Tilbake til nyheter

IT-Gruk 9/2023: Er det nå fritt frem for overføring av personopplysninger til USA?

14. juli, 2023
10. juli vedtok EU-kommisjonen adekvansbeslutning for USA etter GDPR art.45 (3) med umiddelbar virkning. Helt overordnet er konsekvensen at personopplysninger lettere kan overføres til USA, men det er fortsatt noen forutsetninger. Vi ser her på enkelte praktiske sider av EU-US Privacy Framework, for det er ikke helt rett frem for all overføring av personopplysninger til USA. Og kanskje kommer det også en Schrems III-dom?

 

Hovedregel (eller kort sammendrag)

Hvis du ikke har lyst til å lese igjennom hele IT-Gruket så har vi forsøkt å gi et kort sammendrag: Hovedkonsekvensen av adekvansbeslutningen for USA er at det åpner for langt enklere og lovlig overføring av personopplysninger til USA, og dermed bruk av globale skyløsninger som tilbys fra USA. Forutsetningen er at den amerikanske virksomheten slutter seg til regelverket og dermed vil stå oppført på listen over godkjente virksomheter. I stor grad samsvarer det med å overføre personopplysninger innad i EU/EØS, slik at du fortsatt må forholde deg til øvrige reglene i GDPR. Glem derfor ikke behandlingsgrunnlag, risikovurdering og databehandleravtale.

 

Bakgrunnen

Overføring av personopplysninger til USA har til nå vært problematisk av flere grunner. Den rettslige hindringen har i siste omgang vært knyttet til Schrems II-dommen. EU-domstolen kom i Schrems II-dommen til at den siste adekvansbeslutningen for USA, kalt Privacy Shield, var ugyldig. Resultatet har vært at lovlig overføring av personopplysninger til USA i praksis har krevd enten fullverdig kryptering, anonymisering eller pseudonymisering. Grunnen var at EU-domstolen kom til at det amerikanske beskyttelsesnivået for personopplysninger var for lavt i forhold til GDPR ved at amerikanske sikkerhetslover i større grad tillot bruk av personopplysninger enn etter GDPR. Den praktiske problemstillingen var knyttet til at skybaserte tjenester og at plattformer ofte er eid av amerikanske virksomheter, som Microsoft Azure, Google, Service Now og Salesforce samt at plattformene ofte tilbyr enkelte tjenester som krever overføring til USA hvis kundene skal kunne benytte skytjenestene fullt ut. Denne utfordringen har også hindret utbredelsen av globale skytjenester og skapt usikkerhet. Mange norske virksomheter har derfor utvist bekymring knyttet til bruk av globale skytjenester.

 

EU-US Privacy Framework

Med denne usikkerheten som bakgrunn, fremforhandlet EU-kommisjonen og USA den nye avtalen for sikring av personvernet ved overføring til USA; EU-US Privacy Framework. Denne ledet igjen til den amerikanske presidentordren av 7. oktober 2022. Det grunnleggende i presidentordren er en selv-sertifiseringsordning for amerikanske virksomheter, og den skal sikre personvernet for europeiske borgere i USA ved overføring av personopplysninger som er i samsvar med GDPR.

I tillegg understøttes dette av en uavhengig klageordning for individer. Ordningen skal bidra til å begrense amerikanske etterretningstjenesters adgang til personopplysninger om borgere innenfor EØS gjennom et eget klageorgan – Data Protection Review Court. Klageorganet vil kunne undersøke og avgjøre klager gjennom bindende tiltak.

Sertifiseringsordningen er frivillig for amerikanske virksomheter, og innebærer at den kun gjelder for de som registrerer seg. Hvem som er sertifisert vil være tilgjengelig på dataprivacyframework.gov, og denne siden skal være i drift fra 17. juli 2023.

Adekvansbeslutningen er ikke evigvarende, og kommisjonen legger til grunn at ordningen må følges opp jevnlig. Derfor skal ordningen senest etter ett år være gjenstand for en revisjon for å vurdere om forutsetningene for beslutningen fortsatt er til stede.

 

Så hva må du gjøre nå?

Som et utgangspunkt trenger du ikke lenger gjennomføre en omfattende vurdering av amerikansk lovgivning og implementere kostbare sikkerhetstiltak. I det tilfelle du ønsker å benytte en skybasert tjeneste som medfører et behov for å overføre personopplysninger til USA, er første steg å sjekke om virksomheten er selvsertifisert under EU-US Privacy Framwork. Hvis virksomheten er selv-sertifisert, så vil overføring til denne virksomheten skje som for andre leverandører underlagt GDPR innad i EU/EØS. Det innebærer som hovedregel at det må inngås en databehandleravtale, og som for bruk av andre skytjenester og plattformer må det også gjennomføres en risikovurdering.

Du må i tillegg til å vurdere leverandøren, også vurdere dennes underleverandører (slik som underliggende tjenester) for om de også er selv-sertifisert. I det tilfelle en leverandør eller underleverandør ikke er selv-sertifisert, vil imidlertid også overføring til USA heretter bli enklere. Gjennom adekvansbeslutningen har EU-kommisjonen også gjort en vurdering av amerikansk lovgivning og praksis. Basert på vurderingen og presidentordren har de kommet til at en overføring til USA ikke lenger er problematisk og at tilleggstiltak ikke er nødvendig. Forutsetningen er at leverandøren eller underleverandøren ikke er underlagt lover som vanligvis gjelder kommersielle amerikanske virksomheter. Dette innebærer en konkret vurdering av virksomheten og dennes regulatoriske forutsetninger. I tillegg må det også etableres et overføringsgrunnlag, slik som EUs standard kontraktsklausuler (SCC) og eventuelle tekniske og organisatoriske tiltak for de virksomheter som ikke er selv-sertifisert.

Et alternativ som også bør vurderes i slike tilfeller er om det er en faktisk overføring av personopplysninger hvis det gjennomføres en pseudonymisering i tråd med SRB-dommen fra EUs General Court (sak T-557/20).

 

Er dette slutten på Schrems-sagaen?

Max Schrems og organisasjonen noyb må få anerkjennelse for å ha brakt personvernet langt frem i virksomheters bevissthet. Vi har tross alt fått to dommer som har underkjent overføring av personopplysninger til et land vi normalt forbinder med demokrati og private parters rettigheter. Derfor er det rimelig å spørre seg om det nå er slutt på Schrems II-sagaen? Jeg tror ikke det er slutt, men allerede har noyb gjort det klart at de mener det ikke har skjedd vesentlige endringer med EU-US Privacy Framework i forhold til Privacy Shield og at noyb kommer til å forfølge den nye ordningen. Men rettslig sett så er adekvansbeslutningen gyldig frem til en domstol kommer til motsatt slutning. For europeiske virksomheter medfører det at i alle fall frem til neste vurdering av ordningen så bør det igjen være større grad av forutsigbarhet ved å ta i bruk skytjenester som innebærer overføring av personopplysninger til USA. For andre land utenfor EU/EØS, så må du fortsatt gjøre en vurdering hvis de ikke er omfattet av en adekvansbeslutning eller det finnes andre overføringsgrunnlag.

GRETTE TEKNOLOGI OG DIGITALISERING: NYHETSBREV | FROKOSTMØTE: Vi bistår alle typer virksomheter med vurderinger knyttet til personvern/GDPR, IT-kontrakter/prosjekter, immaterialrett og andre rettsforhold knyttet til teknologi og digitalisering. Ta gjerne uforpliktende kontakt for en innledende avklaring med ansvarlig for Grettes avdeling for Teknologi og digitalisering: Peter Lenda på tel 924 01 652 eller pele@grette.no. Tidligere IT-Gruk’er er tilgjengelige på Grettes nyhetssider.

Gå til
  • Spisskompetanse
  • Mennesker
  • Cases
  • Kurs