Foreløpig avtale om overføring av personopplysninger mellom EU og USA

| Innsikt

EU-domstolens Schrems II-avgjørelse fra juli 2020 har gjort det svært krevende for mange virksomheter å overføre personopplysninger til USA. EU og USA uttaler nå at partene har nådd et politisk gjennombrudd for ny avtale om overføring av personopplysninger til USA.

I forbindelse med den amerikanske presidentens besøk i Brussel, uttaler Biden og president for EU-kommisjonen, Ursula von der Leyen, fredag 25. mars at partene har kommet til enighet om hovedprinsippene for en ny avtale om vern av personopplysninger som overføres til USA.

Det er foreløpig ikke lagt frem noen konkrete avtaletekster, og etter det vi forstår gjenstår det fremdeles detaljer som må komme på plass før det foreligger en endelig avtale. En av hovedutfordringene har vært knyttet til å gi EØS-borgere effektive klagemekanismer, uten at dette krever mer omfattende og tidkrevende lovreformer i USA. EU-kommisjonen må også fatte en formell avgjørelse om tilstrekkelig beskyttelsesnivå i henhold til GDPR artikkel 45 før virksomheter i EØS kan basere sine overføringer til USA på den nye avtalen.

Se også

Brussels, March 25 (Reuters):

EU, U.S. reach provisional deal on data flows but final pact months away

EU og USA har to ganger tidligere inngått avtaler som skal verne personopplysninger som overføres til USA. I lys av amerikansk overvåkningslovgivning og myndighetenes praksis har disse ordningene senere blitt underkjent av EU-domstolen. Dette gjelder Safe Harbor som ble underkjent i Schrems I-dommen i 2015 og Privacy Shield som ble underkjent i Schrems II-dommen i 2020.

Personvernaktivisten Max Schrems, som står bak klagene på tidligere overføringsavtaler mellom EU og USA har, ikke overraskende, vist skepsis til nyhetene om ny avtale. På sidene til noyb – European Center for Digital Rights uttaler han:

«We already had a purely political deal in 2015 that had no legal basis. From what you hear we could play the same game a third time now. The deal was apparently a symbol that von der Leyen wanted, but does not have support among experts in Brussels, as the US did not move. It is especially appalling that the US has allegedly used the war on Ukraine to push the EU on this economic matter.

The final text will need more time, once this arrives we will analyze it in depth, together with our US legal experts. If it is not in line with EU law, we or another group will likely challenge it. In the end, the Court of Justice will decide a third time. We expect this to be back at the Court within months from a final decision.»

It is regrettable that the EU and US have not used this situation to come to a ‘no spy’ agreement, with baseline guarantees among like-minded democracies. Customers and businesses face more years of legal uncertainty.»

Selv om det kan være tale om noen måneder før alle formaliteter er på plass, og selv om avtalen skulle bli klaget inn for domstolene, er vår oppfatning at uttalelsene om ny avtale gir begrunnede forhåpninger om enklere etterlevelse av personvernreglene for svært mange virksomheter som benytter skytjenester fra amerikanske leverandører eller på annen måte samhandler med virksomheter i USA.

Som en konsekvens av Schrems II-dommen og bortfallet av Privacy Shield som overføringsgrunnlag har virksomheter måttet benytte andre overføringsgrunnlag som f.eks. EU standardavtaler eller bindende konsernregler (BCR) for overføring til USA og andre tredjeland. Dommen og veiledning fra Personvernrådet stiller krav til å gjennomføre komplekse vurderinger av at overføringsgrunnlaget gir effektivt vern i lys av overvåkningslovgivning og praksis i tredjelandet. Datatilsynsmyndigheter i Østerrike og Frankrike har i klagesaker fremmet av noyb med Max Schrems i spissen konkludert med at Google Analytics innebærer overføring av personopplysninger i strid med de skjerpede kravene til overføring av personopplysninger som følger av Schrems II-dommen.

Det gjenstår nå å se om nyhetene om en nært forestående overføringsavtale med USA vil påvirke tilsynsmyndighetenes oppfølging av europeiske virksomheters overføring til USA, som for eksempel skjer gjennom bruk av Google Analytics. Det blir også veldig interessant å se hvordan en ny avtale løser spørsmål knyttet til amerikanske virksomheters bruk av underleverandører utenfor EØS, såkalt «onward transfers». En avtale med USA vil i prinsippet bare gi overføringsgrunnlag til USA, mens det er en kjensgjerning at de store amerikanske skyleverandørene benytter en rekke underleverandører utenfor USA for å kunne tilby globale og sikre tjenester 24/7. En overføringsavtale med USA vil i alle tilfelle kunne bety at virksomheter kan rette fokuset mer mot å vurdere lovligheten av å overføre til andre tredjeland enn USA. For overføringer til USA må man sikre at den man overfører til etterlever kravene i den nye avtalen.