Personopplysninger til USA – nytt overføringsgrunnlag nærmer seg

EU-Kommisjonen har lagt frem et utkast til ny adekvansbeslutning som skal fremme den transatlantiske dataflyten og samtidig imøtegå de bekymringene som EU-domstolen gav uttrykk for i Schrems II-avgjørelsen fra juli 2020.

Det skapte store utfordringer for norske og europeiske virksomheter når EU-domstolen i Schrems II-dommen i juli 2020 opphevet det tidligere adekvansrammeverket Privacy Shield, hvor man «fritt» kunne overføre personopplysninger til USA. Særlig krevende var det for alle aktører som benyttet seg av amerikanske IT-leverandører, herunder skytjenester.

Det var derfor en langt etterlengtet beskjed når EU-Kommisjonens president Ursula von der Leyen og USAs president Joe Biden tidligere i år annonserte at de var kommet frem til en prinsipiell avtale om et nytt rammeverk for den transatlantiske dataflyten.

Den 13. desember 2022 la Kommisjonen omsider frem sitt utkast til ny adekvansbeslutning for overføring av personopplysninger til USA – det såkalte EU-U.S. Data Privacy Framework – og har med det påstartet prosessen med formell godkjenning av den nye overføringsmekanismen. Rammeverket vil i likhet med Privacy Shield, kun gjelde for amerikanske selskaper som selv ønsker å ta del i ordningen og som sertifiseres av U.S Department of Commerce. Utkastet kan leses in sin helhet ved å følge lenken nederst på siden.

Fordelen med en slik adekvansbeslutning er at den forhåndsbeslutter og gir garantier for at alle amerikanske selskaper som er sertifisert under rammeverket vil kunne behandle personopplysninger med tilsvarende beskyttelsesnivå som i EU/EØS. På bakgrunn av en slik adekvansbeslutning kan personopplysninger derfor «fritt» overføres til USA uten at norske eller europeiske virksomheter må inngå SCCs og gjennomføre individuelle transfer impact assessments (TIAs).

Hva skjer videre?

Utkastet til adekvansbeslutning vil nå oversendes til EDPB (EUs Personvernråd) og EU-parlamentet, som henholdsvis vil få muligheten til å komme med en formell uttalelse på og vurdere om de anser personvernet som tilstrekkelig ivaretatt. Utkastet må deretter godkjennes av et utvalg bestående av alle EU-landenes nasjonale representanter.

Først etter dette kan EU-Kommisjonen vedta den endelige adekvansbeslutningen som vil tillate data å flyte fritt og trygt mellom virksomheter i EU og (sertifiserte) virksomheter i USA. En slik formell godkjennelse er forventet å foreligge før sommeren 2023, men trolig ikke tidligere enn mars/april.

Hva skjer i mellomtiden? Siste frist til å oppdatere til de nye SCCs

I tiden frem mot godkjenning av adekvansbeslutningen, er det viktig å huske på at overføring av personopplysninger til USA fremdeles må skje på bakgrunn av et lovlig overføringsgrunnlag.

De fleste virksomheter har etter opphevelsen av Privacy Shield benyttet seg av Kommisjonens standard personvernbestemmelser (SCCs) for overføring av personopplysninger til USA. I den forbindelse er det verdt å merke seg at gyldigheten av de gamle SCCs (relevant for alle avtaler inngått før 27. september 2021) utløper den 27. desember 2022. Det betyr at alle virksomheter må oppdatere til de nye standard personvernbestemmelsene innen 27. desember 2022 for å lovlig overføre personopplysninger til USA frem mot adekvansbeslutningens ikrafttredelse (forhåpentlig) i første halvdel av 2023.

Utkastet til adekvansbeslutning er i sin helhet tilgjengelig her.

Våre personvernadvokater bistår gjerne dersom du har spørsmål i forbindelse med overføring av personopplysninger til tredjeland eller ønsker praktisk bistand med implementering av de oppdaterte standard personvernsbestemmelsene (SCCs). Av våre advokater som bistår innen personvern, har Sindre Dyrhovden særlig kompetanse knyttet til overføring av personopplysninger til tredjeland.

Nyhetsbrevet er skrevet av Vilde Engan og Sindre Dyrhovden.

Bilde: Shutterstock