Personvern | Privacy Shield ugyldig som overføringsgrunnlag til USA

Europadomstolen (The Court of Justice of the European Union) har i en avgjørelse 16. juli 2020 konkludert med at Privacy Shield er ugyldig som grunnlag for overføring av personopplysninger til USA etter GDPR. Europadomstolen legger også føringer for bruk av EUs standard personvernbestemmelser (Standard Contractual Clauses) som grunnlag for fremtidig overføring av personopplysninger fra land innenfor EØS-området til land utenfor.

 

Privacy Shield

Ved overføring av personopplysninger til stater utenfor EU/EØS, krever GDPR at et av overføringsgrunnlagene i GDPR kapittel V er oppfylt. For overføring av personopplysninger til USA har en avtale mellom EU og USA kalt «Privacy Shield» vært ansett som et mulig grunnlag for overføring av personopplysninger til selskaper etablert i USA, forutsatt at mottakeren i USA er sertifisert i henhold til Privacy Shield-avtalen.

Gyldigheten av Privacy Shield har nylig vært oppe til vurdering i Europadomstolen. Bakgrunnen var at den østerrikske personvernaktivisten Maximillian Schrems krevde at det irske datatilsynet skulle stoppe overføringer av personopplysninger fra Facebook Irland til Facebook Inc. i USA. Avgjørelsen fra Europadomstolen kom 16. juli 2020 (Schrems II).

Europadomstolen kom til at Privacy Shield er ugyldig som overføringsgrunnlag fordi den mener beskyttelsesnivået for personopplysninger i USA ikke er tilstrekkelig. Europadomstolen viser særlig til amerikanske etterretningsmyndigheters tilgang til personopplysninger og til at europeiske borgere ikke har tilstrekkelig mulighet til å overprøve amerikanske myndigheters beslutning om overvåkning.

Europadomstolens avgjørelse innebærer at overføring av personopplysninger fra land innenfor EØS-området til USA fra 16. juli 2020 må baseres på andre overføringsgrunnlag enn Privacy Shield.

Europadomstolens avgjørelse har konsekvenser for flere tusen selskaper i USA og Europa.

Hva bør virksomhetene gjøre?

Virksomheter som til nå har basert overføringer av personopplysninger til USA på Privacy Shield må etter Europadomstolens dom sørge for et nytt grunnlag for å kunne fortsette med overføring av personopplysninger til USA. Den mest nærliggende løsningen per nå er sannsynligvis å inngå en kontrakt med den amerikanske mottakeren av personopplysninger basert på EUs standard personvernbestemmelser.

I Europadomstolens dom, sies det uttrykkelig at avtaler som oppfyller EUs standard personvernbestemmelser kan benyttes som grunnlag for overføring av personopplysninger til USA. Europadomstolen gir imidlertid føringer for hvordan EUs standardbestemmelser skal brukes. Domstolen påpeker bl.a. at den som eksporterer data må vurdere om det påkrevde beskyttelsesnivået blir tilstrekkelig respektert i det tredjeland personopplysningene overføres til. Domstolen legger her opp til at den som skal eksportere data må vurdere om lovgivning og praksis i det aktuelle tredjelandet forhindrer mottakeren av personopplysningene fra å overholde sine forpliktelser i en avtale som ellers oppfyller EUs standard personvernbestemmelser.

Dette kan det være vanskelig for den enkelte virksomhet å vurdere. Datatilsynet har allerede varslet at det i samarbeid med andre tilsynsmyndigheter i EØS vil komme med nærmere veiledning om hvordan virksomheter som overfører personopplysninger til tredjeland kan innrette seg etter den nye dommen fra Europadomstolen.

I påvente av ytterligere veiledning, bør virksomheter som overfører personopplysninger gjennomgå alle sine databehandleravtaler for å avklare om leverandører eller underleverandører behandler personopplysninger i USA basert på Privacy Shield. I så fall må man påse at det blir etablert et nytt, gyldig overføringsgrunnlag, for eksempel ved at det inngås avtale med den amerikanske mottakeren av personopplysninger som oppfyller EUs standard personvernbestemmelser. Alternativet er å sørge for at behandlingen flyttes til land innenfor EU/EØS. Dette vil etter omstendighetene kunne innebære at man må bytte leverandør.

Share aticle to
Loading video ...
close