EU-kommisjonen har kommet til enighet med USA om rammene for overføring av personopplysninger over Atlanterhavet gjennom «Privacy Shield»-avtalen.

EU-kommisjonen og USA ble den 2. februar enige om et nytt rammeverk for overføring av personopplysninger til virksomheter i USA. Den nye ordningen kalles for «EU-US Privacy Shield» og erstatter Safe Harbor beslutningen.

Avtalen bygger på kravene som EU-domstolen nedla for overføring av personopplysninger fra EU til USA i dommen hvor Safe Harbor-avtalen ble erklært ugyldig. Privacy Shield-avtalen vil kunne være løsningen for overføring fra Europa til amerikanske selskaper, slik som Google og Microsoft, som tidligere støttet seg på Safe Harbor i sin behandling av personopplysninger om europeiske borgere.

Den nye avtalen vil pålegge de amerikanske virksomhetene strengere forpliktelser til å sikre personopplysninger til europeiske borgere samt begrenser amerikanske myndigheters tilgang til personopplysningene. I tillegg styrkes individenes rettigheter.

I korte trekk inneholder den nye avtalen følgende punkter:

• De amerikanske selskapene som mottar personopplysninger pålegges omfattende forpliktelser for å sikre de europeiske borgernes rettigheter ved behandlingen av personopplysninger. Dette innebærer blant annet krav om regelmessig revisjon og tilsyn med behandlingen.
• Det amerikanske Department of Commerce vil føre tilsyn med at selskapene overholder sine forpliktelser, og forpliktelsene vil kunne håndheves etter amerikansk rett.
• Alle selskaper som behandler ansatteopplysninger er forpliktet til å overholde avgjørelser truffet at de europeiske datatilsynene.
• USA har gitt EU en skriftlig garanti om at amerikanske myndigheters tilgang til personopplysningene vil være underlagt klare begrensninger, sikkerhetsmekanismer samt mekanismer for å sikre åpenhet. Myndighetene vil kun få tilgang dersom det er nødvendig og proporsjonalt for formålet.
• De europeiske borgerne vil få utvidet rett til å klage på behandlingen utført av de amerikanske selskapene og til å kreve erstatning. Europeiske datatilsyn vil ha mulighet til å rette klager til Department of Commerce og Federal Trade Commission. Det vil også oppnevnes en en amerikansk ombudsmann som skal behandle klager fra europeiske borgere som gjelder amerikanske myndigheters tilgang til deres opplysninger.

Hva skjer videre?
EU-kommisjonen vil i løpet av de neste ukene få på plass en formell beslutning og abreide med implementeringen av rammeverket. I mellomtiden må det i USA iverksettes tiltak for implementering av det nye rammeverket, blant annet tilsynsmekanismer og oppnevnelse av en ny ombudsman.

Vil Privacy Shield-avtalen tilfredsstille EU-domstolens krav?
I etterkant av pressemeldingen som ble publisert av EU-kommisjonen i går, har flere kritikere gått ut og omtalt det de oppfatter som svakheter ved Privacy Shield. Kritikken knytter seg blant annet til garantien amerikanske myndigheter skal gi for at myndighetenes tilgang til opplysningene er begrenset. Kommisjonen har foreslått at denne garantien skal gis ved et brev signert av høyt rangerte regjeringsrepresentanter fra USA. Spørsmålet som reises er hvorvidt man kan tillegge dette brevet vekt som rettslig grunnlag, spesielt med tanke på at Obama-administrasjonen er i sluttfasen av sin periode.

I tillegg innebærer denne løsningen at det ikke vil gjøres endringer i amerikansk lov om masseovervåkning, hvilket betyr at det eksisterende amerikanske regelverket fortsatt vil gjelde. Etter Privacy Shield-avtalen vil amerikanske myndigheter kun ha rett til tilgang til personopplysningene dersom det er nødvendig og proporsjonalt med formålet, men det stilles spørsmål ved om ikke nødvendighet- og proporsjonalitetsvurderingen etter amerikansk rett er ganske annerledes enn vurderingen i EU.

Det er for tidlig å foreta noen vurdering av hvorvidt Privacy Shield-avtalen vil være en fullgod og trygg løsning for behandlingen som utføres av de amerikanske selskapene, og som EU-domstolen vil godkjenne. Det gjenstår å se hvordan den endelige teksten i avtalen blir og hvordan avtalen er tenkt implementert.

Hvordan skal norske bedrifter forholde seg?
Det er foreløpig ikke avklart hvordan norske virksomheter kan benytte det nye rammeverket for å overføre personopplysninger til USA og hvilke prosedyrer man skal følge. Inntil videre vil personopplysninger kunne overføres til USA i kraft av gjeldende regelverk, blant annet ved bruk av EUs standardavtaler.

Vi kommer tilbake med mer informasjon så snart dette foreligger fra EU og Datatilsynet.