Nytt rammeverk for overføring av personopplysninger til USA
EU og USA har nå forhandlet fram et nytt rammeverk for behandling av personopplysninger, kalt EU-U.S. Data Privacy Framework. Rammeverket er en selvsertifiseringsordning som innebærer at amerikanske virksomheter kan bli sertifiserte dersom de forplikter seg til å behandle personopplysninger i tråd med rammeverket og forutsatt at de tilbyr en gratis og uavhengig klageordning for individer.
Rammeverket innebærer at USA har fått en ny adekvansbeslutning vedtatt 10. juli 2023. Når det foreligger en adekvansbeslutning betyr dette at europeiske virksomheter kan overføre personopplysninger til amerikanske virksomheter som står oppført på listen over godkjente virksomheter, som om virksomheten var etablert i et EU-land. Listen over godkjente virksomheter finner du her: dataprivacyframework.gov.
Det er viktig å huske på at selv om virksomheten er sertifisert må man fortsatt sørge for å ha rettslig grunnlag for overføringen og at de øvrige kravene i GDPR må være oppfylt.
USA har hatt adekvansbeslutninger tidligere, men det var disse som ble kjent ugyldige av EU-domstolen i forbindelse med de såkalte Schrems – dommene. I Schrems II-dommen fra sommeren 2020 sa EU-domstolen at det amerikanske beskyttelsesnivået for personopplysninger var for lavt, og konsekvensen var at det i utgangspunktet ble forbudt å overføre personopplysninger til USA. Dommen har medført store vanskeligheter for norske og europeiske virksomheter som benytter amerikanske tjenester.
Selv om det nå foreligger en ny adekvansbeslutning og et nytt rettslig rammeverk som EU-kommisjonen har vurdert som tilstrekkelig sammenliknet med det europeiske personvernregelverket, er det ikke fritt frem å overføre personopplysninger til USA. Det er viktig å understreke at adekvansbeslutningen kun gjelder for virksomheter som er sertifisert og oppført på listen over godkjente virksomheter.
For virksomheter som ikke er oppført i listen over sertifiserte virksomheter er det som følge av EU-kommisjonens arbeid med det nye rammeverket allikevel blitt enklere å sikre lovlig overføring. Overføring til virksomheter som ikke er sertifiserte krever fortsatt et gyldig overføringsgrunnlag, som for eksempel EUs standardavtaler (SCC’er). Videre skal beskyttelsesnivået i landet (USA) vurderes og eventuelle tilleggstiltak iverksettes for å motvirke at overføringsgrunnlaget undergraves som følge av lokalt regelverk og/eller praksis.
I og med at EU-kommisjonen nå har vurdert amerikansk lovgivning og praksis dithen at det ikke er nødvendig å iverksette tilleggstiltak ved overføringer til alminnelige, kommersielle amerikanske virksomheter som ikke er underlagt amerikansk særlovgivning, kan man nå lene seg på EU-kommisjonens vurderinger av USA’s personvernregelverk og dermed unngå å måtte gjennomføre en ellers krevende vurdering av personvernkonsekvenser som følge av overføringen, altså en såkalt Transfer Impact Assessment (TIA).
Siden Schrems II -dommen er det nettopp disse vurderingene som har gjort det vanskelig å dokumentere lovlig overføring av personopplysninger til amerikanske virksomheter.
Hva nå?
Datatilsynet skriver på sine nettsider at de anser det som sannsynlig at det nye rammeverket også vil bli utfordret i EU-domstolen. Den sikkerhetspolitiske situasjonen i verden har endret seg siden Schrems II- dommen og det mange mener det kan være forhold både ved europeisk og amerikansk etterretningslovgivning som kan kreve nærmere vurderinger. Inntil det foreligger en eventuell dom fra EU domstolen som kjenner den nye ordningen ugyldig, kan vi nå slå oss til ro med at overføring av personopplysninger til USA ikke er ulovlig så lenge det kan dokumenteres at kravene i GDPR er oppfylt og de amerikanske virksomhetene omfattes av ordningen.
Mange vil nok anse det som en lettelse at selskaper som Google, Microsoft og Meta er oppført i listen over sertifiserte virksomheter.
Ta kontakt med oss hvis du har spørsmål om GDPR generelt eller trenger råd i forbindelse med overføring til USA eller andre land utenfor EU.