USA og EU enige om rammeverket for nytt privacy shield
EU og USA annonserte på fredag at de er enige om et nytt rammeverk for overføring av personopplysninger mellom Europa og USA. Enigheten markerer begynnelsen på slutten for usikkerheten som har rådet for transatlantiske overføringer av personopplysninger etter Schrems II-dommen som kom i juli 2020.
Fredag 25. mars annonserte EU og USA at de har blitt enige om rammeverket ("Agreement in principle") for en ny avtale for overføringer av personopplysninger mellom EU/EØS og USA. Enigheten er etterlengtet for mange virksomheter som overfører personopplysninger fra EU/EØS til USA.
Bakgrunnen er at det følger av personvernforordningen (GDPR) at overføringer av personopplysninger ut av EU/EØS er forbudt, med mindre virksomheten kan påvise et overføringsgrunnlag. Overføringsgrunnlaget skal sikre at personvernet blir tilnærmet likt som i EU/EØS.
Frem til sommeren 2020 overførte mange virksomheter personopplysninger til USA i tråd med en avtale mellom USA og EU som het Privacy Shield. I juli 2020 kom EU-domstolen frem til at dette overføringsgrunnlaget var ugyldig, fordi etterretningslovene i USA ikke ga europeere den beskyttelsen som de har krav på etter europeisk lovgivning. EU-domstolen uttalte at EUs standard kontraktsklausuler fortsatt kan brukes som overføringsgrunnlag, men det er til dels kompliserte vurderinger og stiller krav til "ytterligere tiltak" dersom overføring skjer til tredjeland som USA.
Avgjørelsen fra EU-domstolen har etterlatt mange virksomheter i en uklar rettslig situasjon, hvor det har vært vanskelig å dokumentere at man lovlig overfører personopplysninger til USA, for eksempel fordi man bruker amerikanske skytjenester.
Dersom enigheten mellom EU og USA på sikt resulterer i et nytt avtaleverk, vil det potensielt kunne løse den uoversiktlige situasjonen mange virksomheter nå er i, siden man da ikke må benytte EUs standard kontraktsklausuler for å overføre personopplysninger til USA. Dette innebærer at virksomheter heller ikke trenger å foreta egne vurderinger av beskyttelsesnivået i USA og hvilke ytterligere sikkerhetstiltak som er påkrevd å implementere før de overfører personopplysningene til USA, slik man i dag må ved bruk av EUs standard kontraktsklausuler.
Detaljene rundt enigheten er fortsatt ikke kjent, men dette vet vi så langt:
- USA skal styrke personvernet og menneskerettighetene til europeiske borgere i sin etterretningsvirksomhet
- Det skal etableres en ny personverndomstol i USA. Dommerne skal være uavhengig amerikanske myndigheter.
- Amerikanske etterretningsorganisasjoner skal gjennomføre nye retningslinjer for å styrke personvernet og menneskerettighetene til de som blir overvåket.
EU-kommisjonen og amerikanske myndigheter jobber med å formalisere rammeverket til en ny avtale. Først når denne kommer vil vi kunne si mer om hva enigheten konkret vil innebære og hvordan virksomheter må innrette seg.
Max Schrems, som i sin tid saksøkte Facebook og fikk medhold i at Privacy Shield var ugyldig, har allerede uttalt seg kritisk til enigheten om rammeverket. Når er avtalen er på plass, er det derfor grunn til å tro at også denne avtalen vil prøves for EU-domstolen. Siste ord i saken er med andre ord ikke sagt.
Kilder: