Overføring av forskningsdata til utlandet | FoU-håndbok - Ansatt

Overføring av personopplysninger til utlandet

Overføring av personopplysninger til utlandet

Ved overføring av personopplysninger til utlandet skal du påse at reglene for dette følges. Overføring til land utenfor EU og EØS-området krevet et overføringsgrunnlag, i tillegg til en samarbeidsavtale, evt. en databehandleravtale o.l. Her får du informasjon om de overføringsgrunnlagene som foreligger.

Det skal være enklere å overføre personopplysninger til USA, se Nye regler for overføring av personopplysninger til USA (datatilsynet.no) og punkt om Land godkjent av EU-kommisjonen.

Ved vurdering av om et nytt system skal tas i bruk, husk å sjekke underleverandører og eventuelle under-underleverandører. Behandlingsansvaret gjelder hele leverandør-rekken. Det anbefales å også gjøre en forenklet TIA i forhold til underleverandører, be om informasjon knyttet til overføringsgrunnlag (hvis det er nødvendig) og hvilken tilgang underleverandøren/under-underleverandør har til de personopplysningene OsloMet er behandlingsansvarlig for. Du bør i tillegg gjøre en risikovurdering og vurdere om det er behov for ytterligere tiltak, som f.eks. pseudonymisering og kryptering.

  • Eksempler på overføringer til utlandet som krever et overføringsgrunnlag

    Forsker samarbeider med universiteter i tredje land utenfor EU/EØS, og ønsker å overføre innsamlede personopplysninger til et av samarbeidslandene for videre bearbeidelse.

    En person fra en institusjon i et tredje land utenfor EU/EØS får tilgang til data som ligger på OsloMet sin server  eller en server som OsloMet benytter (f. eks. TSD). En slik tilgang anses som en overføring. Supporttjenester fra tredjeland anses også som overføring.

    En person, som skal ha tilgang til personopplysninger som OsloMet er behandlingsansvarlig eller databehandler for, er fra en virksomhet i Norge eller et tredjeland innenfor EU/EØS. Her skjer det i utgangspunktet ikke noen overføring til tredjeland. Vær imidlertid oppmerksom på følgende: Denne personens virksomhet er et datterselskap av et moderselskap i et tredjeland utenfor EU/EØS. Hvis moderselskapet har instruksjonsmyndighet over ansatte i datterselskapet, skjer det en overføring til tredjeland utenfor EU/EØS. Skal overføringen i de tilfellene være lovlig må virksomheten være godkjent av EU, landet være godkjent av EU eller det foreligger et overføringsgrunnlag.

    Unntak: En ansatt på en kortere forretningsreise til et annet land og har med seg mobil eller PC med tilgang til arbeidsgivers epost. Dette anses ikke som overføring.

  • Studentutveksling

    Se sjekkliste for overføring av personopplysninger til tredjestat i forbindelse med studentutveksling/utdanningssamarbeid utarbeidet av Direktoratet for høyere utdanning og kompetanse (HK-dir). Dokumentet skal arkiveres sammen med overføringsgrunnlag og evt. andre avtaler i P360.

  • Land godkjent av EU-kommisjonen (GDPR art 45)

    Land godkjente av EU-kommisjonen

    Land som er godkjent av EU-kommisjonen (datatilsynet no) anses å ha en forsvarlig behandling av personopplysninger.

    Amerikanske virksomheter som står oppført på liste over godkjente virksomheter

    Den 10. juli 2023 ble USA «godkjent» av EU-kommisjonen ved en adekvansbeslutning. Det innebærer at alle amerikanske virksomheter som står på lista over godkjente virksomheter (dataprivacyframework.gov), kan det overføres personopplysninger til, på lik linje som det var en europeisk virksomhet. Disse virksomhetene er blitt selvsertifiserte.

    • Sjekk at leverandør er juridisk riktig virksomhet. Virksomheten må stå som «active»

    • Sjekk at også underleverandør er sertifisert. Det er ok hvis det foreligger en SCC mellom leverandør og underleverandør.

    • Sjekk om leverandør er sertifisert for både non-HR og HR-data. Ikke alle leverandører er sertifisert for begge typer personopplysninger.

    • Det anbefales å gjøre en slags TIA (Transfer Impact Assessment), det samme som en EDPBs 6 stegs vurdering, uansett; f.eks. sette opp tiltak som kryptering osv. Det er sannsynlig at det vil komme en Schrems III dom.

    • Du bør være oppmerksom på årlig fornyelse av godkjenning, og legge opp til jevnlig oppfølging av leverandør.

    Avtalen trer i kraft umiddelbart.

    Datatilsynet presiserer imidlertid at virksomhetene må fortsatt følge de andre reglene i personvernforordningen, for eksempel ha behandlingsgrunnlag (datatilsynet.no) eller databehandleravtale (datatilsynet.no) for å dele personopplysninger med andre. Det skal også gjøres en risikovurdering med oppføring av tiltak; som f.eks. kryptering.

    Amerikanske virksomheter som ikke står oppført på listen må ha følgende:

    • Overføringsgrunnlag, normalt en SCC (GDPR art. 46). SCC vil også dekke OsloMet sine behov i en DBA (databehandleravtale) i de tilfeller OsloMet har et databehandlerforhold.

    • Forenklet TIA (EDPBs 6 stegs vurdering), da OsloMet kan lene seg på adekvansbeslutningen til EU-kommisjonen. En forenklet TIA forutsetter at leverandøren ikke vil være underlagt andre lover enn de vanlige overvåkningslovene. Du bør få leverandør til å bekrefte dette. Det betyr at OsloMet kan lene seg på EU-kommisjonens landvurdering, slik at den er ok. Husk å sjekke underleverandører og eventuelle under-underleverandører. Behandlingsansvaret gjelder hele leverandør-rekken. Det anbefales å også gjøre en forenklet TIA i forhold til underleverandører. Du bør i tillegg gjøre en risikovurdering og vurdere om det er behov for ytterligere tiltak, som f.eks. pseudonymisering og kryptering.

    Se spesielt om overføring av opplysninger til utlandet (datatilsynet.no).

  • EUs standardkontrakter (SCC) (GDPR art. 46)

    Det skal signeres en EU standardkontrakt (datatilsynet.no) for overføring til en behandlingsansvarlig eller en databehandler i tredjeland som ikke er innenfor EU/EØS eller godkjent av EU-kommisjonen.

    EU-kommisjonen vedtok i juni 2021 en ny standardkontrakt som skal benyttes for overføring av personopplysninger i overnevnte tilfelle.

    OsloMet har klar til bruk fire nye avtalemaler satt opp på grunnlag av EUs standardkontrakt og det man vurderer er OsloMet sitt behov:

    Ved vurdering av hvilken av avtalemal du skal bruke:

    • Velg ut den av kontraktsmalene som passer best for ditt avtaleforhold.

    • Ta stilling til enkelte bestemmelser og fjern ev. valgfri tekst.

    • Fyll ut vedleggene (Annex I-III).

    • Kan legge til bestemmelser (som ikke er i konflikt med SCC eller de registrertes rettigheter), f.eks. kommersielle vilkår som kostnad for revisjoner.

    Du må sørge for at tidligere signerte standardkontrakter skiftes ut.

    Litt om inneholdet

    Transparens og registrertes rettigheter

    Generelt:

    • Registrerte har rett til å få kopi av SCC.

    • Importør skal angi kontaktpunkt for klager.

    • Registrerte ha rett til å klage til lokal tilsynsmyndighet eller domstol.

    • Registrerte har rett til å kreve erstatning.

    Modul Behandlingsansvarlig - behandlingsansvarlig

    • Importør, evt. gjennom eksportør, skal informere de registrerte bl.a om identitet, kategorier av opplysninger, om retten til å be om kopi av SCC og om "onward transfer".

    • Registrerte har rettigheter: bl.a innsyn, retting, sletting, reservere seg mot markedsføring og rettigheter i forbindelse med automatiserte beslutninger.

    Særlig om modul Behandlingsansvarlig - databehandler

    • Tilfredsstiller krav til databehandleravtale

    • Bruk av ny SCC kan innebære omfattende (re-) forhandlinger av avtalevilkår, f.eks. revisjonsordning, bruk av underleverandører, ansvar/skadeløsholdelse, beskrivelse av sikkerhetstiltak og behandling.

    • EU-kommisjonen vedtok samtidig en egen databehandleravtale (DPA) som bør benyttes overfor tredjeland innenfor EU/EØS og er godkjente av EU-kommisjonen.

    Forholdet til lokal lovgivning (Clause 14 a-d)

    • Partene garanterer at de ikke har noen grunn til å tro at lovgivning og praksis i tredjelandet, som kommer til anvendelse på overføringen, hindrer partene i å oppfylle forpliktelsene.

    • At partene, i forbindelse med denne garantien, har tatt hensyn til "The specific circumstances of transfer", lovgivning og praksis og relevante kontraktuelle, tekniske og organisatoriske tiltak.

    • Tilleggsveiledning i fotnote 12: relevante faktorer som samsvarer med Schrems II.

    • Dataimportør garanterer at den har gjort sitt ytterste for å gi tilgang til relevant informasjon.

    • Partene forplikter seg til å dokumentere vurderingene og gjøre den tilgjengelig for tilsynsmyndigheten på forespørsel.

    Varslingsplikt og dataminimeringsplikt for dataimportør (Clause 14 e og f)

    • Dataimportør skal varsle dataeksportør hvis den blir kjent med lovgivning eller praksis som ikke er forenlig med forpliktelsene etter SCC. Dataeksportør skal da suspendere overføringene/terminere kontrakten hvis den vurderer at det ikke er mulig å få på plass effektive tiltak.

    • Dataimportør skal varsle dataeksportør, og hvor mulig den registrerte, hvis den mottar utleveringspålegg/blir oppmerksom på myndigheters tilgang. Hvis dataimportør er forhindret fra å varsle dataeksportør eller den registrerte, skal importør gjøre sitt beste for å få unntak fra utleveringspålegget (skal dokumenteres). Hvis tillatt skal det gis så mye informasjon som mulig (antall henvendelser, type opplysninger, hvem som forespør, klage på pålegg, utfall av sak osv.)

    • Informasjonen over skal lagres og gjøres tilgjengelig for tilsynsmyndigheten på forespørsel.

    ANNEX II Tekniske tiltak

    For at vi skal sikre at leverandør ivaretar personvernet på en god måte, ber OsloMet om en beskrivelse på noen nøkkelområder. Her kreves det en tilstrekkelig beskrivelse fra leverandør eller en lisens som dekker krav innenfor dette området.

    I tilfelle det er nødvendig med en dialog med leverandør, kan IT bistå. Du kan i de tilfellene sende en forespørsel til itservicedesk@oslomet.no.

    EUs standardkontrakt består av fire ulike moduler.

    OsloMet har laget egne avtalemaler på grunnlag av modul 1 og 2, se ovenfor.

    1. Fra lokal behandlingsansvarlig til ekstern behandlingsansvarlig

    2. Fra lokal behandlingsansvarlig til ekstern databehandler

    3. Fra lokal databehandler  til ekstern databehandler

    4.  Fra lokal databehandler til ekstern behandlingsansvarlig

    De fire ulike modulene er satt opp i word-utgaver på engelsk (iapp.org).

    Relaterte lenker

  • I særlige situasjoner (GDPR art. 49)

    Overføring er også tillatt etter øvrige punkter i personvernforordningen (GDPR) kap. V. Overføring med hjemmel i EUs personvernforordning artikkel 49 gir unntak for "særlige situasjoner". Dette gjelder f.eks.

    «Uttrykkelig samtykke» til overføringen fra den registrerte

    Forutsetning:

    • Den registrerte må da ha blitt informert om de mulige risikoene den nevnte overføringen innebærer for vedkommende.
    • Overføringen på dette grunnlag bør være «strengt nødvendig» (følger av EU-domstolen) for å oppnå formålet med behandlingen og bare benyttes i "visse tilfeller" (GDPR, fortale 111). Andre overføringsgrunnlag skal forsøkes først, samt at andre metoder for å oppnå formålet bør vurderes først.
    • Tilfelle som er forbundet med liten risiko er personopplysninger som fra før er offentlig tilgjengelige; f.eks. navn og epostadresse. Ved behov for overføring av andre typer opplysninger anbefales det å be den registrerte, f.eks. student ved studentutveksling, selv overføre opplysningene.

    Overføringen er nødvendig for å oppfylle en avtale inngått i den registrertes interesse

    Overføringen er nødvendig for å oppfylle en avtale inngått i den registrertes interesse mellom den behandlingsansvarlige og en annen fysisk eller juridisk person.

    Eksempel på dette er midlertidig avtale med tredjeland utenfor EU/EØS som omhandler en overføring av studentopplysninger i forbindelse med studentutveksling.

    Forutsetninger for å bruke dette overføringsgrunnlaget følger av fortale 111 til GDPR og tyder på at dette overføringsgrunnlaget ikke skal brukes i utrengsmål og heller ikke på faste overføringer.

    • Overføringen skal være «virkelig nødvendig».
    • Overføringen skal bare skje «i visse tilfeller».
    • Overføringen skal skje «leilighetsvis»

    Nødvendig av hensyn til viktige allmenne interesser

    Overføring av hensyn til viktige allmenne interesser forutsetter at de er anerkjente i EU-retten eller i nasjonal rett; dvs. har hjemmel i lov (art. 49 nr. 4).

    Eksempler følger av fortale til GDPR 112, f.eks. tilfeller der det utveksles personopplysninger mellom folkehelsemyndigheter i ulike land ved kontaktsporing i forbindelse med smittsomme sykdommer eller regler som er nedfelt i en traktat eller lignende.

    "Unntaket får bare anvendelse når det kan utledes av EØS-retten eller norsk rett at overføringen tillates for viktige allmenne interesser, herunder for gjensidighetsformål i internasjonalt samarbeid. En indikasjon på at unntaket får anvendelse kan være eksistensen av en internasjonal avtale som legger opp til internasjonalt samarbeid for å oppnå ett felles formål. Forutsetningen er at Norge er part til den internasjonale avtalen".

    Se Datatilsynets nettside om unntak.

  • EDPBs 6 steg, også kalt Transfer Impact Assessment (TIA)

    Krav om tilstrekkelig beskyttelsesnivå

    Vær OBS ved overføring av personopplysninger til tredje land - landet skal ha tilstrekkelig beskyttelsesnivå. Det er en vesentlig lavere compliance-risiko ved lagring/behandling i EU/ EØS enn utenfor. Beskyttelsesnivået skal vurderes i alle tilfeller overføring skal skje. Overføring er også tilgang til personopplysninger, ikke bare lagring.

    Krav til vurdering og dokumentasjon ved overføring

    Generelle krav til forsvarlig valg av databehandler gjelder. Det innebærer at det skal være mulig å etterleve personvernreglene, og OsloMet må kunne ha på plass egnede sikkerhetstiltak.

    Se nettside om EDPBs (Det europeiske personvernrådet) 6 steg ved vurdering av overføring av personopplysninger til tredjeland (Transfer Impact Assessment - TIA) til hjelp for vurderingen og tilleggskrav (datatilsynet.no).

    Ved overføring av personopplysninger til tredjeland, hvor du må få på plass et nødvendig overføringsgrunnlag, skal OsloMet forsøke å oppnå et tilstrekkelig beskyttelsesnivå, tilsvarende som innenfor EU/EØS. OsloMet må derfor kunne dokumentere tiltak som er gjort for å redusere risikoen for overvåkning av data som ikke er i henhold til personvernforordningen (GDPR).

    I de tilfellene, der beskyttelsesnivået ikke anses å være tilstrekkelig, skal det iverksettes ytterligere tiltak som veier opp for dette og sikrer et tilsvarende beskyttelsesnivå som innenfor EU/EØS i praksis. Dersom det ikke finnes ytterligere tiltak eller du ikke er i stand til å iverksette slike tiltak, kan du ikke overføre personopplysningene.

    Det kan derfor være problematisk å få til et gyldig overføringsgrunnlag ved signering av kontrakt i de tilfeller hvor landet har overvåkningslover eller andre lover som overstyrer den Europeiske personvernlovgivningen, slik som f.eks. USA, Russland og Kina.

    Relaterte lenker

  • Krav til behandling av personopplysninger ved overføring til tredjeland

    I tillegg skal personvernforordningens krav til behandling av personopplysninger være oppfylt:

    • Vurder om overføringen er i samsvar med grunnkravene i personvernforordningen (GDPR) art. 5. Det må blant annet foreligge et lovlig grunnlag (for eksempel at det foreligger et samtykke fra forskningsdeltaker/lovhjemmel) og overføringen må være i samsvar med definerte formål, være nødvendig og utgjøre et så lite inngrep i personvernet som mulig.
    • Inngå en databehandleravtale (EUs standardavtalemal for databehandleravtale skal brukes ved overføring til en databehandler i tredjeland - tidligere avtale skal oppdateres med ny avtale innen 27. desember 2022), dersom personopplysningene overføres til en databehandler eller vurder om dere har lovlig grunnlag dersom opplysningene overføres til en behandlingsansvarlig. Vurder om det kan være aktuelt å inngå en avtale om felles behandlingsansvar der OsloMet og ekstern behandlingsansvarlig i fellesskap bestemmer formål og middel.
    • Gjennomfør en risikovurdering i samsvar med kravene i personvernforordningen (GDPR) art, 32 nr. 1 og 2 og art. 24 nr. 1. I den forbindelse kan det ha avgjørende betydning om personopplysningene som planlegges overført er sensitive eller ikke, se også retningslinjer om informasjonssikkerhet om hva skal beskyttes?
    • Det skal også vurderes om det må bør gjøres en personvernkonsekvensvurdering (DPIA).

    Ved overføring av personopplysninger i forskning til tredjeland utenfor EU/EØS skal opplysningene være  avidentifiserte  eller pseudonymiserte. Personopplysningene skal da fremstå som anonyme for mottakeren, og denne skal ikke ha mulighet til å reidentifisere opplysningene.

    Ved overføring av personidentifiserbare helseopplysninger til land utenfor EU/EØS området, må visse krav i helseforskningsloven § 37 (lovdata.no) være oppfylt.

    Hvis forskningsdata er overført til utlandet i forbindelse med forskningen, skal du som prosjektleder vite hvordan opplysningene blir håndtert etter at prosjektet er avsluttet. Sluttmeldingen til REK/NSD må inneholde en redegjørelse for hvilke forskningsdata som på avslutningstidspunktet befinner seg i utlandet og hvem som er databehandler.

    En overføring av en biobank eller deler av en biobank må godkjennes av departementet. Overføringen må også være i samsvar med samtykke fra giver av materialet, se biobankloven § 10 (lovdata,no).