Forenkler overføring av personopplysninger til utlandet

EU har nylig vedtatt to standardkontrakter som gjør det enklere for norske virksomheter å overføre personopplysninger til såkalte tredjestater uten først å måtte innhente et informert samtykke fra den opplysningene gjelder.

I fjor trådte den nye personopplysningsloven i kraft. Loven, som er basert på et EU-direktiv fra 1995, setter som et grunnvilkår for overføring av personopplysninger til utlandet at opplysningene er sikret en forsvarlig behandling i mottakerstaten.

Behandlingen anses for å være undergitt et forsvarlig regelverk i samtlige stater i EU og EØS-området. Overføring kan derfor skje fritt til slike stater. Videre kan opplysninger overføres til land som Europakommisjonen har godkjent, samt enkeltbedrifter i USA som har sluttet seg til den såkalte "Safe Harbor"-avtalen.

Hovedregelen har til nå vært at overføring til andre stater enn ovennevnte som et utgangspunkt er betinget av innhentelsen av et informert samtykke fra den registrerte før overføring skjer. I kravet til informert samtykke ligger at den behandlingsansvarlige må få avklart med den registrerte om det er i orden for ham/henne at personopplysningene overføres til stater hvor behandlingen av personopplysningene ikke anses å være forsvarlig i lovens forstand.

Det sier seg selv at mange privatpersoner vil kvie seg for å gi et slikt samtykke. Personopplysningsloven, og tilsvarende lovgivning i øvrige EU- og EØS-stater utgjør på denne måten en hemsko mot overføring av personopplysninger til de såkalte tredjestater.

For å gjøre det enklere for selskaper etablert innenfor EU- og EØS-området å overføre personopplysninger har derfor EU vedtatt to standardkontrakter.

Ved signering av kontrakten(e) forplikter den som mottar opplysningene seg til å behandle opplysningene i samsvar med de krav som gjelder innenfor EU- og EØS-området. Opplysningene anses dermed å være underlagt forsvarlig behandling i mottakerstaten, og innhentelse av forhåndssamtykke fra den registrerte er derfor ikke nødvendig.

Norske næringsdrivende som overfører personopplysninger til tredjestater som for eksempel Kina vil være tjent med å la EUs standardkontrakter regulere hvordan mottakeren skal behandle opplysningene. Det er derfor god grunn til å gjøre seg nærmere kjent med reglenes innhold.

Her finner du de relevante dokumentene:

Standardkontrakt om overføring av person-

opplysninger til behandlingsansvarlige (PDF-format)

Standardkontrakt om overføring av person-

opplysninger til databehandlere

Til toppen