Nyhet / 16.07.2020

Privacy Shield kjent ugyldig i EU-domstolen

Skrevet av Kari Gimmingsrud, Andreas Gard Meyer & Emilie Holtermann

Personopplysninger kan ikke lenger overføres til USA med grunnlag i EUs Privacy Shield-ordning. I tillegg tydeliggjøres pliktene behandlingsansvarlige og databehandlere har når de bruker EUs standardkontrakter for slike dataoverføringer.

Overføringer av personopplysninger til land utenfor EØS, såkalte tredjeland, forutsetter grunnlag i Personvernforordningen (GDPR). Det eksisterer ulike muligheter, hvorav de vanligste er EUs standard personvernkontrakter (såkalte «Standard Contractual Clauses»), bindende virksomhetsregler for konsernselskap og EU-kommisjonens beslutning om et tredjelands tilstrekkelige beskyttelsesnivå. Det kanskje viktigste eksempelet på sistnevnte grunnlag er beslutningen om å godkjenne amerikanske bedrifter som er tilsluttet EU-US Privacy Shield for å ha tilstrekkelig beskyttelsesnivå.

Frem til nå har personopplysninger gjennom EU-US Privacy Shield kunnet flyte problemfritt mellom EØS og USA. Dommen som falt i dag, kjent som «Schrems II», endrer dette. Saken gjaldt gyldigheten av EU-US Privacy Shield og EUs standard personvernkontrakter.

100x640 privacy

Domstolen konkluderte med at beskyttelsen som sikres gjennom EU-US Privacy Shield er utilstrekkelig, primært grunnet amerikanske myndigheters overvåkingsadgang og EU-borgeres manglende mulighet til rettsmidler mot amerikanske selskap under ordningen. Dermed er EU-kommisjonens EU-US Privacy Shield-beslutning ikke lenger et gyldig overføringsgrunnlag. Hva gjelder standardkontraktene fant retten at disse generelt sett er gyldige. Behandlingsansvarlige bedrifter og databehandlere plikter imidlertid å undersøke beskyttelsesnivået personopplysningene vil få i tredjelandet – dataoverføringen er avhengig av at beskyttelsen er tilnærmet EU-ekvivalent. Denne undersøkelsesplikten gjelder for hver enkelt dataoverføring.

Dersom din bedrift er behandlingsansvarlig eller databehandler bør du nå:

Kartlegge om bedriften din eller dine leverandører (databehandlere) overfører personopplysninger til tredjeland/USA

Få oversikt over hvilket eller hvilke grunnlag som benyttes for eventuelle overføringer

Sette deg inn i den nye undersøkelsesplikten som gjelder ved bruk av EUs standardkontrakter

Vurdere å foreløpig suspendere overføring av personopplysninger til USA inntil gyldig rettsgrunnlag er etablert.

At EU-domstolen fastholder at det påhviler tilsynsmyndigheter og behandlingsansvarlige å undersøke om personvernet ivaretas ved bruk av standardkontraktene, tilsier en skjerpet aktsomhetsplikt. Hvis din virksomhet overfører personopplysninger til tredjeland basert på standardkontraktene vil du etter omstendighetene måtte vurdere blant annet nasjonale sikkerhetsmyndigheters mulighet til innsyn i opplysningene og statens respekt for menneskerettighetene. Det er sannsynlig at overføringer til land uten tilstrekkelig beskyttelsesnivå eller lovlige overføringsmekanismer kan føre til erstatningsansvar og sanksjoner på lik linje med andre brudd på GDPR.

Med tanke på de vidtgående konsekvensene dette har forventes en videre avklaring i nærmeste fremtid. Datatilsynet har varslet at de vil komme med ytterligere opplysninger om saken.