To start page
  • Use of cookies
  • Archive
  • Sitemap
  • Contact
  • Print
  • Print
  • Change text size
Norsk

UDI internal practices

IM 2018-012
Document-ID : IM 2018-012
Case-ID : 18/01666-9
Documentdate : 05.11.2018
Receiver :

Utlendingsdirektoratet

Overføring av personopplysninger til tredjeland eller internasjonale organisasjoner


1. Innledning

1.1 Hva er en personopplysning?

1.2 Hva er en overføring?

1.3 Hva er en internasjonal organisasjon?

2. Når kan UDI overføre personopplysninger til tredjeland eller internasjonale organisasjoner? 

3. Overføringer som omfattes av beslutning fra EU-kommisjonen om tilstrekkelig beskyttelsesnivå

4. Overføringer som omfattes av nødvendige garantier

4.1 Uten særlig godkjenning fra Datatilsynet

4.1.1 Bruk av EUs- standardavtaler

4.2 Med godkjenning fra Datatilsynet

5. Overføringer som omfattes av unntaket for særlige situasjoner

6. Hva må avdelingen gjøre før den kan overføre opplysninger til tredjeland eller internasjonale organisasjoner?

6.1 Hvem kan beslutte at personopplysninger skal overføres?

6.2 Hva må avdelingen gjøre før beslutningen kan tas og hvordan skal dette dokumenteres?

 

1. Innledning

Denne internmeldingen gir retningslinjer om overføring av personopplysninger til tredjeland og internasjonale organisasjoner. Internmeldingen gjelder også hvis en av våre databehandlere skal overføre personopplysninger, som de behandler på vegne av UDI, til tredjeland eller internasjonale organisasjoner.

I enkelte utlendingssaker har UDI behov for å overføre personopplysninger til tredjeland eller internasjonale organisasjoner. For eksempel sender vi opplysninger til

  • International Organization for Migration (IOM) som bistår utlendinger med å returnere assistert og som hjelper overføringsflyktninger med reisen til Norge
  • privatpraktiserende advokater som skal verifisere opplysninger på oppdrag fra UDI
  • myndigheter, utdanningsinstitusjoner, finansinstitusjoner og arbeidsgivere i andre land for å få verifisert dokumenter
  • flyselskaper i utlandet for å bekrefte ektheten av visum


1.1 Hva er en personopplysning?

Personopplysninger er opplysninger og vurderinger som direkte eller indirekte kan knyttes til en enkeltperson, jf. personvernforordningen artikkel 4 nr. 1 (heretter forordningen). Personopplysninger er for eksempel navn, adresse, telefonnummer, e-postadresse, IP-adresse, ansiktsfoto, fingeravtrykk, DUF-nummer og fødselsnummer (både fødselsdato og personnummer).

Vi behandler mange personopplysninger, hovedsakelig i forbindelse med behandling av utlendings- og statsborgersaker. I tillegg behandler UDI personopplysninger om egne ansatte og jobbsøkere.

1.2 Hva er en overføring?

Begrepet «overføring» er ikke nærmere definert i personvernlovgivningen, men må i praksis forstås som en flytting eller utlevering av personopplysninger. Overføring omfatter også tilfeller der tredjeland eller internasjonale organisasjoner gis tilgang til personopplysningene, for eksempel gjennom direktesøk i personregistre. Opplysninger som blir lagt ut på internett, og i prinsippet kan leses av alle, vil som hovedregel ikke rammes av de strenge vilkårene for overføring til tredjeland i forordningen.

1.3 Hva er en internasjonal organisasjon?

Med internasjonal organisasjon menes i denne sammenheng en organisasjon og dens underordnede organer slik det er definert i forordningen artikkel 4 nr. 26.

Organisasjonen må enten

  • være underlagt folkeretten (dvs. at en traktat gir organisasjonen rettslig grunnlag og regulerer dens formål, virkefelt og oppbygning), eller
  • blitt opprettet på grunnlag av en avtale mellom to eller flere stater.

Eksempler på slike organisasjoner er NATO, OECD og FN, herunder UNHCR og IOM.

2. Når kan UDI overføre personopplysninger til tredjeland eller internasjonale organisasjoner?

UDI må alltid ha et rettslig grunnlag for å utlevere opplysninger til andre, se forordningen artikkel 5 nr. 1 bokstav a, jf. artikkel 6 nr. 1 bokstav e og artikkel 9 nr. 2 bokstav g. Utleveringen fra UDI til andre kan ikke skje med grunnlag i samtykke fra den registrerte, og må som hovedregel være hjemlet i lov. UDI kan bare overføre personopplysninger til tredjeland eller internasjonale organisasjoner som sikrer en forsvarlig behandling av opplysningene, jf. vilkårene for overføring i forordningen artikkel 44-49.

Land utenfor EU/EØS-samarbeidet (tredjeland) og internasjonale organisasjoner er ikke bundet av forordningen.

UDI kan bare overføre personopplysninger til tredjeland eller internasjonale organisasjoner hvis

  1. EU-kommisjonen anser landet eller organisasjonen for å ha et tilstrekkelig beskyttelsesnivå og har fattet beslutning om at personopplysninger kan overføres dit (se punkt 3 nedenfor), eller
  2. UDI gir nødvendige garantier og de registrerte har håndhevbare rettigheter og effektive rettsmidler (se punkt 4 nedenfor).

I særlige situasjoner kan UDI unntaksvis overføre personopplysninger uten beslutning om tilstrekkelig beskyttelsesnivå eller nødvendige garantier hvis det foreligger tvingende nødvendighetsgrunner, se punkt 5 nedenfor.

2.1 Overføring av personopplysninger til databehandler

UDI kan utlevere opplysninger til en databehandler, som skal utføre oppgaver på våre vegne, forutsatt at det er inngått en avtale med databehandleren (databehandleravtale) som sikrer at personopplysninger ikke blir behandlet i strid med norsk lov eller UDIs instrukser, jf. kravene i artikkel 28.

Hvis databehandleren er en internasjonal organisasjon eller skal behandle personopplysninger i tredjeland, må i tillegg vilkårene for overføring i forordningen være oppfylt. I slike tilfeller skal UDI, i tillegg til databehandleravtalen, også benytte EUs standardavtale for overføring til databehandler, se punkt 4.1 nedenfor.

3. Overføringer som omfattes av beslutning fra EU-kommisjonen om tilstrekkelig beskyttelsesnivå

EU-kommisjonen kan bestemme at tredjeland og internasjonale organisasjoner har et tilstrekkelig beskyttelsesnivå, jf. forordningen artikkel 45.

UDI kan overføre personopplysninger til et tredjeland eller en internasjonal organisasjon uten forhåndsgodkjenning fra Datatilsynet hvis det foreligger en beslutning fra kommisjonen om at landet eller organisasjonen har et tilstrekkelig beskyttelsesnivå.

Du finner en oversikt over land som er godkjent av EU-kommisjonen på EUs nettsider (se avsnitt 5 på nettsiden).

Personopplysninger kan også overføres til USA dersom mottakervirksomheten har sertifisert seg etter Privacy Shield-avtalen (skriv virksomhetens navn i søkefeltet på nettsiden). Listen oppdateres årlig og UDI må kontrollere hvert år om mottakervirksomheten fortsatt er sertifisert.

Overføringen må i tillegg ha et tilstrekkelig rettslig grunnlag og skje på en sikker måte, se punkt 2.

4. Overføringer som omfattes av nødvendige garantier

Overføring kan også skje til tredjeland og internasjonale organisasjoner som ikke er godkjent av EU-kommisjonen, jf. forordningen artikkel 46. I slike tilfeller må UDI iverksette tiltak som gir tilstrekkelige garantier for den registrertes rettigheter. Overføringen må i tillegg ha et tilstrekkelig rettslig grunnlag og skje på en sikker måte, se punkt 2.

4.1 Uten særlig godkjenning fra Datatilsynet

Nødvendige garantier for den registrerte kan etter forordningen artikkel 46 nr. 2 sikres uten særlig godkjenning fra Datatilsynet hvis

  • UDI inngår en avtale som inneholder standard personvernbestemmelser vedtatt av EU- kommisjonen (se punkt 4.1 nedenfor), eller
  • mottakeren i tredjelandet er en offentlig myndighet eller organ og det eksisterer et rettslig bindende og håndhevbart instrument mellom UDI og mottakeren (for eksempel en bilateral avtale som sikrer personvernet til de registrerte) 

4.1.1 Bruk av EUs- standardavtaler

UDI bør benytte kommisjonens standardavtaler – som inneholder vilkår som skal gi tilstrekkelige garantier for den registrerte – hvis personopplysninger skal overføres til et tredjeland eller en internasjonal organisasjon som ikke er godkjent av EU-kommisjonen. På denne måten forplikter mottakeren seg til å behandle personopplysningene i samsvar med de krav som gjelder innenfor EU og EØS-området.

Du finner standardmalene på EUs nettsider – følg lenkene nedenfor.

Overføring til databehandler

Standardavtale på engelsk

Standardavtale på dansk

Overføring til selvstendig behandlingsansvarlig

Standardavtale på engelsk

Standardavtale på dansk

4.2 Med godkjenning fra Datatilsynet

Nødvendige garantier kan også sikres hvis det benyttes tilstrekkelige avtalevilkår som er godkjent av Datatilsynet før overføringen finner sted, jf. artikkel 46 nr. 3. Dette alternativet vil være en tidskrevende prosess, og UDI bør derfor prøve å benytte et av de andre alternativene.

5. Overføringer som omfattes av unntaket for særlige situasjoner

Hvis overføringen ikke kan skje etter reglene i punkt 3 eller 4, kan UDI bare unntaksvis overføre personopplysninger til et tredjeland eller en internasjonal organisasjon hvis det foreligger tvingende nødvendighetsgrunner, jf. forordningen artikkel 49.

Overføringen må etter forordningen være nødvendig

  • av hensyn til viktige samfunnsinteresser som er nedfelt i unionsretten eller norsk rett og som UDI er bundet av (f.eks. utveksling av opplysninger mellom konkurranse-, skatte-, toll-, finanstilsyns-, trygde- eller folkehelsemyndigheter)
  • for å fastsette, gjøre gjeldende eller forsvare et rettskrav, eller
  • for å verne den registrertes eller andre personers vitale interesser og den registrerte ikke er i stand til å gi samtykke.

UDI bør ikke benytte unntaksbestemmelsen i artikkel 49 som grunnlag for rutinemessige overføringer.

6. Hva må avdelingen gjøre før den kan overføre opplysninger til tredjeland eller internasjonale organisasjoner?

Før personopplysninger kan overføres fra UDI til et tredjeland eller en internasjonal organisasjon skal ansvarlig leder beslutte at slik overføring kan skje.

6.1 Hvem kan beslutte at personopplysninger skal overføres?

Direktøren i UDI har delegert det daglige ansvaret for personvern til avdelingsdirektørene, som dermed skal sikre at det ikke overføres personopplysninger til tredjeland eller internasjonale organisasjoner i strid med personvernlovgivningen og interne retningslinjer.

Avdelingsdirektøren (eller ledere som ikke er underlagt en avdelingsdirektør) skal godkjenne overføring av personopplysninger til tredjeland eller internasjonale organisasjoner som skal skje etter reglene i punkt 3 og 4. Overføring av personopplysninger etter reglene i punkt 5 skal derimot godkjennes av direktøren i UDI.

Rutinemessige overføringer kan godkjennes av ansvarlig leder før oppstart, slik at lederen ikke trenger å godkjenne hver enkel overføring. Hvis en rutinemessig overføring blir endret skal ansvarlig leder godkjenne endringene i overføringen. Dette gjelder for eksempel hvis nye opplysninger skal overføres, opplysningene overføres til en ny mottaker eller for et nytt formål.

Personvernombudet (PVO) i UDI skal alltid gis anledning til å uttale seg før beslutningen om overføring blir tatt, jf. forordningen artikkel 38.

6.2 Hva må avdelingen gjøre før beslutningen kan tas og hvordan skal dette dokumenteres?

UDI skal kunne dokumentere overfor Datatilsynet at vi behandler personopplysninger i samsvar med kravene i personvernlovgivningen.

Før den ansvarlige lederen kan ta sin beslutning må avdelingen derfor gjennomføre en personvernkonsekvensvurdering (ROS-analyse) som skal dokumenteres på følgende måte

  1. Personvernkonsekvensvurderingen skal nedtegnes i fastsatt mal for ROS-analyse (se vedlegg til internmeldingen).
  2. ROS-analysen skal deretter sendes til både PVO og sikkerhetsansvarlig IT, slik at deres anbefalinger blir dokumentert i malen.
  3. Utfylt ROS-analyse skal registreres i UdiSak under saken «UDIs vurderinger før overføring til tredjeland eller internasjonale organisasjoner». Saksbehandleren i avdelingen skal velge dokumenttype «internt notat med oppfølging» og registrere PVO som mottaker av notatet.
  4. Notatet sendes deretter til godkjenning i UdiSak til ansvarlig leder (opprett arbeidsflyt «godkjenning»).
  5. Ansvarlig leder skal dokumentere sin beslutning i ROS-analysen (i notatet) før han eller hun registrerer i UdiSak (i arbeidsflyten) om overføringen er godkjent eller ikke.
  6. Saksbehandleren skal ekspedere notatet i UdiSak og følge opp beslutningen.
  7. Dersom overføringen er godkjent skal saksbehandleren påse at nødvendige avtaler med mottakeren av personopplysningene blir inngått før overføringen starter opp.

 

Stephan Mo
Avdelingsdirektør

Kontakt:
Analyse- og utviklingsavdelingen, Regelverksenheten

Latest changes
  • Ny: IM 2018-012 Overføring av personopplysninger til tredjeland eller internasjonale organisasjoner (2/27/2019)

    Internmeldingen gir retningslinjer for UDI sine rutiner ved overføring av personopplysninger til tredjeland og internasjonale organisasjoner. Vedlegget er en personkonsekvensvurdering og risikoanalyse (ROS) som skal fylles ut før UDI overfører personopplysninger.

Norwegian Directorate
of Immigration
Utlendingsdirektoratet
P.O. box 2098 Vika
NO-0125 Oslo
Norway

Editor in Chief: Stephan Mo