Overføring av data til tredjeland
Europa har gjennom EU’s generelle personvernforordning (GDPR) et strengt regelverk for beskyttelse av personopplysninger, der overføring av personopplysninger til land utenfor EU/EØS (tredjeland) er ulovlig med mindre man oppfyller nærmere bestemte vilkår.
Det å lykkes med personvern forutsetter en god oversikt over personopplysningene som behandles i din virksomhet, herunder også kunnskap om når behandlingen innebærer en overføring av personopplysninger til tredjeland. Overføringsreglene vil for eksempel komme til anvendelse der virksomheten har tatt i bruk en skytjeneste med datasenter i Kina, der ansatte i et datterselskap har fjerntilgang til den norske virksomhetens personopplysninger, eller der du har kjøpt en «on-premises»-løsning, men med en avtale om teknisk støtte fra personell i India. Vi i BDO har lang erfaring med å hjelpe virksomheter med å etterleve personvernregelverket ved overføring av personopplysninger til tredjeland.
For å overføre personopplysninger lovlig til tredjeland, må man som et utgangspunkt ha et lovlig overføringsgrunnlag, som for eksempel standard personvernbestemmelser vedtatt i EU-kommisjonen (SCCs) eller bindende konsernregler i virksomheten (BCR). Som et tilleggskrav må den behandlingsansvarlige virksomheten som en hovedregel også gjennomføre en Transfer Impact Assessment (TIA).
En TIA innebærer:
- Kartlegging av hvilke personopplysninger som overføres til tredjelandet
- Fastsetting av det spesifikke overføringsgrunnlaget
- Vurdering av beskyttelsesnivået i tredjelandet, herunder overvåkingslovene og mekanismene som kan utgjøre en trussel for personvernet
- Foreslå supplerende tiltak og ta endelig stilling til risikoen som overføringen av personopplysningene innebærer.
BDO har bred og lang erfaring med å bistå både store og små virksomheter i en rekke ulike sektorer på personvernområdet, og kan bistå deg i alle ledd og prosesser for å sikre lovlig overføring til tredjeland.
Hvorfor investere i dette?
Mange virksomheter uttrykker stor bekymring og usikkerhet til hvordan de skal håndtere overføringsreglene i praksis. Dette siden arbeidet med å sikre lovlig overføring av personopplysninger både er kapasitets- og tidskrevende, og som kan ta fokus bort fra mye annet viktig personvernarbeid. Med hjelp fra BDO får du juridisk ekspertise og kan sikre virksomhetens overføringer på en lovlig, effektiv og kostnadsbesparende måte.
Arbeidet er relevant for alle virksomheter som på en eller annen måte overfører personopplysninger til tredjeland. Har du ikke dette på plass kan din virksomhet risikere både omdømmetap og bøter fra Datatilsynet. En slik overføring kan også få store konsekvenser for den du behandler personopplysninger om.
Hva kan BDO hjelpe deg med?
- Kartlegge virksomhetens behandling og overføring av personopplysninger til tredjeland, for å sikre at alle relevante krav i personvernregelverket er ivaretatt
- Vurdere hvilket overføringsgrunnlag som er best egnet for virksomheten
- Utarbeide og tilpasse nødvendige overføringsgrunnlag for virksomheten, som standard personvernbestemmelser vedtatt i EU-kommisjonen (SCC), samt bindende konsernregler i virksomheten (BCR)
- Gjennomføre Transfer Impact Assessments (TIA) tilpasset din bedrift, herunder sikre praktisk etterlevelse av reglene om tilstrekkelig beskyttelsesnivå ved overføring av personopplysninger til tredjeland
- Avdekke forbedringsområder og hjelpe din virksomhet med å prioritere det fremtidige arbeidet på personvernområdet.
- Holde kurs, foredrag og workshops om temaet
Kontakt oss
Har du spørsmål eller vil du vite mer om overføring av personopplysninger til land utenfor EU/EØS? Vi vil gjerne høre fra deg! Ta kontakt med en av oss eller fyll ut kontaktskjemaet nedenfor, og vi vil svare deg så fort vi kan.