at behandlingen som den behandlingsansvarlige gjør også er omfattet av GDPR.
Hvis disse tre vilkårene er oppfylt, gjelder reglene om overføring til tredjeland i GDPR kapittel V. Dette innebærer at virksomheten enten må forsikre seg om at det er et tilstrekkelig beskyttelsesnivå i tredjelandet etter artikkel 45, eller eventuelt at det foreligger «nødvendige garantier» etter artikkel 46. Som nødvendig garanti, er det antakeligvis mest aktuelt med en SCC. Men fordi det antas at det vil kreves færre tiltak for å sikre personopplysninger hos en aktør som faktisk er underlagt GDPR, så vil EDPB bistå i å utarbeide (enda) en SCC spesielt for disse tilfellene.
Retningslinjene er en fin klargjøring av forholdet mellom GDPRs artikkel 3 om geografisk virkeområde og kapittelet om overføring, og gjør det enklere å vite om man faktisk overfører personopplysninger eller ikke. Retningslinjene er på høring frem til 31. januar neste år, men det er liten grunn til å tro at dette vil bli særlig annerledes i endelig versjon.
Du har rett på mappa di: Nå vil 30 tilsyn sjekke om retten innfris
