Avgjørelsen innebærer at norske bedrifter som enten selv eller via tredjepart behandler personopplysninger i USA (f.eks ved at bedriften leverer IT-tjenester med tilknytning til amerikanske IT-tjenester), må undersøke om de enten direkte eller indirekte benytter Privacy Shield som et behandlingsgrunnlag for overføring av personopplysninger fra Europa til USA. For det tilfellet at overføringen kun er basert på Privacy Shield og ingen alternativ overføringsgrunnlag, må bedriften få på plass et nytt grunnlag for overføringen til USA.
Hva er Privacy Shield?
EU-US Privacy Shield var et avtaleverk mellom EU og USA for å regulere utveksling av personopplysninger mellom aktører i EU og USA. Veldig mange IT-tjenester er avhengig av delleveranser, i større eller mindre grad, som stammer fra amerikanske selskap. Som et eksempel på dette er Googles utviklingsplattform Firebase, eller Azure som er skytjenesten til Microsoft.
For alt av overføring av personopplysninger stilles det krav til å ha et gyldig rettsgrunnlag. Ved overføring av personopplysninger til tredjeland stilles det i tillegg et krav for bedrifter å sikre at tredjelandet har et tilstrekkelig beskyttelsesnivå. I praksis innebærer dette at personer i Europa skal sikres tilsvarende beskyttelsesnivå i tredjeland, hva gjelder deres personopplysninger. Privacy Shield var nettopp dette rettsgrunnlaget frem til 16. juli 2020.
Hvorfor er ikke Privacy Shield lenger tilstrekkelig?
I dommen fra EU-domstolen ble det særlig lagt vekt på to momenter. For det første: hvilken beskyttelsesgrad gir avtalen mellom det eksporterende selskapet i EU og det importerende selskapet i USA. For det annet var det spørsmål om: hvilken tilgang har offentlige myndigheter i USA til slike opplysninger. Retten la vekt på manglende amerikansk håndhevelse hva gjelder Privacy Shield. Videre begrenset ikke det amerikanske regelverket amerikanske offentlige myndigheter i å få innsyn i personopplysninger med hensyn til proporsjonalitet og rimelighet. Det var også manglende muligheter for europeiske rettssubjekter å gjøre gjeldende avvik og sanksjoner mot amerikanske selskap for brudd på personopplysningsregelverket og avslutningsvis var det mangler ved den amerikanske ombudsmannordningen tilknyttet Privacy Shield da denne rapporterte til offentlige myndigheter og var ikke å regne som uavhengig.
Status quo
Selv om Privacy Shield er ugyldiggjort som rettsgrunnlag for overførsel til USA uttaler EU-domstolen at “Standard data protection clauses” (SCC) kan regnes som rettsgrunnlag for overførsel til USA. Dette forutsetter imidlertid at det amerikanske selskapet er i en stilling hvor dette kan garantere det nødvendige databeskyttelse alene basert på SCC.
Hva er løsningen for norske selskap?
Norske selskap må nå identifisere om eget selskap og dets leverandører (inkl. underleverandører) behandler personopplysninger i USA. Dette vil innebære at en gjennomgår leverandørene som er listet opp i databehandleravtalen og tjenesteleverandører listet opp i privacy policy samt cookie policy.
Dersom noen av de ovennevnte behandler personopplysninger i USA, må selskapet undersøke om overføringen av personopplysninger til USA er alene basert på Privacy Shield – noen leverandører benytter seg av flere grunnlag. Dersom sistnevnte er tilfelle, må det identifiseres hvilke andre rettsgrunnlag som benyttes for overføringen.
Hvis overføringen av personopplysninger til USA er kun basert på Privacy Shield må selskapet få på plass et nytt grunnlag for overføringen til USA, eksempelvis SCC. Dersom det skal benyttes SCC som grunnlag for overføring til USA stilles det krav til risikovurdering av om SCC kan benyttes som overføringsgrunnlag etter en vurdering av både klausulens innhold samt om en oppnår tilsvarende personvernbeskyttelse i USA som innad i EU.
Dette betyr mer konkret at bedrifter må identifisere om klausulens innhold sett i sammenheng med tredjelandets datalovgivning gir borgere i EU samme vern av sine personopplysninger i tredjelandet som de gjør i EU. Virksomheten skal gjennomføre en slik risikovurdering før personopplysninger behandles og før man tar i bruk et informasjonssystem som behandler data utenfor EU.
Comments