Privacy Shield-avtalen mellom USA og EU/EØS er opphevet

EU-domstolen har avsagt en ny, prinsipiell dom om overføring av personopplysninger til USA, gjerne kalt Schrems II-dommen, der Privacy Shield er kjent ugyldig. Kjernen i saken er forholdet mellom europeisk personvern og amerikanske overvåkingslover når personopplysninger blir overført fra Europa til USA.

Dommen tok stilling til hva som må til for at et selskap får lov til å overføre personopplysninger til USA. Tidligere kunne selskaper overføre personopplysninger til USA blant annet dersom mottakeren var sertifisert i henhold til det såkalte EU-US Privacy Shield-rammeverket. 

Sakens bakgrunn

Den østerrikske personvernaktivisten Max Schrems krevde at det irske datatilsynet skulle stoppe overføringer av personopplysninger mellom Facebook Irland og Facebook Inc. i USA. Han begrunnet dette med at personopplysningene hans ikke var godt nok beskyttet i USA.

Personvernforordningen inneholder spesielle krav når personopplysninger overføres til et tredjeland, det vil si land utenfor EØS. Grunnen er at beskyttelsesnivået som gjelder i EØS, ikke skal undergraves.

Domstolens uttalelser

EU-domstolen uttaler at Europakommisjonens standard personvernbestemmelser ved overføring til tredjeland er et gyldig grunnlag for å overføre personopplysninger ut av EØS, forutsatt at rettssystemet i mottakerlandet gjør det mulig å følge de standard personvernbestemmelsene i praksis. Det er i utgangspunktet opp til dataeksportøren og mottakeren å vurdere om beskyttelsesnivået i de standard personvernbestemmelsene faktisk vil bli respektert i mottakerlandet.

EU-US Privacy Shield, en sertifiseringsordning for virksomheter i USA, var et annet overføringsgrunnlag som har vært gjeldende fra 1. juli 2016. EU-domstolen uttalte at Europakommisjonens beslutning om Privacy Shield var i strid med kravene til et tilstrekkelig beskyttelsesnivå i personvernforordningen, lest i lys av menneskerettighetene.

Sentralt for vurderingen var de vide hjemlene til amerikansk etterretning og at europeiske borgere ikke har god nok mulighet til å overprøve beslutningene om overvåking. EU-domstolen konkluderte dermed med at kommisjonsbeslutningen om Privacy Shield var ugyldig.

Hva nå?

Virksomheter som i dag bruker Privacy Shield-mekanismen må vurdere hvilke andre overføringsgrunnlag som kan benyttes for å overføre personopplysninger til USA.
Les mer om overføringsgrunnlag til utlandet

Datatilsynet vil i samarbeid med andre tilsynsmyndigheter i EØS gi nærmere veiledning til hvordan virksomheter kan innrette seg etter avgjørelsen.

Vi har samlet endel spørsmål og svar om saken i en egen artikkel 

Last ned