Droppe til innhold

I forskning

I forskning

Veileder forskningsprosjekt / Personvern, dataplaner og databehandling

Overføring av forskningsdata til utlandet

Ved overføring av forskningsdata til utlandet skal du som prosjektleder påse at reglene for dette følges.

Et eksempel er en forsker som samarbeider med universiteter i andre land, og som ønsker å overføre innsamlede personopplysninger til et av samarbeidslandene for videre bearbeidelse.

Personopplysningslovens bestemmelser gjelder. Du er derfor pliktig til å sende søknad til REK/Datatilsynet eller melding til NSD, der hvor dette er et krav.

Begreper med trykt skrift er definert i liste med definisjoner og forkortelser.

I tillegg gjelder følgende:

Forskningsdata kan overføres til land innen EU og EØS-området

Personopplysninger kan også overføres til

Se datatilsynets nettside.

I alle tilfeller må personopplysningslovens krav til behandling av personopplysninger være oppfylt:

  • Vurder om overføringen er i samsvar med grunnkravene i personopplysningsloven § 11 første ledd. Det må foreligge et rettslig grunnlag, se Pol §§ 8 og 9 (for eksempel at det foreligger et samtykke fra forskningsdeltaker/lovhjemmel), og overføringen må være i samsvar med definerte formål og utgjøre et så lite inngrep i personvernet som mulig.
  • Overføring av forskningsdata til utlandet er ikke søknadspliktig/meldepliktig i seg selv, men overføringen må beskrives i en eventuell søknad til REK/Datatilsynet eller melding til NSD knyttet til hovedformålet med behandlingen.
  • Inngå en databehandleravtale dersom personopplysningene overføres til en databehandler  eller vurder om dere har behandlingsgrunnlag dersom opplysningene overføres til en behandlingsansvarlig, se også Datatilsynets mal for databehandleravtale.
  • Gjennomfør en risikovurdering i samsvar med kravene i personopplysningsforskriften § 2-4. I den forbindelse kan det ha avgjørende betydning om personopplysningene som planlegges overført er sensitive eller ikke,  se også Retningslinjer om Informasjonssikkerhet om Hva skal beskyttes? Verdivurdering/risikovurdering  og Hva krever personopplysningsloven.

Overføring av forskningsdata til land utenfor EU og EØS-området er som hovedregel ikke tillatt

Overføring av forskningsdata til tredje land (land utenfor EU og EØS-området, land Europakommisjonen ikke har godkjent og amerikanske virksomheter som ikke har sluttet seg til Privacy Shield) kan likevel være tillatt, jf. personopplysningsloven § 30:

Et av alternative rettslige grunnlag må være til stede (§ 30 første ledd)

  • Det må foreligge et av alternative rettslig grunnlag, som for eksempel samtykke fra forskningsdeltaker (er lite egnet som grunnlag ved overføring til utlandet, da det på ethvert tidspunkt kan trekkes tilbake og datatilsynet fraråder i praksis dette i de aller fleste tilfeller) eller lovhjemmel, se Pol §§ 8 og 9 . 
  • Overføring av forskningsdata til tredje land på dette grunnlag krever som hovedregel ingen forhåndsgodkjenning, men overføringen må beskrives i en eventuell søknad til REK/Datatilsynet eller melding til NSD knyttet til hovedformålet med behandlingen. 

Eller:

Det må gis tilstrekkelige garantier for vern av forskningsdeltakers rettigheter (§ 30 andre ledd)

Søke Datatilsynet om tillatelse, se  datatilsynets nettside:

  • EU-standardkontrakter (Standardkontraktene finner du på datatilsynets nettside ovenfor): Det skilles på  "overføring til annen virksomhet" som skal bruke opplysningene til eget formål og  overføring til en databehandler. Datatilsynet har ulike maler for dette. Ved overføring til databehandler foreligger kun en varslingsplikt til Datatilsynet under forutsetning av at det ikke gjøres noen endringer i kontrakts-bestemmelsene. Når man varsler sendes kopi av utfylt og signert standardkontrakt til Datatilsynet. Overføringen kan finne sted når varselet er sendt.
  • Bindende konsernregler for overføring. Det er utformet flere veiledere for opprettelse av slike bindende konsernregler.
  • Skjønnsmessig vurdering.

 Ved alle alternativer må det i tillegg gjøres følgende:

  • Vurder om overføringen er i samsvar med grunnkravene i personopplysningsloven § 11 første ledd. Det må foreligge et rettslig grunnlag, se Pol §§ 8 og 9 (for eksempel at det foreligger et samtykke fra forskningsdeltaker/lovhjemmel), og overføringen må være i samsvar med definerte formål og utgjøre et så lite inngrep i personvernet som mulig.
  • Inngå en databehandleravtale  dersom personopplysningene overføres til en databehandler  eller vurder om dere har behandlingsgrunnlag dersom opplysningene overføres til en behandlingsansvarlig, se også Datatilsynets mal for databehandleravtale.
  • Gjennomfør en risikovurdering i samsvar med kravene i personopplysningsforskriften § 2-4. I den forbindelse kan det ha avgjørende betydning om personopplysningene som planlegges overført er sensitive eller ikke, se også Retningslinjer om Informasjonssikkerhet om Hva skal beskyttes? Verdivurdering /risikovurdering og Hva krever personopplysningsloven.

Ved overføring av personopplysninger til land utenfor EØS skal opplysningene være  avidentifiserte  eller pseudonymiserte. Personopplysningene skal da fremstå som anonyme for mottakeren, og denne skal ikke ha mulighet til å reidentifisere opplysningene.

Ved overføring av personidentifiserbare helseopplysninger til land utenfor EØS området, må visse krav i helseforskningsloven § 37 være oppfylt.

Hvis forskningsdata er overført til utlandet i forbindelse med forskningen, skal du som prosjektleder vite hvordan opplysningene blir håndtert etter at prosjektet er avsluttet. Sluttmeldingen til REK/NSD må inneholde en redegjørelse for hvilke forskningsdata som på avslutningstidspunktet befinner seg i utlandet og hvem som er databehandler.

En overføring av en biobank eller deler av en biobank må godkjennes av departementet. Overføringen må også være i samsvar med samtykke fra giver av materialet, se biobankloven § 10.

Kontakt