EU-domstolen avgjorde den 6. oktober at Kommisjonens «Safe Harbor»-beslutning fra 2000 er ugyldig. Tidligere har «Safe Harbor»-ordningen gitt virksomheter grønt lys for overføring av persondata til amerikanske «Safe Harbor»-sertifiserte selskaper.

Siste: EU Kommisjonen uttaler seg om avgjørelsen og hvilke konsekvenser denne får for virksomheter – se oppdatering i artikkelen. Avgjørelsen vil få merkbare konsekvenser både for amerikanske og europeiske selskaper, og vil medføre en omlegging av hvordan data kan overføres fra Norge til USA.

Hva er «Safe Harbor»?

«Safe Harbor» er en sertifiseringsordning godkjent av EU Kommisjonen i 2000, rettet mot amerikanske selskaper for å sikre en forsvarlig behandling av personopplysninger. Formålet med ordningen er å legge til rette for at opplysninger kan overføres til virksomheter i USA på en trygg måte. Når en virksomhet bekrefter at prinsippene blir oppfylt, har det – frem til nå – blitt ansett som tilstrekkelig garanti for vern av den registrertes rettigheter, slik at virksomheten kan overføre personopplysninger fra EU/EØS. «Safe Harbor»-ordningen har vært utsatt for kritikk og vært under reforhandling en tid.

Dommen

Bakgrunnen for dommen var en klage ført i pennen av den østerrikske jusstudenten Max Schrems til irske tilsynsmyndigheter fordi Facebook overførte opplysninger om europeiske brukere til servere i USA. Med henvisning til Snowdens avsløringer i 2013 om de amerikanske myndighetenes aktiviteter mente han at gjeldende lovgivning i USA ikke ga en tilstrekkelig beskyttelse mot offentlige myndigheters overvåkning av opplysninger.

Irske myndigheter avviste klagen og saken ble brakt inn for domstolene. EU-domstolen, i sin konklusjon, la til grunn at amerikansk lovgivning, som generelt gjorde det mulig for offentlige myndigheter å få tilgang til innholdet i elektronisk kommunikasjon, skal anses for å utgjøre et inngrep i den grunnleggende rett til respekt for privatlivet. Etter en grundig vurdering konkluderte derfor Domstolen med at EU Kommisjonens «Safe Harbor»-beslutning var ugyldig.

Siste utvikling – EU Kommisjonen uttaler seg

I lys av avgjørelsen vil vi fortsette arbeidet mot revidert og sikkert rammeverk for overføring av personlige data over Atlanteren. I mellomtiden vil transatlantiske overføringer kontrolleres av andre mekanismer for internasjonale overføringer av data, tilgjengelig gjennom EU.

«Kommisjonen prioriterer nå

• beskyttelse av personlige data overført over Atlanteren
• kontinuitet og tilstrekkelig sikring av transatlantiske datastrømmer, som er viktig for økonomien
• og en uniform tilnærming til EU reguleringer i det interne markedet

Som et resultat av høringen vil vi også komme med tydelig veiledning til nasjonale datatilsyn for hvordan de skal håndtere forespørsler om dataoverføring til USA.«

Hva skal selskaper som overfører opplysninger til USA gjøre?

Norge har implementert EUs personvern-direktiv. Dette innebærer at selv om nasjonale tilsynsmyndigheter skal gjøre en selvstendig vurdering om en stat sikrer forsvarlig behandling av personopplysninger, er det sannsynlig at Datatilsynet i Norge vil legge til grunn samme forståelse som EU-domstolen. I sin første uttalelse peker Datatilsynet også på at man fra nå av må benytte seg av det eksisterende standardkontraktsregimet, som brukes ved dataeksport til alle andre tredjeland.

Dommen får dermed betydning for norske selskaper som overfører personopplysninger til USA, f.eks. fordi de benytter nettskyløsninger med servere i USA. Listen over «Safe Harbor»-sertifiserte selskaper er lang, over 4 600 selskaper er sertifisert, og inkluderer Apple, Facebook, Dropbox, Google og flere andre store internasjonale selskaper.

Aktuelle strakstiltak å vurdere er:

• Avklare om personopplysninger fortsatt kan overføres lovlig eller om det må etableres et nytt lovlig grunnlag for overføringen
• Sørge for oversikt over inngåtte avtaler

En praktisk måte å sikre at overføringen er lovlig er å bruke EUs standardkontrakter. Det er laget to sett slike standardvilkår for overføring til hhv. behandlingsansvarlig og databehandler. Overføring til en databehandler kan skje etter inngått skriftlig avtale og melding til Datatilsynet, mens overføring til en behandlingsansvarlig i USA med grunnlag i standardavtalen krever forhåndsgodkjenning fra Datatilsynet. I begge tilfeller kreves det at en kopi av den signerte avtalen oversendes til Datatilsynet.

Alternativt kan man også vurdere muligheten for å innhente lovlig samtykke fra den registrerte. I mange tilfeller vil imidlertid dette være vanskelig, for eksempel på grunn av stort antall registrerte eller fordi det er utfordringer med å få et lovlig samtykke, for eksempel i arbeidsforhold. Overføring kan også skje hvis det er nødvendig for å oppfylle en avtale med den registrerte. Dette kan være aktuelt ved for eksempel privatpersoners kjøp av varer og tjenester fra USA.

Hva skjer nå?

Datatilsynet kan, på skjønnsmessig grunnlag, vurdere land og godkjenne overføring, men det er lite trolig at tilsynet vil gjøre en annen vurdering enn EU-domstolen for USAs vedkommende. Sannsynligvis vil det komme en uttalelse i løpet av kort tid. Vi tror Datatilsynet vil trenge tid til å vurdere sin tilnærming til avgjørelsen og forventer ikke at det umiddelbart vil bli satt i gang tiltak mot selskaper som nå står uten tilstrekkelig grunnlag for overføring til USA. Vår antakelse er at selskaper vil bli gitt noe tid til å håndtere og tilpasse seg avgjørelsen, men at selskaper som står uten lovlig grunnlag til overføring imidlertid må vurdere risikoen for at enkeltindivider og interesseorganisasjoner vil kunne fremme krav.

Vår anbefaling er derfor at selskaper som er berørt av avgjørelsen umiddelbart vurderer, og implementerer, alternative overføringsmekanismer for å begrense risikoen.

Les mer om overføring av data på Datatilsynet sine nettsider.

Vi i Haavind har lang erfaring med å bistå selskaper med overføring av personopplysninger til utlandet. Ta kontakt med oss hvis din virksomhet rammes av dommen og du ønsker bistand.