Hvorfor er det kommet retningslinjer for overføring av personopplysninger?
I juli 2020 avsa EU-domstolen en avgjørelse i Schrems II saken() som ugyldiggjorde Privacy Shield som et lovlig ´Ç±¹±ð°ù´Úø°ù¾±²Ô²µ²õ²µ°ù³Ü²Ô²Ô±ô²¹²µ av personopplysninger fra EØS til USA. Dommen har betydning for nesten alle overføringer ut av EØS som UiO gjør, bÃ¥de innen forskning og administrasjon.
I etterkant av rettsavgjørelsen har Det europeiske personvernrådet (EDPB) laget retningslinjer for når og hvordan personopplysninger lovlig kan overføres ut av EØS. Retningslinjene har tidligere vært ute på høring, og foreligger nå i endelig versjon.
.
UiO er i gang med å utarbeide interne retningslinjer og veiledninger for hvordan vi innen forskning og administrasjon skal etterleve de nye retningslinjene.
Hvem må sette seg inn i retningslinjene?
Alle som er ansvarlig for tjenester som overfører eller tilgjengeliggjør data utenfor EØS, eller som er ansvarlig for forskningsprosjekter som overfører personopplysninger ut av EØS må sette seg inn i retningslinjene. Dette gjelder også for tjenester hvor leverandøren har en eller flere underleverandører som kan overføre eller tilgjengeliggjøre data utenfor EØS, som for eksempel ved supportsaker levert av en leverandør i USA.
Retningslinjene har en rekke eksempler på når det finnes og ikke finnes tilstrekkelig sikringstiltak for å overføre personopplysninger ut av EØS.
Hva er nytt?
Det er gjort en rekke mindre presiseringer i veiledningen sammenlignet med den foreløpige veiledningen som kom i fjor.
Retningslinjene åpner i større grad enn tidligere for at det kan gjøres en risikovurdering knyttet til overføringer ut av EØS, blant annet ved at det i noen grad kan legges vekt på dataimportørens praktiske erfaring med overvåkingslover.
Det fremgår imidlertid tydelig ut fra retningslinjene at hvis en skal overføre personopplysninger ut av EØS til et land som ikke har tilsvarende personvern som i EØS, så må man enten gjøre en rekke juridiske, tekniske og organisatoriske tiltak, eller dokumentere at mottakerlandets regelverk og praksis obketivt sett ikke vil påvirke UiOs overføringer. Dette medfører at selv om retningslinjene åpner for noe mer fleksibilitet i vurderingene, vil det fortsatt være vanskelig gjennomførbart i praksis med tanke på all dokumentasjonen som må lages.
Når det gjelder forskning fremgår det av retningslinjene at pseudonymisering er et verktøy som særlig forskningsmiljøer kan kunne benytte seg av, men også her med visse forbehold. Det er en forutsetning at det kun er koblingsnøkkelen som gjør det mulig å koble variablene til enkeltpersoner, og at man kan dokumentere at dette er den eneste mulige koblingen.
Det er vesentlig at det dokumenteres hvilke vurderinger som er gjort, og hvilke sikringstiltak som er gjennomført.
Særlig om lagring i EØS ved bruk av tjenesteleverandører som er etablert i tredjeland
Det har vært en diskusjon om det er lovlig å bruke bla. Amerikanske skytjenester med lagring i EØS. Dette har blitt noe klarere i dagens retningslinjer, hvor det fremgår at dette er greit hvis det fremgår tydelig av avtalen at data ikke under noen omstendighet vil bli behandlet utenfor EØS. Det er viktig å være oppmerksom på hvilke avtaler som er inngått, da det frem til nå har man vært avhengig av å inngå EUs standardavtaler (SCC) for overføring, når man inngår avtaler med de store amerikanske skytjenestene til tross for at data skal lagres i EØS.
Spørsmål eller behov for bistand?
Hvis dere har tjenester eller forskningsprosjekter som er avhengig av å overføre personopplysninger ut av EØS til et land som ikke er anerkjent av EU-kommisjonen til å ha et til tilstrekkelig vernenivå ta kontakt med Utøver av behandleransvaret (behandlingsansvarlig@uio.no) for bistand eller hvis dere har noen spørsmål.