Hopp direkte til innhold

Fra Safe Harbour til Privacy Shield: ny avtale om overføring av personopplysninger fra EU til USA

EU og USA har oppnådd politisk enighet om ny rammeavtale som regulerer overføring av personopplysninger.

Løsning på overtid

For å ivareta beskyttelsen av personvern som en fundamental rettighet stiller gjeldende personverndirektiv krav om at data kun kan overføres til land som har adekvat personvernbeskyttelse. Lovgivningen i de færreste land utenfor EU/EØS, inkludert USA, har vært ansett for å oppfylle de europeiske standarder for personvernsbeskyttelse. Frem til oktober 2015 baserte store deler av overføringen til USA seg derfor på selskapers selvsertifisering etter Safe Harbour-systemet, som skulle sikre adekvat beskyttelse også av personopplysninger som ble overført til USA.

Den 6. oktober 2015 konkluderte imidlertid EU-domstolen i Schrems-saken med at Safe Harbour-ordningen var ugyldig. Amerikanske myndigheters overvåkning medførte at personopplysningene ikke ble ansett som tilstrekkelig beskyttet i USA, selv om de amerikanske selskapene som mottok dataene var personvernsertifisert. Dette kan du lese mer om her. Siden den tid har det hersket stor usikkerhet om hvordan og i hvilken grad det vil være mulig å overføre personopplysninger til USA. EU og USA forhandlet for å finne løsninger. Forhandlingene var harde, og EU-kommisjonen satt selv en frist til 31. januar for partene til å komme til enighet. Tirsdag 2. februar 2016, to dager på overtid, ble det kjent at det er oppnådd politisk enighet om en ny rammeavtale, den såkalte «EU-US Privacy Shield». Pressemeldingen fra EU kan leses her.

Hva er USA og EU blitt enige om?

Rammeavtalen søker å ivareta de krav som ble stilt av EU-domstolen da den ugyldiggjorde Safe Harbour i fjor. Dette innebærer skjerpede plikter for amerikanske selskaper som tilslutter seg rammeverket, samt større grad av overvåkning og håndhevelse av amerikanske myndigheter. Sistnevnte skal søkes oppnådd ved at amerikanske myndigheter skal gi skriftlige garantier til EU om at masse-overvåkning ikke finner sted. Videre er europeiske datatilsyn tiltenkt en mer aktiv rolle i den amerikanske håndhevelsen av regelverket, blant annet ved at de kan henvise klager til det amerikanske nærings- og handelsdepartementet. Endelig skal rammeverket gjennomgås årlig av begge parter. 

Hva innebærer Privacy Shield for norske bedrifter?

For bedrifter betyr Privacy Shield at overføring av data i praksis kan fortsette på samme måte som under Safe-Harbour systemet. Dette innebærer en forenkling sammenlignet med alternativene, som ville vært å basere seg på standardavtaler eller gyldig samtykke. Avtalen legger til rette for en sømløs overføring av data på tvers av kontinentene.  Det må likevel understrekes at de nye ordningens gyldighet betinget av at avtalen ikke settes til side av EU-domstolen eller den Europeiske Menneskerettighetsdomstolen i en fremtidig prøving. Selv om Privacy Shield er utformet for at den skal bestå en slik test hos domstolene, er det mye som tyder på at dette vil bli prøvet.

Det er forventet at endelig avtale vil ferdigstilles og vedtas i løpet av februar måned. Nærmere veiledning om reglenes innhold, avtalens ikrafttredelse og dets betydning for amerikanske og norske bedrifter vil da foreligge.

Kompetanse

Kontaktpersoner