Om FØYEN
FOYEN Group of Lawyers
FØYENs priser og generelle oppdragsvilkår
FØYENs kundemagasin
Nyheter
Karriere hos FØYEN
Kurs/arrangementer
Bransje- og kompetanseteam
Artikler
Medarbeidere
Presse

Ny standardavtale fra EU-kommisjonen om overføring av personopplysninger til land utenfor EU-/EØS-området

For overføringer fra en behandlingsansvarlig, til en databehandler godkjente EU 5. februar nye standardavtalevilkår. Innenfor avtalens virkeområde kommer den nye avtalen til anvendelse på alle nye eller endrede dataoverføringer fra og med 15. mai 2010. De eksisterende avtalene kan med andre ord ikke benyttes etter dette tidspunktet. Avtalen vil på enkelte punkter være mer fleksibel. Den passer for overføring av en virksomhets egne personopplysninger til en leverandør som skal lagre og behandle virksomhetens personopplysninger når dette skjer utenfor EU-/EØS-området.  

 

Slike standardavtaler kan benyttes når personopplysninger overføres til et tredjeland (land utenfor EU-/EØS) som ikke gjennom lovregler og styreform sikrer en «forsvarlig behandling» av personopplysninger, jf. personopplysningsloven § 29. Avtalene skal sikre at -personopplysningene behandles forsvarlig også i slike land, på samme måte som personverndirektivene sikrer en forsvarlig behandling av personopplysninger ved overføringer innenfor EU-/EØS-området.

 

Det viktigste ved den nye avtale er at den gir et rettslig grunnlag for at virksomheter utenfor EU-/EØS-området kan videreføre opplysningene til andre underkontraktører. Forutsetningen er at virksomheten som eier opplysningen

 

          skriftlig må samtykke til dette, og

          at samme vilkår som er pålagt den opprinnelige leverandøren som mottar opplysningene, også pålegges eventuelle underkontraktører

 

For leverandører som ønsker mer fleksibilitet, blir det derfor svært -viktig at disse forholdene hensyntas i den opprinnelige avtalen.

 

Vilkårene vil i følge EU-kommisjonen ikke kunne benyttes direkte – uten aksept fra lokale personvernmyndigheter (Datatilsynet) – ved overføring fra en databehandler i EU til en databehandler utenfor EU. Med andre ord vil en virksomhets overføring av kundenes personopplysninger til land utenfor EU-/EØS-området ikke kunne skje med -hjemmel i denne avtalen uten aksept fra Datatilsynet. Bakgrunnen for dette kravet er trolig at det foreligger forskjellig praksis i ulike EU-land, og at EU-kommisjonen har funnet at dette valget bør ligge innenfor det enkelte lands skjønnsmargin.

 

Etter norsk praksis fra de eksisterende standardavtalene synes det avgjørende å være at virksomheten utenfor EU-/EØS-området forplikter seg til å behandle opplysningene i samsvar med de krav som gjelder innenfor EU- og EØS-området. En virksomhet vil således kunne overføre kundens personopplysninger, dersom virksomheten skriftlig har avtalt med kunden at opplysningene vil kunne overføres til virksomheter utenfor EU under forutsetning av at kunden kan gjøre gjeldende vilkårene i EUs standard databehandleravtale overfor virksomheten. Personvernet vil da være godt ivaretatt. Kunden vil som behandlingsansvarlig ha den tilstrekkelige instruksjonsmyndighet med hensyn til behandlingen av kundens personopplysninger.

 

Denne praksisen kan tale for at det samme bør gjelde for den nye avtalen. Dersom en ønsker å være på den sikre siden, bør dette avklares med Datatilsynet. Trolig vil en annen løsning være at virksomheten utenfor EU-/EØS-området inngår standardavtalen direkte med virksomhetens kunde. En slik løsning kan imidlertid ha noen ulemper, bl. a. ved at det kan bli uklare linjer med direkteavtale mellom dataeier og en underleverandør.