EU-domstolen har kommet til at EU/US Privacy Shield er i strid med GDPR

EU-domstolen har 16. juli 2020, i sak C-311/18, konkludert med at rammeverket for overføring av personopplysninger mellom USA og EU -  Privacy Shield - ikke er i samsvar med personvernreglene (GDPR). Dette får konsekvenser for alle norske virksomheter som i dag baserer seg på rammeverket.

Privacy Shield er en måte å overføre personopplysninger fra EU/EØS til USA. Rammeverket ble formelt vedtatt av EU-kommisjonen 12. juli 2016, og har vært i bruk siden 1. august 2016. Ordningen erstattet den såkalte «Safe Harbour»- ordningen, og innebærer at personopplysninger kan overføres fra EU/EØS – og dermed også fra Norge – til amerikanske virksomheter som er tilsluttet Privacy Shield. Listen over tilsluttede virksomheter oppdateres årlig. Det amerikanske Handelsdepartementet (US Department of Commerce) administrerer ordningen.

Så lenge norske virksomheter har sørget for å påse at en amerikansk virksomhet er Privacy Shield-godkjent, har altså overføring av personopplysninger inntil nå lovlig kunnet skje i henhold til GDPR. Nå vil det altså ikke lenger foreligge en slik adgang, ettersom EU-domstolen har kommet til at Privacy Shield ikke gir god nok beskyttelse for EU/EØS-borgeres personopplysninger.

Dette innebærer at man må benytte seg av andre mekanismer for overføring av personopplysninger fra Norge til USA. De to mest aktuelle alternativene for overføring er enten bruk av standardkontrakter, eller bruk av såkalt binding corporate rules (BCR):

• Standardkontraktene er utarbeidet av EU-kommisjonen. Dersom opplysninger skal overføres fra en behandlingsansvarlig etablert i EU/EØS, til en virksomhet i en tredjestat som selv er behandlingsansvarlig, er det to alternative standardkontrakter å velge mellom. Dersom virksomheten i tredjelandet derimot er en databehandler, er det kun aktuell én standardavtale. Malene er tilgjengelig på Datatilsynets nettsider.
• Binding corporate rules (BCR) er interne regler for overføring av personopplysninger innenfor en bedriftsgruppe, det vil si mellom multinasjonale selskaper, virksomheter i et konsern, eller en gruppe av foretak som utfører felles økonomisk virksomhet. Så lenge bedriftsgruppen har BCR i samsvar med GDPR, kan personopplysninger overføres til andre aktører innenfor samme bedriftsgruppe, selv om landet opplysningene overføres til, ikke anses å ha tilstrekkelig beskyttelsesnivå. På Datatilsynets hjemmeside er det beskrevet hva BCR må inneholde, og hva som er fordelene og ulempene med en slik ordning.

Norske virksomheter som i dag baserer seg på Privacy Shield ved overføringer av personopplysninger til USA, må også huske å oppdatere sin gjeldende personvernerklæring, slik at riktig overføringsgrunnlag blir beskrevet, samt at øvrige rettigheter for de registrerte blir hensyntatt i henhold til GDPR (herunder hvordan man kan få tilgang til inngåtte standardkontrakter eller BCR).

DLA Piper bistår gjerne ved vurderingen av hvilken overføringsmekanisme som egner seg best for din virksomhet i det enkelte tilfellet, ved oppdatering av personvernerklæring, og ved andre spørsmål som måtte oppstå som følge av EU-domstolens avgjørelse.