Overføring av forskningsdata til utlandet | FoU-håndbok - Tilsatt

Kontakt

Kontakt

Overføring av personopplysninger til utlandet

Overføring av personopplysninger til utlandet

Ved overføring av personopplysninger til utlandet skal du påse at reglene for dette følges.

Et eksempel er en forsker som samarbeider med universiteter i andre land, og som ønsker å overføre innsamlede personopplysninger til et av samarbeidslandene for videre bearbeidelse.

Et annet eksempel kan være at OsloMet samler inn personopplysninger i et annet land og bruker en person fra dette landet til å gjøre selve innsamlingen. Den institusjonen som denne personen er tilknyttet anses som en databehandler som gjør en oppgave på vegne av OsloMet. Tilgangen til personopplysningene anses som en overføring.

Et tredje eksempel kan være at en person fra en institusjon i et tredje land får tilgang til data som ligger på OsloMet sin server  eller en server som OsloMet benytter (f eks. TSD). En slik tilgang anses også som en overføring.

Personopplysninger kan overføres til land innen EU og EØS-området uten noe eget overføringsgrunnlag.

Overføringer av personopplysninger som krever et overføringsgrunnlag

Personopplysninger kan også overføres til

Land godkjent av EU-kommisjonen

Land som er godkjent av EU-kommisjonen anses å ha en forsvarlig behandling av personopplysninger.

De virksomheter i USA som har vært sertifisert etter Privacy Shield-avtalen har frem til 15. juli hatt et gyldig overføringsgrunnlag. Den 16. juli 2020 besluttet imidlertid EU-domstolen at Privacy Shield er ugyldig som overføringsgrunnlag, siden avtalen ikke gir tilstrekkelig beskyttelsesnivå.

Se datatilsynets nettside.

EUs standardkontrakter

Foreligger ikke det nevnte overføringsgrunnlagene skal det signeres en av EUs standardkontrakter for overføring til en behandlingsansvarlig eller en databehandler i tredjeland. EUs standardkontrakter er tilgjengelige på Datatilsynets nettsider. Standardkontraktene som er utarbeidet etter det tidligere EU-direktivet i 1995, kan benyttes inntil nye kontrakter er utarbeidet. Tillatelser fra Datatilsynet og EU-kommisjonen etter tidligere direktiv eller lov skal fortsette å gjelde frem til de endres, erstattes eller oppheves. 

Vær OBS ved overføring av personopplysninger til tredje land - landet skal ha tilstrekkelig beskyttelsesnivå

Det kan være problematisk å få til et gyldig overføringsgrunnlag ved signering av kontrakt i de tilfeller hvor landet har overvåkningslover eller andre lover som overstyrer den Europeiske personvernlovgivningen, slik som f.eks. USA. Det er derfor også grunn til å undersøke land som Kina og Russland litt ekstra.

Ved overføring av personopplysninger til land utenfor EU/EØS skal man først undersøke om tilstrekkelig beskyttelsesnivå vil kunne oppnås i praksis (tilsvarende som innenfor EU/EØS).  Overføring er også tilgang til personopplysningene og ikke bare lagring.

I de tilfellene, der beskyttelsesnivået ikke anses å være tilstrekkelig, skal det iverksettes ytterligere tiltak som veier opp for dette og sikrer et tilsvarende beskyttelsesnivå i praksis. Dersom det ikke finnes ytterligere tiltak eller du ikke er i stand til å iverksette slike tiltak, kan du ikke overføre personopplysningene.

Det europeiske personvernrådet (EDPB) har jobbet med å utrede hva "ytterligere tiltak" innebærer. Se Datatilsynet nettside og Strategien for overholdelse av Schrems II-dommen fra EDPB. EDPB foreslår i Strategien både en kortsiktig (kartlegging, rapportering og nødtiltak) og en mellomlang strategi (Transfer Impact Assessment). Strategien inneholder en del praktiske tips.

Den 10. november 2020 kom EDPB med et utkast til veileder (som er på høring til 30. november), EDPB sin Veileder - anbefalinger (01/2020)  til tiltak som tillegg til gyldig overføringsgrunnlag (GDPR art. 46) ved overføring av personopplysninger til tredjeland (engelsk) og anbefalinger 02/2020 (engelsk) for å sikre overholdelse av EU sitt nivå for beskyttelse .

I særlige tilfeller

Overføring er også tillatt etter øvrige punkter i personvernforordningen kap. V. Overføring med hjemmel i EUs personvernforordning artikkel 49 gir unntak for "særlige tilfeller". Dette gjelder f.eks. dersom den registrerte uttrykkelig har samtykket til aktuell overføring (den registrerte må da ha blitt informert om de mulige risikoene den nevnte overføringen innebærer for vedkommende) eller overføringen er nødvendig for å oppfylle en avtale inngått i den registrertes interesse mellom den behandlingsansvarlige og en annen fysisk eller juridisk person. Eksempel på dette er medlemmer hjemmehørende utenfor EU/EØS i sakkyndige komiteer.

Krav til behandling av personopplysninger

I tillegg skal personvernforordningens krav til behandling av personopplysninger være oppfylt:

  • Vurder om overføringen er i samsvar med grunnkravene i personverforordningen art. 5. Det må foreligge et lovlig grunnlag (for eksempel at det foreligger et samtykke fra forskningsdeltaker/lovhjemmel) og overføringen må være i samsvar med definerte formål, være nødvendig og utgjøre et så lite inngrep i personvernet som mulig.
  • Inngå en databehandleravtale  dersom personopplysningene overføres til en databehandler  eller vurder om dere har behandlingsgrunnlag dersom opplysningene overføres til en behandlingsansvarlig. Vurder om det kan være aktuelt å inngå en avtale om felles behandlingsansvar der OsloMet og ekstern behandlingsansvarlig i fellesskap bestemmer formål og middel.
  • Gjennomfør en risikovurdering i samsvar med kravene i personvernforodningen art, 32. I den forbindelse kan det ha avgjørende betydning om personopplysningene som planlegges overført er sensitive eller ikke, se også Retningslinjer om Informasjonssikkerhet om Hva skal beskyttes? Verdivurdering /risikovurdering og Hva krever personopplysningsloven.
  • Det skal også vurderes om det må bør gjøres en personvernkonsekvensvurdering (DPIA).

Ved overføring av personopplysninger til land utenfor EØS skal opplysningene være  avidentifiserte  eller pseudonymiserte. Personopplysningene skal da fremstå som anonyme for mottakeren, og denne skal ikke ha mulighet til å reidentifisere opplysningene.

Ved overføring av personidentifiserbare helseopplysninger til land utenfor EØS området, må visse krav i helseforskningsloven § 37 være oppfylt.

Hvis forskningsdata er overført til utlandet i forbindelse med forskningen, skal du som prosjektleder vite hvordan opplysningene blir håndtert etter at prosjektet er avsluttet. Sluttmeldingen til REK/NSD må inneholde en redegjørelse for hvilke forskningsdata som på avslutningstidspunktet befinner seg i utlandet og hvem som er databehandler.

En overføring av en biobank eller deler av en biobank må godkjennes av departementet. Overføringen må også være i samsvar med samtykke fra giver av materialet, se biobankloven § 10.