Sommeren 2016 innførte EU-kommisjonen og USA en ny avtale om overføring av personopplysninger til virksomheter i USA. Den nye ordningen kalles «EU-US Privacy Shield» og erstatter Safe Harbor-avtalen. Formålet med avtalen er å sikre europeiske borgeres personopplysninger.

Overføring av personopplysninger fra EU/EØS til utlandet er i utgangspunktet forbudt, men det er flere måter å gjennomføre en lovlig overføring på. Etter at den tidligere Safe Harbour ordningen ble kjent ugyldig av EU-domstolen har EU og USA blitt enige om en ordning – Privacy Shield. Privacy Shield vil sammen med blant annet EUs standardavtaler gi et rammeverk for lovlig overføring av personopplysninger.

Selv om det i EU har vært nedlagt et betydelig arbeid med å få på plass mekanismer som skal ivareta næringslivets interesser samtidig som personvernet beskyttes, utfordres ordningene. I Irland er advokaten Max Schrems på nytt involvert i en sak hvor EUs Standardavtaler for overføring av personopplysninger vurderes. Det irske datatilsynet (Data Protection Commissioner) ber om at EU-domstolen skal ta stilling til spørsmålet om gyldigheten av EUs standardavtaler. Saken behandles i High Court i Irland nå i februar 2017 og vil kunne få betydning for hele EU/EØS.

Privacy Shield

I korte trekk innebærer Privacy Shield at:

• Amerikanske selskaper pålegges omfattende forpliktelser for å sikre europeiske borgeres personopplysninger. Blant annet gjennom regelmessig revisjon og tilsyn.
• Forpliktelsene vil kunne håndheves etter amerikansk rett.
• Selskaper som behandler ansattopplysninger må overholde avgjørelser truffet av de europeiske datatilsynene.
• EU har fått skriftlig garanti om at amerikanske myndigheter kun vil få tilgang til personopplysninger dersom det er nødvendig og proporsjonalt for formålet.

Europeiske borgere vil få utvidet klagerett. Det vil oppnevnes en amerikansk ombudsmann som behandler europeiske klager på amerikanske myndigheters tilgang til deres opplysninger.

Berettigede bekymringer?

Flere kritikere luftet tidlig sine bekymringer rundt avtalen. Mye av kritikken handlet om at avtalen ikke endret amerikanske lover om masseovervåkning. Det betyr at det eksisterende, amerikanske regelverket fortsatt gjelder. Privacy Shield har som formål å begrense amerikanske myndigheters rett til innsikt og kun gi tilgang dersom det er nødvendig og proporsjonalt med formålet. En utfordring er at denne noe subjektive vurderingen kan være betraktelig annerledes i USA enn i EU.

Vår erfaring er at Privacy Shield fungerer godt for de virksomhetene som er omfattet av ordningen.

Listen over godkjente selskaper vokser stadig, og per i dag gjelder den ca. 1650 selskaper/organisasjoner. På privacyshield.gov kan du finne oversikt over alle virksomheter som er sertifisert.

En avtale er fortsatt nødvendig

Selv om mottaker av personopplysningene er Privacy Shield sertifisert, er en databehandleravtale eller behandleravtale med mottaker fortsatt nødvendig. Der Privacy Shield setter et rammeverk for beskyttelse av personopplysninger, må alle behandlingsansvarlige i EU/EØS sørge for et avtaleverk som forplikter og blant annet beskriver rutiner for sikkerhet, sletting og eventuell tilbakelevering av data. Det må også foreligge et behandlingsgrunnlag for selve overføringen, for eksempel samtykke fra den registrerte.

De som ikke omfattes av ordningen

Dersom du skal overføre personopplysninger til en tredjepart utenfor USA eller EU, eller om selskapet i USA ikke er medlem av Privacy Shield, kan du bruke EUs standardkontrakter for overføring av data. Dersom dataene er til en databehandler (underleverandør) er det normalt tilstrekkelig å melde fra til Datatilsynet om overføringen forutsatt at standardavtalen ikke er endret. Hvis det er til en selvstendig behandlingsansvarlig, må det foreligge en tillatelse fra tilsynet før overføringen kan skje.

Her finner du EUs standardavtaler: http://ec.europa.eu/justice/data-protection/international-transfers/transfer/index_en.htm

Har du spørsmål om EU-US Privacy Shield, overføring av personopplysninger til utlandet eller databehandleravtaler, ta kontakt med Kari Gimmingsrud.