Hvorfor er det kommet retningslinjer for overf?ring av personopplysninger?
I juli 2020 avsa EU-domstolen en avgj?relse i Schrems II saken(C-311/18 - ekstern lenke) som ugyldiggjorde Privacy Shield som et lovlig overf?ringsgrunnlag av personopplysninger fra E?S til USA. Dommen har betydning for nesten alle overf?ringer ut av E?S som UiO gj?r, b?de innen forskning og administrasjon.
I etterkant av rettsavgj?relsen har Det europeiske personvernr?det (EDPB) laget retningslinjer for n?r og hvordan personopplysninger lovlig kan overf?res ut av E?S. Retningslinjene har tidligere v?rt ute p? h?ring, og foreligger n? i endelig versjon.
Retningslinjene er tilgjengelig her (ekstern lenke).
UiO er i gang med ? utarbeide interne retningslinjer og veiledninger for hvordan vi innen forskning og administrasjon skal etterleve de nye retningslinjene.
Hvem m? sette seg inn i retningslinjene?
Alle som er ansvarlig for tjenester som overf?rer eller tilgjengeliggj?r data utenfor E?S, eller som er ansvarlig for forskningsprosjekter som overf?rer personopplysninger ut av E?S m? sette seg inn i retningslinjene. Dette gjelder ogs? for tjenester hvor leverand?ren har en eller flere underleverand?rer som kan overf?re eller tilgjengeliggj?re data utenfor E?S, som for eksempel ved supportsaker levert av en leverand?r i USA.
Retningslinjene har en rekke eksempler p? n?r det finnes og ikke finnes tilstrekkelig sikringstiltak for ? overf?re personopplysninger ut av E?S.
Hva er nytt?
Det er gjort en rekke mindre presiseringer i veiledningen sammenlignet med den forel?pige veiledningen som kom i fjor.
Retningslinjene ?pner i st?rre grad enn tidligere for at det kan gj?res en risikovurdering knyttet til overf?ringer ut av E?S, blant annet ved at det i noen grad kan legges vekt p? dataimport?rens praktiske erfaring med overv?kingslover.
Det fremg?r imidlertid tydelig ut fra retningslinjene at hvis en skal overf?re personopplysninger ut av E?S til et land som ikke har tilsvarende personvern som i E?S, s? m? man enten gj?re en rekke juridiske, tekniske og organisatoriske tiltak, eller dokumentere at mottakerlandets regelverk og praksis obketivt sett ikke vil p?virke UiOs overf?ringer. Dette medf?rer at selv om retningslinjene ?pner for noe mer fleksibilitet i vurderingene, vil det fortsatt v?re vanskelig gjennomf?rbart i praksis med tanke p? all dokumentasjonen som m? lages.
N?r det gjelder forskning fremg?r det av retningslinjene at pseudonymisering er et verkt?y som s?rlig forskningsmilj?er kan kunne benytte seg av, men ogs? her med visse forbehold. Det er en forutsetning at det kun er koblingsn?kkelen som gj?r det mulig ? koble variablene til enkeltpersoner, og at man kan dokumentere at dette er den eneste mulige koblingen.
Det er vesentlig at det dokumenteres hvilke vurderinger som er gjort, og hvilke sikringstiltak som er gjennomf?rt.
S?rlig om lagring i E?S ved bruk av tjenesteleverand?rer som er etablert i tredjeland
Det har v?rt en diskusjon om det er lovlig ? bruke bla. Amerikanske skytjenester med lagring i E?S. Dette har blitt noe klarere i dagens retningslinjer, hvor det fremg?r at dette er greit hvis det fremg?r tydelig av avtalen at data ikke under noen omstendighet vil bli behandlet utenfor E?S. Det er viktig ? v?re oppmerksom p? hvilke avtaler som er inng?tt, da det frem til n? har man v?rt avhengig av ? inng? EUs standardavtaler (SCC) for overf?ring, n?r man inng?r avtaler med de store amerikanske skytjenestene til tross for at data skal lagres i E?S.
Sp?rsm?l eller behov for bistand?
Hvis dere har tjenester eller forskningsprosjekter som er avhengig av ? overf?re personopplysninger ut av E?S til et land som ikke er anerkjent av EU-kommisjonen til ? ha et til tilstrekkelig verneniv? ta kontakt med Ut?ver av behandleransvaret (behandlingsansvarlig@uio.no) for bistand eller hvis dere har noen sp?rsm?l.