Nytt rammeverk for overføring av personopplysninger til USA
Sommerens innføring av Data Privacy Framework markerte en milepæl for overføring av personopplysninger til USA. Mange lurer nå på hvordan det nye rammeverket vil påvirke dataoverføringer fra deres virksomhet. I denne episoden av Lovlytt forklarer personvernekspert og advokatfullmektig Marte Wellerop Tronstad hva en adekvansbeslutning er, og hva det nye rammeverket betyr for bruken av amerikanske skytjenester. Er din virksomhet oppdatert? Programleder er advokat/assosiert partner Ida Brabrand. Produsent Øystein Weibell/Kanonlyd.
EU-kommisjonen besluttet 10. juli at USA får en såkalt adekvansbeslutning med umiddelbar virkning. Dette er en svært god nyhet for europeiske virksomheter som ønsker å overføre personopplysninger til amerikanske virksomheter. En adekvansbeslutning er en beslutning tatt av EU-kommisjonen om at et land, et område eller en internasjonal organisasjon har et tilstrekkelig beskyttelsesnivå for personopplysninger.
Adekvansbeslutningen for USA innebærer at overføring av personopplysninger fra EØS til virksomheter i USA nå er lovlig og trygt, forutsatt at de aktuelle virksomhetene står på listen over virksomheter som er sertifisert under EU-U.S. Data Privacy Framework. Virksomheter velger selv om de ønsker å sertifiseres under rammeverket. Listen over sertifiserte virksomheter finnes her, og vil oppdateres jevnlig.
Når USA nå har fått en adekvansbeslutning, trenger ikke europeiske virksomheter å bruke EUs standard kontraktbestemmelser (SCC) som mekanisme for å overføre personopplysninger til amerikanske virksomheter lenger. Det er heller ikke nødvendig å gjennomføre såkalte transfer impact assessments (TIA) før overføringen kan gjennomføres.
Det er viktig å huske på at selv om en amerikansk virksomhet er sertifisert under EU-U.S. Data Privacy Framework, må man fortsatt ha et lovlig behandlingsgrunnlag for overføring av personopplysninger, og inngå nødvendige databehandleravtaler.
Det er også viktig å minne om at adekvansbeslutningen som kom 10. juli kun gjelder for USA.
Dersom du skal overføre til andre land utenfor EØS som ikke har fått en adekvansbeslutning, som f.eks. India eller Singapore, må du fortsatt inngå SCC og gjennomføre TIA.
Nå gjenstår det å se hvor godt EU-U.S. Data Privacy Framework vil fungere fremover. EU-kommisjonens sertifiseringsordninger for USA har blitt utfordret og ugyldiggjort to ganger tidligere (Safe Harbor og Privacy Shield I) i Schrems I og Schrems II-dommene. Max Schrems, mannen bak Schrems I og Schrems II, har uttalt at han og organisasjonen hans None of Your Business (NOYB) vil utfordre det nye rammeverket rettslig.