Nye regler gjør det lettere å overføre personopplysninger til USA

Overføringer av personopplysninger til land utenfor EU/EØS (såkalte tredjeland) er forbudt, med mindre det foreligger et overføringsgrunnlag. Praktiske overføringsgrunnlag er EUs standardklausuler, bindende konsernregler eller en såkalt adekvansbeslutning. EU-domstolen har underkjent overføringsgrunnlag til USA i to avgjørelse (Schrems I dommen og Schrems II). Konsekvensene av Schrems II var også at det ikke nødvendigvis er tilstrekkelig å inngå et annet overføringsgrunnlag som EUs standardklausuler. Dersom beskyttelsesnivået i tredjelandet i praksis undergraver retten til personvern, så må en iverksette ytterligere tiltak. Dersom slike tiltak ikke sikrer at personvernet ivaretas på tilsvarende måte som i EU/EØS, så er overføringen ulovlig. Dette har i betydelig grad vanskeliggjort overføringer til USA, i tillegg til andre tredjeland.

Det har pågått et arbeid mellom EU og USA om å få på plass et nytt rammeverk siden mars 2023. Adekvansbeslutningen om rammeverket EU – USA Data Privacy Framework ble endelig vedtatt av EU-kommisjonen den 10. juli 2023. Rammeverket trer i kraft umiddelbart.

EU-kommisjonen vedtak om adekvansbeslutning for USA innebærer at personopplysninger kan overføres til amerikanske virksomheter som er selvsertifisert under rammeverket, som om overføringen skjer til en virksomhet i EU. Det er ikke behov for at det inngås et annet overføringsgrunnlag, som EUs standardklausuler. Det må heller ikke iverksettes ytterligere tiltak for ivaretakelse av personvernet. Ved å selvsertifisere seg under ordningen påtar den amerikanske virksomheten seg en rekke forpliktelser. Virksomheter som blir sertifisert under ordningen blir lagt til i Data Privacy Framework List.

For virksomheter i USA som ikke er selvsertifisert under rammeverket, så blir det også lettere å overføre personopplysninger til USA. EU-kommisjonen har vurdert amerikansk lovgivning og praksis i adekvansbeslutningen. EU-kommisjonen har konkludert med at disse ikke er problematisk og at tilleggstiltak ikke er nødvendig. Forutsetningen er at den aktuelle virksomheten i USA ikke er underlagt andre lover enn det vanlige kommersielle amerikanske virksomheter er. Det må også inngås et overføringsgrunnlag. EUs standardklausuler vil normalt være mest praktisk.

Selv om det blir lettere å overføre personopplysninger til USA, så må alminnelige regler i personopplysningsloven overholdes. Det må som før sikres et behandlingsgrunnlag for overføringen dersom mottakeren i USA er en behandlingsansvarlig, og det må gjøres risikovurderinger av leverandører mv.

Det blir nå spennende å se hvilken betydning adekvansbeslutningen vil ha for pågående saker hos datatilsynene i Norge og i EU, som sakene om Google Analytics. Flere datatilsyn har vedtatt at bruk av Goolge Analytics er ulovlig som følge av overføring av personopplysninger til USA. Personvernorganisasjonen NOYB og Max Schrems har også varslet at de vil prøve gyldigheten av rammeverket, og har varslet domstolsbehandling om noen måneder, så det vil bli spennende å se om det kommer en Schrems III.

EU-kommisjonen vil også jevnlig vurdere om rammeverket i praksis er effektivt, og første vurdering vil skje innen ett år. Deretter vil EU-kommisjonen i samråd med EU landene og datatilsynene i EU vurdere behovet for jevnlig vurdering, som skal finne sted minst hvert fjerde år.