For å kunne overføre personopplysninger til land utenfor EU/EØS må man benytte seg av en overføringsmekanisme. En av disse mekanismene er en beslutning fra EU-kommisjonen som tillater overføringen på grunnlag av at mottakerlandet anses å inneha et tilstrekkelig beskyttelsesnivå for de registrertes personopplysninger.

EU-kommisjonens beslutning om at Japan anses å inneha et tilstrekkelig beskyttelsesnivå innebærer at personopplysninger kan overføres til og fra Japan på samme måte som overføring mellom land innenfor EU/EØS. For slike overføringer vil det ikke lenger være behov for å benytte Standard personvernbestemmelser vedtatt av EU-kommisjonen, innhente godkjennelse fra Datatilsynet eller sikre at det foreligger en annen overføringsmekanisme.

EU-kommisjonens beslutning kommer i kjølvannet av EUs strategi om fri flyt av data som nedfelt i EUs «Commission’s Communication on Exchanging and Protecting Personal Data in a Globalised World». Beslutningen må også ses i sammenheng med frihandelsavtalen mellom EU og Japan som trådte i kraft den 1. februar 2019. I forbindelse med beslutningen uttalte EU-kommissær Věra Jourová at

“This adequacy decision creates the world’s largest area of safe data flows. Europeans’ data will benefit from high privacy standards when their data is transferred to Japan. Our companies will also benefit from a privileged access to a 127 million consumers’ market. Investing in privacy pays off; this arrangement will serve as an example for future partnerships in this key area and help setting global standards.” 

I tillegg til Japan har EU-kommisjonen på tidspunktet for denne nyheten godkjent følgende land:

• Andorra
• Argentina
• Canada
• Færøyene
• Guernsey
• Israel
• Isle of Man
• Jersey
• New Zealand
• Sveits
• Uruguay

Overføring på andre grunnlag

Utover EU-kommisjonens beslutninger om tilstrekkelig beskyttelsesnivå for overføring av personopplysninger utenfor EU/EØS kan man benytte seg av følgende mekanismer:

• Bindende virksomhetsregler for et konsern eller gruppe av foretak
• Godkjente atferdsnormer eller sertifiseringsmekanismer (per i dag finnes ingen slike godkjente mekanismer)
• Standard personvernbestemmelser vedtatt av Europakommisjon (Standard Contractual Clauses)
• EU-USA Privacy Shield (kun for overføring til USA)

Brækhus – Din rådgiver innenfor personvern

Våre advokater er bevisste på at personopplysninger utgjør et risikomoment for virksomheter. Dels foreligger den alminnelige juridiske risikoen i at feil håndtering av personopplysninger kan medføre overtredelse av lovpålagte krav. Det er også en kommersiell risiko forbundet med slik håndtering, idet virksomheter vil kunne risikere tap av anseelse og rykte. Stadig flere virksomheter blir oppmerksomme på ansvaret og risikoen slike opplysninger innebærer.

Vi vet at personopplysninger også utgjør en mulighet. Med den teknologiske utviklingen vi står overfor i dagens samfunn kan personopplysninger utgjøre en betydelig aktiva for den innovative virksomhet som står rustet til å benytte regelverket for Big Data, skytjenester og pseudonymiserte opplysninger.

Vi står klare til å bistå med rådgivning innen hele spektret av personvern, fra innsamling av personopplysninger, gjennom lagring og kategorisering, til lovlig utveksling, herunder verdsettelse og kommersialisering, transaksjoner, regulatoriske problemstillinger og compliance, samt tvisteløsning.