Kort svar
Overføring til land utenfor EØS bør vurderes før løsningen tas i bruk, ikke etterpå.
Start med å kontrollere om dagens praksis faktisk dekker om det faktisk skjer en overføring, hvilket overføringsgrunnlag som brukes og hvilke ekstra vurderinger og tiltak som trengs.
Når dette ofte blir aktuelt
- når virksomheten må avklare om det faktisk skjer en overføring
- når dere er usikre på om dagens praksis dekker hvilket overføringsgrunnlag som brukes
- når ledelse eller styre trenger kontroll på hvilke ekstra vurderinger og tiltak som trengs
Det bedriften bør avklare først
| Spørsmål | Hvorfor det betyr noe |
|---|---|
| Om det faktisk skjer en overføring | viser om plikt eller risiko faktisk er utløst |
| Hvilket overføringsgrunnlag som brukes | peker på hvilke tiltak som haster mest |
| Hvilke ekstra vurderinger og tiltak som trengs | gjør det lettere å forklare og dokumentere vurderingen |
Praktisk framgangsmåte
- Beskriv dagens praksis konkret før dere vurderer nye tiltak.
- Test om grunnlag, rutiner og dokumentasjon dekker om det faktisk skjer en overføring.
- Lukk de største hullene først rundt hvilket overføringsgrunnlag som brukes.
- Sørg for løpende oppfølging og dokumentasjon av hvilke ekstra vurderinger og tiltak som trengs.
Dokumentasjon som ofte avgjør
Det som faktisk er dokumentert underveis, betyr ofte mer enn hva bedriften mente å gjøre. Samle derfor:
- oversikt over mottakere og leverandørkjede utenfor EØS
- avtaler og vurderinger som støtter overføringen
- kartlegging av hvilke personopplysninger virksomheten behandler
- rutiner, policyer og avtaler som styrer behandlingen
Vanlige feil
- dagens praksis blir tatt for gitt uten at den testes mot faktiske krav og forhold
- virksomheten beskriver et formål, men jobber i praksis på en annen måte
- for mye data samles inn fordi ingen eier oppryddingen
Når bør dere hente konkret hjelp?
Når store datamengder, ansattdata, tredjelandsoverføring eller reell sikkerhetsrisiko er involvert, bør vurderingene forankres tydelig og sees samlet. Det gjelder særlig hvis dere kan bli møtt med tilsyn, krav om innsyn, økonomisk tap eller personlig ansvar.
Relaterte guider
- Leverandørbytte og migrering av personopplysninger: hva må planlegges?
- Sensitive personopplysninger: når er de i spill og hva kreves?
- Deling av personopplysninger i konsern eller med rådgivere: hva må vurderes?