Personvernforordningen (GDPR): gjennomføringsbestemmelser om overføring av personopplysninger til tredjeland
Bakgrunn
BAKGRUNN (fra departementets EØS-notat, sist oppdatert 4.4.2022)
Sammendrag av innhold
Rettsakten angir standard personvernbestemmelser (standardkontrakt), som kan benyttes av behandlingsansvarlige eller databehandlere som ønsker å overføre personopplysninger til en tredjestat, dvs. et land utenfor EØS-område.
Etter personvernforordningen artikkel 46 nr. 1 kan en behandlingsansvarlig eller databehandler, i de tilfeller hvor det ikke foreligger en adekvansbeslutning etter artikkel 45 nr. 3, bare overføre personopplysninger til en tredjestat når det kan gis nødvendig garanti for tilstrekkelig vern av personopplysningene og at rettighetene kan håndheves på en effektiv måte. En måte å gi slik garanti, er ved å benytte standard personvernbestemmelser (standardkontrakt) vedtatt av Kommisjonen etter personvernforordningen artikkel 46 nr. 2 bokstav c). I rettsakten fastsetter Kommisjonen slike standard personvernbestemmelser som et bilag til beslutningen.
De standard personvernbestemmelsene gir nødvendige garantier for personvernet. Det sikrer at personvernet ivaretas når personopplysninger overføres til et land utenfor EØS-området. Standardbestemmelsene kan brukes alene, eller som en del av en større kontrakt, forutsatt at supplerende kontraktsvilkår ikke inneholder bestemmelser som direkte eller indirekte er i strid med standardbestemmelsene. Det fremkommer av fortalen til beslutningen at behandlingsansvarlig og databehandler oppfordres til å fastsette ytterligere garantier som utfyller standardbestemmelsene. Dette fremgår også i fortalepunkt 109 til personvernforordningen. I tillegg til standardbestemmelsene må behandlingsansvarlig og databehandler også oppfylle de generelle forpliktelsene som ligger i personvernforordningen, slik som plikt til å opplyse den registrerte om at personopplysninger overføres til tredjestat og hvor informasjon om de nødvendige garantier er gjort tilgjengelig, jf. personvernforordningen artikkel 13 nr. 1 bokstav f) og art. 14 nr. 1 bokstav f).
Standardbestemmelsene er bygd opp som moduler, og det forutsettes at behandlingsansvarlig og databehandler tilpasser bestemmelsene til sitt bruk. Videre forutsettes at for å sikre nødvendige garantier etter bestemmelsene, må det sikres at personopplysninger som overføres gis et beskyttelsesnivå som i det vesentlige tilsvarer beskyttelsesnivået i EU. Dette innebærer bl.a. et ansvar for å sikre at lovverket i mottakerlandet ikke er til hinder for å overholde bestemmelsene om tilstrekkelig beskyttelsesnivå, f.eks. ved bestemmelser som gir offentlige myndigheter i mottakerlandet tilgang til personopplysninger i strid med personvernforordningen.
De standard personvernbestemmelsene vil også kunne gi tilstrekkelige garantier etter personvernforordningen artikkel 28. Hvis en behandlingsansvarlig ønsker å overføre personopplysninger til en databehandler utenfor EØS-området, eller en databehandler innenfor EØS-området ønsker å overføre personopplysninger til en annen databehandler (underdatabehandler) som er utenfor EØS-området, vil standardbestemmelsene kunne benyttes for å gi tilstrekkelige garantier etter artikkel 28 nr. 3. og 4.
De standard personvernbestemmelsene skal evalueres regelmessig i tilknytning til Kommisjonens rapporter etter personvernforordningen artikkel 97.
Merknader
Rettslige konsekvenser
Beslutningen krever ingen endringer i norsk regelverk.
Økonomiske og administrative konsekvenser
Rettsakten medfører ingen direkte administrative eller økonomiske konsekvenser for Norge.
Rettsakten forenkler krav til overføring av personopplysninger fra EØS-land til tredjestater ved å angi standard personvernbestemmelser som kan benyttes ved overføringen. Dette kan gi økonomiske og administrative besparelser for både næringslivet og offentlige organer.
Sakkyndige instansers merknader
Rettsakten ble sendt på skriftlig foreleggelse til Justisdepartementet som berørt departement. Det framkom ingen materielle merknader til rettsakten. Rettsakten er ikke behandlet i Spesialutvalget for kommunikasjoner.
Vurdering
Rettsakten er EØS-relevant og akseptabel.
Status
Rettsakten ble publisert i Official Journal 7. juni 2021 og trådte i kraft i EU 27. juni 2021.