Enighet om overføring av personopplysninger til USA

EU-kommisjonen og amerikanske myndigheter har kommet til en overordnet enighet om et rammeverk for å gjøre det lettere å sende personopplysninger til USA.

Den 25. mars ble det såkalte "Trans-Atlantic Data Privacy Framework" presentert. Dette er et rammeverk for overføring av personopplysninger til USA. Foreløpig foreligger det bare en overordnet enighet om hvordan rammeverket vil se ut. Det gjenstår å konkretisere detaljene i en juridisk avtale.

- Når rammeverket er sluttført, vil det legge til rette for at personopplysninger kan overføres fra EØS til sertifiserte virksomheter i USA uten særskilte begrensninger eller forpliktelser. Siden norske og europ eiske virksomheter i svært stor grad er avhengig av amerikanske tjenesteytere, vil dette rammeverket ha stor betydning, sier seksjonssjef Tobias Judin.

Bakgrunnen for rammeverket er at vi har et særlig sterkt vern av personopplysninger i EØS. Rammeverket skal sikre at personopplysninger får et tilsvarende beskyttelsesnivå når de overføres til USA.

Erstatter Privacy Shield

Noen områder utenfor EØS har en såkalt adekvansbeslutning fra EU-kommisjonen. Det betyr at man kan overføre personopplysninger dit like fritt som man kan sende personopplysninger innad i EØS.

Dersom man skal overføre personopplysninger ut av EØS til områder uten adekvansbeslutning, må man derimot sikre at man har et gyldig overføringsgrunnlag, foreta omfattende vurderinger og eventuelt iverksette en rekke tiltak. I praksis kan dette være svært krevende å få til.

USA hadde tidligere en adekvansbeslutning i form av Privacy Shield-rammeverket. Privacy Shield gikk ut på at amerikanske virksomheter kunne selv-sertifisere at de ville behandle personopplysninger på en tilstrekkelig god måte. Dermed kunne man overføre personopplysninger til de sertifiserte virksomhetene.

EU-domstolen opphevet imidlertid Privacy Shield i den såkalte Schrems II-dommen. Årsaken var at domstolen mente at Privacy Shield ikke ga et tilstrekkelig beskyttelsesnivå for personopplysninger. Da Privacy Shield ble opphevet, ble det i praksis svært krevende for mange norske virksomheter å overføre personopplysninger til USA på grunn av amerikanske etterretningslover, og dette har skapt betydelig hodebry.

Målet med Trans-Atlantic Data Privacy Framework er å erstatte Privacy Shield slik at USA får en ny adekvansbeslutning. Det europeiske personvernrådet vil høres før dette skjer.

Usikker fremtid i møte

Før Privacy Shield fantes det annet rammeverk for overføring av personopplysninger til USA, kjent som Safe Harbor. Også Safe Harbor ble opphevet av EU-domstolen i den såkalte Schrems I-dommen. Det knytter seg derfor stor interesse til hvordan det nye rammeverket vil se ut i detalj og hvorvidt det lykkes med å imøtekomme alle kravene som EU-domstolen oppstilte i henholdsvis Schrems I- og Schrems II-dommene.

Det er en mulighet for at også det nye rammeverket vil bli utfordret i EU-domstolen. Når rammeverket er vedtatt og operativt, vil det imidlertid være gyldig frem til det eventuelt blir opphevet av EU-domstolen.

Nyttige lenker

Pressemelding: Joint Statement on Trans-Atlantic Data Privacy Framework (ec.europa.eu)

Faktaark: Trans-Atlantic Data Privacy Framework (ec.europa.eu)

Faktaark: United States and European Commission Announce Trans-Atlantic Data Privacy Framework (whitehouse.gov).

Overføring av personopplysninger ut av EØS

All overføring av personopplysninger ut av EØS krever et særskilt grunnlag for å være lovlig. Vi har laget en ny og oppdatert veiledning der går vi gjennom hva som skal til for at personopplysninger kan overføres til land utenfor EØS.

Overføring av personopplysninger ut av EØS