Nye regler gjør det enklere å overføre personopplysninger til USA

Den 10. juli 2023 vedtok EU-kommisjonen et rammeverk som gjør det vesentlig enklere for europeiske virksomheter å bruke amerikanske leverandører.

Personvern

GDPR oppstiller er utgangspunkt om at overføring av personopplysninger ut av EØS er forbudt, med mindre man har et overføringsgrunnlag. Typiske overføringsgrunnlag er EUs standardklausuler eller en såkalt adekvansbeslutning fra EU-kommisjonen.

EU-domstolen har i to omganger underkjent overføringsgrunnlag til USA, gjennom Schrems I og Schrems II-avgjørelsene. Hovedårsaken har vært at amerikansk etterretnings- og overvåkningslovgivning har vært ansett å gå utover det som er nødvendig og proporsjonalt og at individene ikke gis effektive rettsmidler ved personvernbrudd. Dette har gjort det krevende for europeiske virksomheter å anvende amerikanske leverandører, selv ved bruk av EUs standardklausuler.

De siste årene har det pågått et arbeid mellom EU-kommisjonen og USA for å få på plass et nytt overføringsgrunnlag. Den 10. juli 2023 vedtok EU-kommisjonen et rammeverk som gjør det vesentlig enklere for europeiske virksomheter å bruke amerikanske leverandører.

EU-kommisjonens «adekvansbeslutning» betyr i korte trekk at europeiske virksomheter kan overføre personopplysninger til sertifiserte selskaper i USA på lik linje som innad i EØS, og at det også blir enklere å overføre opplysninger til andre amerikanske selskaper.

Reglene trer i kraft umiddelbart.

Hva må norske virksomheter tenke på nå?

Norske virksomheter har i de siste årene lagt ned betydelige ressurser i omfattende vurderinger av amerikansk lovgivning og implementeringen av sikkerhetstiltak. Dette ser ikke lenger ut til å være nødvendig.

Det nye rammeverket for overføring av personopplysninger til USA er en selvsertifiseringsordning. Adekvansbeslutningen gjelder kun for amerikanske virksomheter som frivillig har forpliktet seg til å behandle personopplysninger i tråd med rammeverket og som tilbyr gratis og uavhengige klageordninger for individer. En liste over virksomheter som har sertifisert seg finnes her. Man trenger verken EUs standardklausuler eller ytterligere beskyttelsestiltak når man overfører personopplysninger til amerikanske selskaper, herunder leverandører og underleverandører, som står på denne listen.

Overføringer til virksomheter som ikke er selvsertifisert vil også være enklere enn før. EU-kommisjonen har vurdert amerikansk lovgivning og praksiser i adekvansbeslutningen. Konklusjonen er at disse ikke er problematiske og at tilleggstiltak ikke er nødvendig, forutsatt at den aktuelle leverandøren ikke er underlagt lover utover det kommersielle amerikanske virksomheter vanligvis er. Man må imidlertid ha på plass et overføringsgrunnlag. Mest praktisk er å benytte EUs standardklausuler.

Merk at selv om rammeverket er på plass og at det derfor er enklere å overføre personopplysninger til USA, vil man uansett måtte gjøre generelle risikovurderinger av leverandører og andre selskap som opplysninger deles med, på samme måte som ved bruk av deling av opplysninger innad i EØS.

Det blir interessant å se hvordan EU-kommisjonens beslutning påvirker Datatilsynets skepsis til bruk av Google Analytics, som nettopp er forankret i angivelige overføringer av personopplysninger til USA.