EU-kommisjonen og amerikanske myndigheter har erklært at de har kommet til enighet om et nytt rammeverk ("Trans-Atlantic Data Privacy Framework") for overføring av personopplysninger fra EU/EØS til USA. Med dette er det varslet at det i fremtiden vil kunne bli enklere å overføre personopplysninger til amerikanske virksomheter. Dette er gode nyheter for virksomheter som i dag er avhengig av amerikanske leverandører.
Kort historikk
Lovligheten av overføring av personopplysninger til USA har i lang tid vært et omdiskutert tema. Sommeren 2020 avsa EU-domstolen dom i den såkalt Schrems II-saken. I denne avgjørelsen ble den tidligere Privacy Shield-avtalen mellom USA og EU/EØS opphevet. Privacy Shield-avtalen innebar at personopplysningene tidligere kunne bli overført til USA dersom mottakeren var sertifisert i henhold til EU-US Privacy Shield-rammeverket. I tiden etter Schrems II har virksomheter som overfører personopplysninger til USA måtte belage seg på et annet overføringsgrunnlag etter GDPR, og spørsmålene har vært mange.
Dagens situasjon
Utgangspunktet etter GDPR er at overføring til såkalte tredjeland, herunder USA, kun er tillatt dersom det aktuelle tredjelandet sikrer et tilstrekkelig beskyttelsesnivå. Dersom tredjelandets personvernregulering må antas å gi en svakere beskyttelse enn det som følger av GDPR, er overføringen som hovedregel ikke tillatt.
Virksomheter som overfører personopplysninger til blant annet USA må derfor basere overføringen på et lovlig overføringsgrunnlag i samsvar med GDPR. EUs standardklausuler er et eksempel på et slikt overføringsgrunnlag. Klausulene er en standardavtale hvor virksomheten som behandler personopplysningene i tredjelandet binder seg på avtalerettslig grunnlag til å sørge for at personopplysningene gis et tilstrekkelig beskyttelsesnivå.
I Schrems II-avgjørelsen ble det imidlertid fastslått at etablering av et overførings-grunnlag i selv ikke er tilstrekkelig, og at behandlingsansvarlige og databehandlere som opptrer som dataeksportører, er ansvarlige for å verifisere fra sak til sak om loven eller praksis i det aktuelle mottakerlandet vil svekke effektiviteten av det valgte overførings-grunnlaget. Dette er blant annet begrunnet i at vidtgående innsyns- og overvåkings-hjemler for offentlige myndigheter, som er særlig aktuelt i USA, ikke nødvendigvis kan hindres av de inngåtte standardklausulene.
Dersom personvernet i mottakerlandet ikke er tilstrekkelig, må det iverksettes supplerende tiltak for å sørge for at personopplysningene nyter et vern i tredjelandet på tilsvarende nivå som i EU/EØS.
Dagens regler legger opp til flere skjønnsmessige vurderinger og har skapt hodebry for norske og europeiske virksomheter som er avhengige av løsninger fra amerikanske selskaper som lagrer opplysninger i USA.
Trans-Atlantic Data Privacy Framework – hva er status?
Detaljene rundt og innholdet i Trans-Atlantic Data Privacy Framework er ennå ikke kjent. Det som er kommunisert er en politisk enighet, og det gjenstår å formalisere detaljene i et rettslig bindende dokument. EU-kommisjonen har imidlertid på sine sider publisert et skriv med noe nærmere informasjon (se her).
I skrivet er fem sentrale prinsipper listet opp:
- Data vil fritt og sikkert kunne flyte mellom EU og sertifiserte amerikanske virksomheter.
- Nye regler og sikkerhetstiltak for å begrense utlevering av data til amerikanske overvåkningsmyndigheter til det som er nødvendig og proporsjonalt for å beskytte den nasjonale sikkerheten.
- Et nytt system som skal håndtere klager fra EU-borgere, som skal inkludere en egen domstol "Data Protection Review Court".
- Det skal gjelde strenge forpliktelser for amerikanske selskaper som behandler data overført fra EU, som vil inkludere krav om selv-sertifisering av overholdelse av prinsippene gjennom "U.S. Department of Commerce".
- Spesifikke mekanismer for overvåkning og gjennomgang.
Kvale følger nøye med på utviklingen og vil sende ut en ny oppdatering så snart vi har flere detaljer rundt det som kan danne et nytt rettslig grunnlag for overføring av personopplysninger til USA.
