- I Schrems II-dommen kommer EU-domstolen med tilleggskrav for overføring av personopplysninger til land utenfor EØS (tredjeland). Det vil si at det ikke lenger er tilstrekkelig å bruke et gyldig overføringsgrunnlag slik som EU-kommisjonens standardbestemmelser eller bindende konsernregler (BCR).

Hva handlet Schrems II-dommen om?

- Schrems II-dommen handlet egentlig om hvorvidt Facebook kunne overføre opplysninger om brukere i Europa til USA. Domstolen brukte også anledningen til å si noe om overføring til tredjeland generelt. Den kom frem til at overføringsgrunnlaget kjent som Privacy Shield ikke lenger er gyldig. Det finnes fremdeles andre gyldige overføringsgrunnlag, men domstolen sa at å bruke slike grunnlag i seg selv ikke er nok.

Hva er et overføringsgrunnlag?

- I utgangspunktet er det ikke lov å overføre personopplysninger til land utenfor EØS. Det finnes imidlertid noen unntak fra denne regelen, typisk ulike ordninger der den som mottar opplysningene i tredjeland (dataimportøren) tar på seg bestemte forpliktelser. Slike ordninger kaller vi overføringsgrunnlag. Hvis man skal overføre personopplysninger til et land utenfor EØS, må den som skal overføre personopplysningene (dataeksportøren) først finne et passende overføringsgrunnlag samt oppfylle tilleggskravene som EU-domstolen har satt.

Hva går EU-domstolens tilleggskrav ut på?

- Meningen med overføringsgrunnlagene er å gi dataimportøren en rekke plikter for å sikre at europeeres personopplysninger blir like godt beskyttet etter overførselen til tredjeland som de blir i EØS. Dataimportøren kan imidlertid være underlagt lokale lover som er i strid med og går foran forpliktelsene etter overføringsgrunnlaget, eller det kan være andre omstendigheter som senker beskyttelsesnivået. Dataeksportøren må derfor først undersøke om beskyttelsesnivået som vil oppnås i praksis, faktisk er tilsvarende som i EØS. Her er det blant annet særlig viktig å undersøke om det finnes overvåkingslover eller andre lover som gir myndighetene i tredjeland uforholdsmessig stor adgang til dataene, samt om den registrertes rettigheter vil kunne ivaretas i praksis.

Hvilke land kan jeg overføre personopplysninger til uten å tenke på overføringsgrunnlag og EU-domstolens tilleggskrav?

- Du kan overføre personopplysninger innad i EØS, altså EU-landene, Norge, Island og Liechtenstein, uten å tenke på overføringsgrunnlag og EU-domstolens tilleggskrav. Det samme gjelder land og områder godkjent av EU-kommisjonen. Per i dag er følgende land og områder godkjent: Andorra, Argentina, Canada (gjelder ikke hvis mottakeren er et offentlig organ), Færøyene, Guernsey, Israel, Isle of Man, Japan, Jersey, New Zealand, Sveits og Uruguay.

Mer informasjon finnes på Datatilsynets sider.