Har du rett overføringsgrunnlag for personopplysninger?

Schrems II-dommen i EU stoppet effektivt mange overføringer av personopplysninger til land utenfor EØS. Hva betyr dommen, skal jeg vente og se – eller brette opp ermene?

Del

Schrems II-dommen gjaldt overføring av personopplysninger knyttet til Facebook-brukere i Europa over til USA, men dommen konkluderte bredere enn Facebook, og tok for seg overføringer basert på det mye brukte Privacy Shield-rammeverket mellom EU og USA.

Privacy Shield ble i dommen forbudt som overføringsgrunnlag av personopplysninger til USA, og dommen skapte umiddelbart problemer for mange virksomheter, sikkert også flere norske.

Hva med din regnskapsvirksomhet?

Gyldige overføringsgrunnlag

Personopplysninger kan fritt overføres til land innen EØS-sonen, samt til land som er godkjent av EU-kommisjonen. Per i dag er dette Andorra, Argentina, Canada (gjelder ikke hvis mottakeren er et offentlig organ), Færøyene, Guernsey, Israel, Isle of Man, Japan, Jersey, New Zealand, Sveits og Uruguay.

For andre land må det foreligge et annet overføringsgrunnlag hvis personopplysninger skal overføres til disse landene.

De vanligste grunnlagene er:

  • Standard personvernbestemmelser vedtatt av Europakommisjon (Standard Contractual Clauses)
  • Bindende virksomhetsregler (Binding Corporate Rules, BCR) for et konsern eller gruppe av foretak
  • Godkjente atferdsnormer eller sertifiseringsmekanismer

Privacy Shield er ikke lenger et gyldig grunnlag vi kan basere oss på.

Finnes det ikke gyldig overføringsgrunnlag, skal ikke personopplysninger overføres til disse landene.

Regnskapsførers ansvar

Regnskapsfører skal etter databehandleravtalen med sin kunde være sikker på at overføringsgrunnlaget til andre land enn de som er godkjent av EU faktisk er gyldig.

Å ikke vite eller forstå er ingen unnskyldning ved et tilsyn.

Hvis du som regnskapsfører benytter systemer hvor personopplysninger overføres til for eksempel USA, må du gjøre en jobb for å sikre at overføringsgrunnlaget er på plass, eller rett og slett slutte å overføre personopplysningene. 

En prosess for deg kan være:

  • Hvilke personopplysninger behandler jeg? Dette skal du ha god oversikt over uansett overføring til utlandet.
  • Hvor behandler jeg disse personopplysningene? Hvilke systemer bruker jeg, og hvor har disse systemene sine servere? Også dette må du gjøre uansett overføring til utlandet. Merk at systemer som har tilgang til personopplysninger fra utlandet inn til din server i Norge sidestilles som en overføring.
  • Hva sier databehandleravtalene jeg har med de relevante systemleverandørene om overføringer utenfor EØS-sonen?
  • Snakk med systemleverandøren om hvilket overføringsgrunnlag de i så fall baserer seg på. Avklar med de om dette er et gyldig overføringsgrunnlag. Her må regnskapsfører kunne bygge på de vurderinger som systemleverandørene gjør, med mindre regnskapsfører får utydelige forklaringer eller selv blir usikker. Hvis så, bør du kreve mer informasjon fra leverandøren og gi en tydelig frist for tilbakemelding.
  • Dokumenter prosessen og overføringsgrunnlaget.
  • Hvis du ikke klarer å fastslå at det foreligger et gyldig overføringsgrunnlag, er du pliktig til å stoppe overføringene og velge en annen gyldig løsning, for eksempel behandling innenfor EØS-sonen.

Å vente og se er ikke en anbefalt arbeidsmetode – du risikerer å bryte loven mens du venter på at noen andre løser problemet ditt.