Droppe til innhold

I forskning

I forskning

Overføring av personopplysninger til utlandet

Ved overføring av personopplysninger til utlandet skal du påse at reglene for dette følges.

Et eksempel er en forsker som samarbeider med universiteter i andre land, og som ønsker å overføre innsamlede personopplysninger til et av samarbeidslandene for videre bearbeidelse.

Personopplysninger kan overføres til land innen EU og EØS-området uten noe eget overføringsgrunnlag.

Overføringer av personopplysninger som krever et overføringsgrunnlag

Personopplysninger kan også overføres til

De virksomheter i USA som har vært sertifisert etter Privacy Shield-avtalen har frem til 15. juli hatt et gyldig overføringsgrunnlag. Den 16. juli 2020 besluttet imidlertid EU-domstolen at Privacy Shield er ugyldig som overføringsgrunnlag, siden avtalen ikke gir tilstrekkelig beskyttelsesnivå.

Se datatilsynets nettside.

  • Foreligger ikke det nevnte overføringsgrunnlagene skal det signeres en av EUs standardkontrakter for overføring til en behandlingsansvarlig eller en databehandler i tredjeland. EUs standardkontrakter er tilgjengelige på Datatilsynets nettsider. Standardkontraktene som er utarbeidet etter det tidligere EU-direktivet i 1995, kan benyttes inntil nye kontrakter er utarbeidet. Tillatelser fra Datatilsynet og EU-kommisjonen etter tidligere direktiv eller lov skal fortsette å gjelde frem til de endres, erstattes eller oppheves. 
  • NB! Det kan være problematisk å få til et gyldig overføringsgrunnlag ved signering av kontrakt i de tilfeller hvor landet har overvåkningslover eller andre lover som overstyrer den Europeiske personvernlovgivningen, slik som f.eks. USA. Det er derfor også grunn til å undersøke land som Kina og Russland litt ekstra. Ved overføring av personopplysninger til land utenfor EU/EØS skal man først undersøke om tilstrekkelig beskyttelsesnivå vil kunne oppnås i praksis (tilsvarende som innenfor EU/EØS).  I de tilfellene, der beskyttelsesnivået ikke anses å være tilstrekkelig, skal det iverksettes ytterligere tiltak som veier opp for dette og sikrer et tilsvarende beskyttelsesnivå i praksis. Dersom det ikke finnes ytterligere tiltak eller du ikke er i stand til å iverksette slike tiltak, kan du ikke overføre personopplysningene. Det europeiske personvernrådet (EDPB) jobber med å utrede hva "ytterligere tiltak" innebærer. Se også Datatilsynet nettside.
  • Overføring er også tillatt etter øvrige punkter i personvernforordningen kap. V. Overføring med hjemmel i EUs personvernforordning artikkel 49 gir unntak for særlige tilfeller. Dette gjelder f.eks. dersom den registrerte uttrykkelig har samtykket til aktuell overføring (den registrerte må da ha blitt informert om de mulige risikoene den nevnte overføringen innebærer for vedkommende) eller overføringen er nødvendig for å oppfylle en avtale inngått i den registrertes interesse mellom den behandlingsansvarlige og en annen fysisk eller juridisk person. Eksempel på dette er medlemmer hjemmehørende utenfor EU/EØS i sakkyndige komiteer.

Krav til behandling av personopplysninger

I tillegg skal personvernforordningens krav til behandling av personopplysninger være oppfylt:

  • Vurder om overføringen er i samsvar med grunnkravene i personverforordningen art. 5. Det må foreligge et lovlig grunnlag (for eksempel at det foreligger et samtykke fra forskningsdeltaker/lovhjemmel) og overføringen må være i samsvar med definerte formål, være nødvendig og utgjøre et så lite inngrep i personvernet som mulig.
  • Inngå en databehandleravtale  dersom personopplysningene overføres til en databehandler  eller vurder om dere har behandlingsgrunnlag dersom opplysningene overføres til en behandlingsansvarlig. Vurder om det kan være aktuelt å inngå en avtale om felles behandlingsansvar der OsloMet og ekstern behandlingsansvarlig i fellesskap bestemmer formål og middel.
  • Gjennomfør en risikovurdering i samsvar med kravene i personvernforodningen art, 32. I den forbindelse kan det ha avgjørende betydning om personopplysningene som planlegges overført er sensitive eller ikke, se også Retningslinjer om Informasjonssikkerhet om Hva skal beskyttes? Verdivurdering /risikovurdering og Hva krever personopplysningsloven.
  • Det skal også vurderes om det må bør gjøres en personvernkonsekvensvurdering (DPIA).

Ved overføring av personopplysninger til land utenfor EØS skal opplysningene være  avidentifiserte  eller pseudonymiserte. Personopplysningene skal da fremstå som anonyme for mottakeren, og denne skal ikke ha mulighet til å reidentifisere opplysningene.

Ved overføring av personidentifiserbare helseopplysninger til land utenfor EØS området, må visse krav i helseforskningsloven § 37 være oppfylt.

Hvis forskningsdata er overført til utlandet i forbindelse med forskningen, skal du som prosjektleder vite hvordan opplysningene blir håndtert etter at prosjektet er avsluttet. Sluttmeldingen til REK/NSD må inneholde en redegjørelse for hvilke forskningsdata som på avslutningstidspunktet befinner seg i utlandet og hvem som er databehandler.

En overføring av en biobank eller deler av en biobank må godkjennes av departementet. Overføringen må også være i samsvar med samtykke fra giver av materialet, se biobankloven § 10.

Kontakt


chatbot-portlet