I fjor trådte den nye personopplysningsloven i kraft. Loven, som er basert på et EU-direktiv fra 1995, setter som et grunnvilkår for overføring av personopplysninger til utlandet at opplysningene er sikret en forsvarlig behandling i mottakerstaten.
Behandlingen anses for å være undergitt et forsvarlig regelverk i samtlige stater i EU og EØS-området. Overføring kan derfor skje fritt til slike stater. Videre kan opplysninger overføres til land som Europakommisjonen har godkjent, samt enkeltbedrifter i USA som har sluttet seg til den såkalte "Safe Harbor"-avtalen.
Hovedregelen har til nå vært at overføring til andre stater enn ovennevnte som et utgangspunkt er betinget av innhentingen av et informert samtykke fra den registrerte før overføring skjer. I kravet til informert samtykke ligger at den behandlingsansvarlige må få avklart med den registrerte om det er i orden for ham/henne at personopplysningene overføres til stater hvor behandlingen av personopplysningene ikke anses å være forsvarlig i lovens forstand.
Det sier seg selv at mange privatpersoner vil kvie seg for å gi et slikt samtykke. Personopplysningsloven, og tilsvarende lovgivning i øvrige EU- og EØS-stater utgjør på denne måten en hemsko mot overføring av personopplysninger til de såkalte tredjestater.
For å gjøre det enklere for selskaper etablert innenfor EU- og EØS-området å overføre personopplysninger har derfor EU vedtatt to standardkontrakter.
Ved signering av kontrakten(e) forplikter den som mottar opplysningene seg til å behandle opplysningene i samsvar med de krav som gjelder innenfor EU- og EØS-området. Opplysningene anses dermed å være underlagt forsvarlig behandling i mottakerstaten, og innhenting av forhåndssamtykke fra den registrerte er derfor ikke nødvendig.
Norske næringsdrivende som overfører personopplysninger til tredjestater som for eksempel Kina vil være tjent med å la EUs standardkontrakter regulere hvordan mottakeren skal behandle opplysningene. Det er derfor god grunn til å gjøre seg nærmere kjent med reglenes innhold.
Standardkontrakt om overføring av person-opplysninger til behandlingsansvarlige (PDF-format)
Standardkontrakt om overføring av person-opplysninger til databehandlere