I etterkant av at EU-domstolen den 6. oktober avgjorde at Safe Harbor-beslutningen fra 2000 ikke er gyldig som grunnlag til å overføre personopplysninger til USA har det vært mye usikkerhet rundt hvordan bedrifter skal sikre lovlig overføring av personopplysninger til USA.

EUs rådgivende organ for personvern har nå kommet med uttalelser hvor de ber nasjonale myndigheter og EU-institusjonene så fort som mulig innlede forhandlinger med USA for å bli enige om Safe Harbor 2.0 og har satt en tidsfrist som vil legge press på myndighetene.

Dersom partene ikke har kommet til enighet innen slutten av januar 2016, er de europeiske personvernmyndighetene forberedt på å følge opp med sanksjoner og felles tiltak.

Siste nytt:

Datatilsynet har nå sendt ut brev til 110 bedrifter i Norge som har meldt i fra til Datatilsynet om at de overfører opplysninger under Safe Harbor-beslutningen. Mange bedrifter har henvendt seg til Datatilsynet i etterkant av at EU-domstolens dom ble avsagt og lurt på hvordan de skal gå frem. I brevet informerer Datatilsynet om hvordan bedriftene skal gå frem for å sikre at overføringene ikke skjer i strid med gjeldende regelverk. I korte trekk er bedriftene rådet til å benytte EUs standardkontrakter.

Hva er Safe Harbor?

EU-domstolen kom som kjent til at Safe Harbor-beslutningen ikke var et gyldig grunnlag for overføring av personopplysninger i USA. Begrunnelsen for avgjørelsen er at EU-domstolen fant at myndighetene i USA har en vid tilgang til personopplysninger og at Safe Harbor-ordningen ikke ga europeiske borgere tilfredsstillende sikkerhet.

EU har etter dommen fått et sterkt incitament til å fortsette forhandlingene med USA for å få på plass et nytt avtaleverk som rettslig og teknisk sikrer en behandling om er i tråd med de krav personvernlovgivningen i EU stiller og som gir EU borgerne sterkere garanti for at personopplysningene dere vil behandles i samsvar med deres fundamentale rettigheter.

EU Kommisjonen uttalte den 27. oktober at EU og USA i prinsippet er enige om en ny avtale og at det bare er tekniske detaljer som gjenstår. En ny ordning må tilfredsstille de kravene som følger av EU domstolens avgjørelse.

Hva skal virksomheter gjøre i mellomtiden?

Virksomheter som har overført persondata til USA i medhold av Safe Harbor-ordningen må, slik Datatilsynet har uttalt, snarest mulig ta i bruk alternative overføringsgrunnlag slik som EUs standard kontraktklausuler, bindende konsernregler for overføring, eventuelt et av de alternative grunnlagene som er listet under personopplysningsloven § 30. Dette er ordninger som – inntil videre – er lovlig å benytte.

Til tross for at det eksisterer alternativer til «Safe Harbor» i dag, er det likevel ingen garanti for at ikke EU eller nasjonale tilsynsmyndigheter kommer frem til at de samme utfordringene også gjelder for disse metodene. Bedrifter i Norge som overfører personopplysninger til amerikanske aktører må følge utviklingen nøye. Dette gjelder både for overføring av ansatte- og kundeopplysninger, men også andre personopplysninger.

Hvis EU og USA ikke har kommet til en løsning innen utgangen av januar 2016, vil personvernmyndighetene iverksette felles tiltak og sanksjoner, noe som kan resultere i sanksjoner for bedrifter som overfører personopplysninger til USA uten lovlig grunnlag samt påbud om at overføringen stanses. Det norske Datatilsynet stiller seg bak uttalelsene.