Privacy Shield kjent ugyldig i EU-domstolen
Personopplysninger kan ikke lenger overføres til USA med grunnlag i EUs Privacy Shield-ordning. I tillegg tydeliggjøres pliktene behandlingsansvarlige og databehandlere har når de bruker EUs standardkontrakter for slike dataoverføringer.
Personopplysninger kan ikke lenger overføres til USA med grunnlag i EUs Privacy Shield-ordning. I tillegg tydeliggjøres pliktene behandlingsansvarlige og databehandlere har når de bruker EUs standardkontrakter for slike dataoverføringer.
Overføringer av personopplysninger til land utenfor EØS, såkalte tredjeland, forutsetter grunnlag i Personvernforordningen (GDPR). Det eksisterer ulike muligheter, hvorav de vanligste er EUs standard personvernkontrakter (såkalte «Standard Contractual Clauses»), bindende virksomhetsregler for konsernselskap og EU-kommisjonens beslutning om et tredjelands tilstrekkelige beskyttelsesnivå. Det kanskje viktigste eksempelet på sistnevnte grunnlag er beslutningen om å godkjenne amerikanske bedrifter som er tilsluttet EU-US Privacy Shield for å ha tilstrekkelig beskyttelsesnivå.
Frem til nå har personopplysninger gjennom EU-US Privacy Shield kunnet flyte problemfritt mellom EØS og USA. Dommen som falt i dag, kjent som «Schrems II», endrer dette. Saken gjaldt gyldigheten av EU-US Privacy Shield og EUs standard personvernkontrakter.
Domstolen konkluderte med at beskyttelsen som sikres gjennom EU-US Privacy Shield er utilstrekkelig, primært grunnet amerikanske myndigheters overvåkingsadgang og EU-borgeres manglende mulighet til rettsmidler mot amerikanske selskap under ordningen. Dermed er EU-kommisjonens EU-US Privacy Shield-beslutning ikke lenger et gyldig overføringsgrunnlag. Hva gjelder standardkontraktene fant retten at disse generelt sett er gyldige. Behandlingsansvarlige bedrifter og databehandlere plikter imidlertid å undersøke beskyttelsesnivået personopplysningene vil få i tredjelandet – dataoverføringen er avhengig av at beskyttelsen er tilnærmet EU-ekvivalent. Denne undersøkelsesplikten gjelder for hver enkelt dataoverføring.
At EU-domstolen fastholder at det påhviler tilsynsmyndigheter og behandlingsansvarlige å undersøke om personvernet ivaretas ved bruk av standardkontraktene, tilsier en skjerpet aktsomhetsplikt. Hvis din virksomhet overfører personopplysninger til tredjeland basert på standardkontraktene vil du etter omstendighetene måtte vurdere blant annet nasjonale sikkerhetsmyndigheters mulighet til innsyn i opplysningene og statens respekt for menneskerettighetene. Det er sannsynlig at overføringer til land uten tilstrekkelig beskyttelsesnivå eller lovlige overføringsmekanismer kan føre til erstatningsansvar og sanksjoner på lik linje med andre brudd på GDPR.
Med tanke på de vidtgående konsekvensene dette har forventes en videre avklaring i nærmeste fremtid. Datatilsynet har varslet at de vil komme med ytterligere opplysninger om saken.