Bruk av nettbaserte tjenester eller samarbeid over landegrenser vil svært ofte innebære overføring av personopplysninger til såkalte tredjeland utenfor EU. Personvernlovgivningen (GDPR) stiller i denne sammenheng særskilte krav til både overføringsgrunnlaget og de vurderinger virksomheten må gjøre, og bruk av berørte tjenester vil ikke være lovlig uten gyldig overføringsgrunnlag.
Det har vært omfattende diskusjoner om kravene i kjølvannet av den såkalte Schrems II-dommen, hvor det ble lagt til grunn at overføringer til USA krever bruk av særskilt overføringsgrunnlag, og at virksomhetene må gjøre ganske omfattende vurderinger og etablere gyldig overføringsgrunnlag for å kunne foreta slike overføringer under GDPR. EU har også utarbeidet en oppdatert utgave av sine Standard Contractual Clauses (SCC), som for de fleste virksomheter vil være eneste gyldige alternativ ved inngåelse av nye avtaler knyttet til slike overføringer.
Selv om det allerede i fjor ble påbudt å benytte nytt SCC-format ved inngåelse av nye avtaler, har det hittil ikke vært noen plikt til å oppdatere avtaler basert på gammelt SCC-format. EU har imidlertid satt sluttfrist til 27. desember 2022 for å oppdatere også gamle avtaler til nytt SCC-format, og avtaler som ikke er oppdaterte vil være ugyldige som overføringsgrunnlag fra samme dato.
Alle virksomheter bør derfor snarest sjekke om man har avtaler som må oppdateres til nytt SCC-format, og i tilfelle også starte prosessen med å oppdatere disse snarest mulig. I forbindelse med en slik prosess kan det også være fornuftig å foreta en oppdatert vurdering av rammeverket for overføringen i sin helhet, for å sikre at dette er i samsvar med avtalen og de senere års utvikling. Det begynner også å bli knapt med tid for virksomheter som ennå ikke har igangsatt slike prosesser.
De vurderinger som må gjøres i forbindelse med slike overføringer er til dels omfattende og kompliserte. Det har kommet flere veiledninger knyttet til slike overføringer, både fra tilsynsmyndigheter (EDPB og Datatilsynet) og direktorater (Digdir og DFØ – riktignok møtt med en viss kritikk og skepsis). Disse kan være nyttige å sette seg inn i, og dels også nødvendige, for å kunne gjennomføre en gyldig overføring. Det kreves imidlertid at virksomhetene gjør selvstendige og konkrete vurderinger, og for virksomheter som ikke har juridisk og teknisk kompetanse med god innsikt i regelverket fremstår det nok som vanskelig å foreta de vurderinger som kreves. Virksomheter uten nødvendig egenkompetanse gjør nok derfor lurt i å søke kompetent bistand.
