Som forklart i vår forrige artikkel, innebærer adekvansbeslutningen 10. juli 2023 at personopplysninger kan overføres fra EU/EØS til mottakervirksomheter i USA som er oppført på “Data Privacy Framework List“. I disse situasjoner er det ikke behov for et annet overføringsgrunnlag etter forordningens artikkel 46. Personvernrådet bekrefter i sitt informasjonsnotat 18. juli at dette betyr at man ikke lenger må inngå for eksempel EU Standardavtaler eller etablere effektive tilleggstiltak når overføringen er basert på EU-US Data Privacy Framework.
Virksomheter som var sertifisert under tidligere US Privacy Shield-ordning vil som utgangspunkt automatisk oppføres på den nye listen. For å opprettholde sertifiseringen under ny EU-US Data Privacy Framework må disse virksomhetene imidlertid snarest mulig, og senest innen tre måneder fra adekvansbeslutningen (dvs. 10. oktober), oppdatere sin personvernerklæring i tråd med de nye prinsippene i EU-US Data Privacy Framework. Alle virksomheter som omfattes av den nye ordningen må re-sertifisere seg én gang årlig. Les mer om sertifiseringskravene her.
Overføringer av personopplysninger til mottakervirksomheter i USA som ikke står på Data Privacy Framework List kan ikke skje på grunnlag av det nye rammeverket. Dette gjelder også hvis mottakeren i USA bruker underdatabehandlere som ikke står på Data Privacy Framework List. For slike overføringer må det derfor fortsatt etableres et annet overføringsgrunnlag, for eksempel enten ved å inngå EU-standardavtaler eller støtte seg på bindende konsernregler (BCR) med hjemmel i artikkel 46 i personvernforordningen. I disse tilfellene må man også fortsatt vurdere om det er behov for å etablere effektive tilleggstiltak som gir et tilstrekkelig beskyttelsesnivå.
Som ledd i etableringen av ny EU-US Data Privacy Framework ble det gitt garantier om amerikanske etterretningstjenesters tilgang til og bruk av personopplysninger overført fra EU/EØS. Disse garantiene har betydning for alle overføringer til USA og gjelder uavhengig av valg av overføringsgrunnlag. Dette betyr også at ved vurdering av om det valgte overføringsgrunnlaget (for eksempel EU standardavtale eller bindende konsernregler) sikrer effektiv beskyttelse, så kan man støtte seg på EU-kommisjonens analyse av amerikansk lovgivning og praksis i sine vurderinger. I praksis vil dette trolig bety at det vil bli mindre krevende å dokumentere lovlige dataoverføringer til USA, også der man overfører opplysninger til en mottaker som ikke er sertifisert under ny EU-US Data Privacy Framework.
Basert på dette anbefaler vi at alle norske virksomheter forholder seg til det nye rammeverket ved å sørge for følgende:
- Identifisere/oppdatere virksomhetens oversikt over dataimportører i USA, dvs. aktører som mottar/har tilgang til personopplysninger
- Kartlegge om dataimportørene (både databehandlere og underdatabehandlere) er oppført på Data Privacy Framework List
- Følge med på at dataimportørene opprettholder sin sertifisering under ny EU-US Data Privacy Framework (evt. be om en bekreftelse på dette)
- Sørge for å etablere et annet overføringsgrunnlag for dataoverføringer til alle dataimportører, herunder evt. underdatabehandlere, som ikke er oppført på Data Privacy Framework List, og vurdere om det er behov for tilleggstiltak i lys av EU-kommisjonens analyse av amerikansk lovgivning og praksis
- Oppdatere virksomhetens tidligere vurderinger av lovlige dataoverføringer i lys av det nye rammeverket