Man kan overføre personopplysninger fritt innad i EØS, mens det som hovedregel er forbudt å overføre personopplysninger ut av EØS. Det finnes imidlertid noen unntak fra hovedregelen, og ett av dem er at EU-kommisjonen kan «godkjenne» enkeltland gjennom såkalte adekvansbeslutninger. 10. juli fikk USA en slik adekvansbeslutning som innebærer at hvis en amerikansk virksomhet står på lista over godkjente virksomheter (dataprivacyframework.gov), kan det overføres personopplysninger til den som om det var en europeisk virksomhet.

Virksomhetene må fortsatt følge de andre reglene i personvernforordningen, for eksempel ha behandlingsgrunnlag eller databehandleravtale for å dele personopplysninger med andre.

Les veiledningen vår om overføring av personopplysninger ut av EØS

– En vinn-vinn-situasjon

– En adekvansbeslutning gjør det enkelt for virksomheter å overføre personopplysninger til et bestemt land samtidig som det er på plass tiltak for å beskytte individenes rettigheter – i utgangspunktet en vinn-vinn-situasjon, sier sjef for internasjonal seksjon i Datatilsynet, Tobias Judin. 

USA har hatt adekvansbeslutninger tidligere, men disse har blitt kjent ugyldige av EU-domstolen. I Schrems II-dommen fra sommeren 2020 sa EU-domstolen at det amerikanske beskyttelsesnivået for personopplysninger var for lavt, og konsekvensen var at det i utgangspunktet ble forbudt å overføre personopplysninger til USA. Dommen medførte store vanskeligheter for norske virksomheter som bruker amerikanske tjenester.

Les mer om saken fra 2020

Styrket personvern

Etter Schrems II-dommen har EU-kommisjonen og USA vært i forhandlinger. Resultatet er at USA nå har endret sin etterretningslovgivning for å styrke personvernet, og de har innført bedre rettigheter for individer.

– Vi er glade for at personvernet i USA har blitt bedre og for at det nå blir mye lettere for norske virksomheter å forholde seg til personvernregelverket, sier Judin.

Last ned

Adequacy Decision EU-US Data Privacy Framework (pdf). 

Spørsmål og svar om de nye reglene for overføring av personopplysninger til USA

1. Hva består de nye reglene mellom USA og EU i?

   EU og USA har forhandlet frem et nytt rammeverk, kalt EU-U.S. Data Privacy Framework (comission.europa.eu). Det er en selv-sertifiseringsordning. Amerikanske virksomheter kan bli sertifiserte dersom de forplikter seg til å behandle personopplysninger i tråd med rammeverket, og forutsatt at de tilbyr gratis og uavhengige klageordninger for individer.
   
   EU-kommisjonen har bestemt at reglene i rammeverket i hovedsak tilsvarer europeiske personvernregler. EU-kommisjonen har også vurdert amerikanske lover og praksiser og kommet frem til at de ikke gjør unntak fra personvernet i større grad enn nødvendig og forholdsmessig.

2. Kan jeg nå overføre personopplysninger fritt til alle amerikanske virksomheter?

   Nei, det kan du ikke. Det er viktig å være oppmerksom på at adekvansbeslutningen bare omfatter virksomhetene som er selvsertifisert og som står på denne lista (dataprivacyframework.gov). Det har imidlertid blitt enklere å overføre personopplysninger også til andre amerikanske virksomheter.

3. Hjelper de nye reglene meg om jeg vil overføre personopplysninger som ikke står på lista? (se spørsmål over)

   Dersom du skal overføre personopplysninger til et land utenfor EØS som ikke har adekvansbeslutning, er det to ting du må gjøre. Først må du sikre et overføringsgrunnlag, for eksempel ved å inngå en standardkontrakt som kalles SCC-er. Deretter må du vurdere beskyttelsesnivået for personopplysninger i det aktuelle landet og eventuelt iverksette tilleggstiltak for å motvirke at overføringsgrunnlaget ditt blir undergravd av lokale lover og praksiser. Det er særlig disse vurderingene som medfører praktiske utfordringer for norske virksomheter.
   
   EU-kommisjonen har allerede vurdert amerikansk lovgivning og praksiser i adekvansbeslutningen. Enkelt forklart mener EU-kommisjonen at disse ikke er et problem og at tilleggstiltak ikke er nødvendig. Forutsatt at virksomheten du skal overføre til, ikke er underlagt andre lover enn det vanlige, kommersielle amerikanske virksomheter er, kan du altså lene deg på EU-kommisjonens vurderinger. Dermed har de krevende vurderingene blitt forenklet, men ikke glem at du fortsatt må sikre et overføringsgrunnlag.

4. Er det noe jeg trenger å tenke på hvis jeg overfører personopplysninger til en godkjent amerikansk virksomhet?

   Du trenger ikke å ha et overføringsgrunnlag, vurdere beskyttelsesnivå eller iverksette tilleggstiltak. Derimot må du forholde deg til alle de andre pliktene i personvernforordningen – det er jo ikke fritt frem å behandle og dele personopplysninger med andre selv om personopplysninger kan overføres ut av EØS.

5. Hva er egentlig en overføring?

   Dette forklarer vi i veiledningen vår om overføring av personopplysninger til land utenfor EØS. Merk at du også kan måtte forholde deg til overføringsreglene dersom du behandler data i EØS, men bruker en leverandør fra et land utenfra EØS som ikke har adekvansbeslutning. 

6. Hvilke rettigheter har jeg som individ?

   De amerikanske virksomhetene som deltar i det nye rammeverket, har påtatt seg en rekke forpliktelser: De skal behandle personopplysninger på en bestemt måte, og de skal tilby gratis og uavhengige klageordninger for individer.
   
   Dersom du mener at en amerikansk virksomhet ikke følger forpliktelsene sine, bør du først klage til virksomheten og eventuelt spørre hvilke klageordninger de har.
   
   Etter de nye reglene kan du klage til et uavhengig amerikansk organ dersom personopplysningene dine har blitt overført til USA og du mener at amerikansk etterretning har behandlet dem ulovlig. Du kan ta kontakt med en av datatilsynsmyndighetene i EØS for veiledning om hvordan du går frem.

7. Vil de nye reglene bli utfordret i EU-domstolen?

   Mest sannsynlig vil de det. Det er imidlertid vanskelig å spå hva utfallet av en slik rettsak eventuelt vil bli.
   
   På én side mener flere at de nye reglene adresserer bekymringene til EU-domstolen. Dessuten har den sikkerhetspolitiske situasjonen i verden forandret seg siden Schrems II-dommen. Flere peker på at europeiske overvåkningslover også kan være problematiske og at man bør prioritere å se på disse først. På den annen side mener flere at de nye løsningene ikke er gode nok. Flere mener også at det er andre utfordringer med amerikansk etterretning som EU-domstolen ikke har uttalt seg om før, men som den bør ta stilling til.
   
   Det er med andre ord en risiko for at de nye reglene vil bli opphevet, og at det i så fall vil bli vanskelig å overføre personopplysninger til USA igjen. Vi vet ikke om denne risikoen vil slå til, men det er viktig å ha et bevisst forhold til den.

Mer informasjon om de nye reglene

EU-kommisjonen har også utarbeidet en rekke spørsmål og svar om beslutningen og om rammeverket for overføring av personopplysninger mellom EU og USA i Questions & Answers: EU-US Data Privacy Framework (ec.europa.eu).

Personvernrådet har publisert et dokument som har til formål å gi ytterligere klarhet om implikasjonene av beslutningen for enkeltpersoner i EØS og for virksomheter som overfører personopplysninger fra EU/EØS til USA (edpb.europa.eu).