EU-domstolen sa nylig prinsipielt nei til overføring av personopplysninger til USA under EU-US Privacy Shield-rammeverket i Schrems II-dommen. Overføring til USA må nå skje på annet grunnlag enn Privacy Shield.
Inntil nylig har selskaper i EU/EØS-området kunnet overføre personopplysninger til USA dersom mottageren var sertifisert i henhold til det såkalte EU-US Privacy Shield-rammeverket. Dette har vanligvis skjedd ved at europeiske behandlingsansvarlige for personopplysninger har benyttet såkalte «Standard Contractual Clauses», som er bindende virksomhetsregler for konsernselskaper. Bruk av slike kontrakter har vært tillatt i forhold til bedrifter i USA som har et tilstrekkelig beskyttelsesnivå for persondata, og som har vært sertifisert i henhold til ordningen.
EU-domstolens avgjørelse i Schrems II-dommen medfører at overføring av personopplysninger til USA innenfor Privacy Shield-ordningen er kjent ugyldig, og at ordningen derfor ikke lenger kan benyttes som overføringsgrunnlag. Kjernen i saken er knyttet til forholdet mellom europeisk personvern og amerikanske overvåkingslover. EU-domstolen fant at beskyttelsen av personvernet som sikres gjennom EU-US Privacy Shield, ikke fylte personvernforordningens krav til et tilstrekkelig beskyttelsesnivå sett i lys av menneskerettighetene. Ugyldigheten skyldes primært amerikanske myndigheters overvåkingsadgang og EU-borgeres manglende mulighet til å benytte rettsmidler mot amerikanske selskaper under Privacy Shield-ordningen.
Når det gjelder standardkontraktene, fant EU-domstolen at disse generelt sett er gyldige, men at den behandlingsansvarlige og databehandlere ved overføring av personopplysninger må undersøke om beskyttelsesnivået som personopplysningene vil få i tredjelandet, er tilnærmet på samme nivå som i EU.
Dommen innebærer at overføring av personopplysninger til USA heretter må baseres på andre overføringsgrunnlag jf. personvernforordningen kapitel V. Dette betyr en skjerpet aktsomhetsplikt for behandlingsansvarlige og databehandlere. Virksomheter som overfører personopplysninger til tredjeland basert på standardkontraktene, bør sørge for følgende tiltak før overføringen fortsetter:
- Skaffe oversikt over hvilke behandlingsgrunnlag som benyttes for overføringer
- Skaffe kunnskap om den nye undersøkelsesplikten som gjelder ved bruk av EUs standardkontrakter
- Vurdere om bedriften foreløbig bør suspendere overføring av personopplysninger til USA inntil gyldig rettsgrunnlag er i orden
Det er sannsynlig at overføringer til tredjeland som ikke har tilstrekkelig beskyttelsesnivå eller lovlige overføringsmekanismer kan medføre erstatningsansvar og sanksjoner for brudd på GDPR (personvernforordningen).
Dag Thorstensen
dt@forsberglaw.no
