Virksomheter som overfører personopplysninger til utlandet, skal påse at beskyttelsesnivået i personvernforordningen skal opprettholdes ved overføringen.
Alle landene innenfor EU/EØS-området har innført personvernforordningen og slik sikret at personopplysninger behandles forsvarlig. EU-kommisjonen har i tillegg anerkjent at noen land utenfor EU/EØS har et tilstrekkelig nivå for vern av personopplysninger. Denne beslutningen kalles en adekvansbeslutning (datatilsynet.no). Dermed kan personopplysninger overføres til disse statene som om de lå innenfor EU/EØS. Dette forutsetter at personopplysningslovens øvrige vilkår er oppfylt.
Dersom det skal benyttes leverandører eller tjenester etablert utenfor EU/EØS som ikke omfattes av en adekvansbeslutning, kan man ikke legge til grunn at disse er underlagt nasjonal lovgiving som sikrer et tilsvarende beskyttelsesnivå som i EU/EØS.
Når virksomheten overfører personopplysninger til stater utenfor EU/EØS-området som ikke er anerkjent av EU-kommisjonen, såkalte «tredjeland», skal den bruke et av overføringsgrunnlagene i forordningen.
Virksomhetene er selv ansvarlig for å finne ut hvilket overføringsgrunnlag i personvernforordningen artikkel 46 som er best egnet for deres overføring. Det mest brukte overføringsgrunnlaget er standard personvernbestemmelser (Standard Contractual Clauses eller SCCs (comission.europa.eu) vedtatt av EU-kommisjonen (jf. personvernforordningen artikkel 46 nr. 2 bokstav c)).
Selv om virksomheten bruker standard personvernbestemmelser for å overføre helse- og personopplysninger til tredjeland, påligger det en plikt til å sørge for at personopplysningene har et tilstrekkelig vern.
Dette må være en konkret helhetsvurdering, basert på grundig risikovurdering og innføring av adekvate tiltak. Vurderingen må dokumenteres. Helhetsvurderingen må blant annet omfatte informasjonssikkerhet, personvern, pasientsikkerhet og formålet som søkes oppnådd med skytjenesten.
Virksomheten har ansvar for å kontrollere at det faktiske beskyttelsesnivået til opplysningene er i samsvar med de standard personvernbestemmelsene og personvernforordningen for øvrig.
Overføring til tredjeland krever at virksomheten gjør komplekse vurderinger, og det er derfor viktig å ha tilstrekkelig kompetanse tilgjengelig for å gjennomføre dette i tråd med relevante krav.
Se datatilsynet.no for oppdaterte og utfyllende opplysninger om overføring til utlandet.
