Bakgrunn
Etter EUs personvernforordning (GDPR) er det i utgangspunktet forbudt å overføre personopplysninger ut av EØS med mindre man har et overføringsgrunnlag, f.eks. EU standardavtaler eller bindende konsernregler (BCR). Som følge av EU-domstolens avgjørelse 16. juli 2020 i den såkalte Schrems II-avgjørelsen, der det tidligere rammeverket Privacy Shield ble kjent ugyldig, har det i lengre tid vært utfordrende for europeiske virksomheter å benytte amerikanske tjenester som kan innebære overføring av personopplysninger til USA.
Siden EU og USA i mars 2022 annonserte at de hadde blitt enige om de sentrale prinsippene for et nytt rammeverk for dataoverføring, har det vært knyttet stor spenning til både innholdet og hvor raskt det nye rammeverket ville komme på plass. Viktige rammer kom på plass når USAs president Joe Biden i oktober 2022 undertegnet ny Executive Order, og i desember 2022 publiserte EU-kommisjonen utkast til ny adekvansbeslutning. Utkastet har gjennomgått EU-organenes prosedyre for vedtakelse og EU-kommisjonen har nå truffet endelig formell beslutning. Reglene trer i kraft umiddelbart.
Praktiske konsekvenser
EU-kommisjonens vedtak innebærer en vurdering av at det er tilstrekkelig beskyttelsesnivå for personopplysninger som overføres fra EØS til amerikanske virksomheter som har selvsertifisert seg i henhold til det nye rammeverket. Rammeverket inneholder bindende garantier for å imøtekomme bekymringene som ble adressert i EU-domstolen. Rammeverket medfører blant annet begrensninger av amerikanske etterretningstjenesters adgang til personopplysninger om borgere innenfor EØS, og opprettelse av et eget klageorgan, kalt Data Protection Review Court (DPRC). DPRC gir enkeltpersoner i EU adgang til en uavhengig og upartisk klagemekanisme når det gjelder amerikanske etterretningstjenesters innsamling og bruk av deres data. DPRC vil kunne undersøke og avgjøre klager, herunder ved å vedta bindende avhjelpende tiltak.
Adekvansbeslutningen vil kun omfatte de virksomheter som er selvsertifisert og som står oppført på en liste (“Data Privacy Framework List“) som vil oppdateres fortløpende.
For overføring av personopplysninger til virksomheter som står oppført på denne listen vil EU-US Data Privacy Framework gi overføringsgrunnlag. Det er da ikke nødvendig å etablere annet overføringsgrunnlag, og det er heller ikke nødvendig å vurdere beskyttelsesnivå for overføringen eller iverksette tilleggstiltak. De alminnelige kravene i personvernforordningen gjelder imidlertid som ellers. For eksempel vil det fremdeles kunne være nødvendig med databehandleravtale eller å gjøre risikovurderinger knyttet til informasjonssikkerhet.
Det forventes at de store amerikanske IT-leverandørene som har beholdt sin sertifisering etter Privacy Shield vil fortsette under det nye rammeverket.
Når det gjelder overføring til amerikanske virksomheter som ikke står oppført på listen over, vil det fortsatt være krav om gyldig overføringsgrunnlag (f.eks. EU standardavtaler eller bindende konsernregler (BCR)) og at man har vurdert at overføringsgrunnlaget gir effektiv beskyttelse også mot amerikansk etterretning.
Den nye adekvansbeslutningen innebærer imidlertid at EU-kommisjonen allerede har vurdert at amerikansk lovgivning og praksis ikke er problematisk etter at USA har implementert tiltakene knyttet til det nye rammeverket, og at tilleggstiltak derfor ikke er nødvendig. Garantiene som USA har innført, vil også gjelde når data overføres ved hjelp av andre overføringsgrunnlag. Det vil derfor bli enklere for europeiske virksomheter å gjøre vurderinger knyttet til overføringer av personopplysninger til USA, ved at man kan støtte seg på EU-kommisjonens vurderinger. Forutsetningen er at virksomheten det er aktuelt å overføre personopplysninger til ikke er underlagt lover utover det som er vanlig for kommersielle amerikanske virksomheter.
Veien videre
Det nye rammeverket vil bli administrert og overvåket av det amerikanske handelsdepartement (US Department of Commerce), mens US Federal Trade Commission vil håndheve amerikanske virksomheters overholdelse av reglene.
EU-kommisjonen vil sammen med representanter for europeiske datatilsyn og kompetente amerikanske myndigheter regelmessig gjennomgå hvordan det nye rammeverket fungerer i praksis.
Den første gjennomgangen vil skje senest et år etter ikrafttredelsen, for å kontrollere at alle relevante tiltak og forpliktelser er blitt gjennomført fullt ut i USAs rettslige rammeverk og at disse fungerer effektivt i praksis.
Det gjenstår å se hvordan EU-US Data Privacy Framework står seg for fremtiden, men NOYB og Max Schrems er allerede klare på at de vil utfordre gyldigheten av rammeverket i EU-domstolen og viser til at det nye rammeverket hovedsakelig er en kopi av Privacy Shield, og at det ikke er gjort store endringer i amerikansk lovgivning mht. EU-borgeres rettigheter. NOYB v/Max Schrems har uttalt at de forventer at rammeverket er tilbake i EU-domstolen ved begynnelsen av neste år.
Inntil videre vil det nye rammeverket imidlertid være et praktisk viktig overføringsgrunnlag for overføringer til USA. Det er også grunn til å tro at det nye rammeverket vil kunne ha betydning for klagesaker i Norge og EU som gjelder bruk av Google Analytics. I disse sakene har tilsynsmyndighetenes oppfatning vært at tjenesten innebærer overføringer til USA i strid med overføringsreglene.
Les også:
Nye regler for overføring av personopplysninger til USA (Datatilsynet)
Adequacy decision EU-US Data Privacy Framework.pdf (europa.eu)