Privacy Shield vedtatt


Den 12. juli vedtok EU-kommisjonen den nye ordningen om overføring av personopplysninger fra Europa til USA, den såkalte EU-US Privacy Shield. Dette ble gjort gjennom en formell beslutning etter personverndirektivets (95/46/EF) artikkel 25, og dermed gjelder Privacy Shield også for Norges vedkommende, jf. personopplysningsforskriften § 6-1.

Privacy Shield erstatter tidligere "Safe Harbor" som ble kjent ugyldig av EU-domstolen i oktober 2015. EU-Kommisjonen mener at den nye Privacy Shield-avtalen legger et robust rammeverk og sikrer et tilstrekkelig beskyttelsesnivå ved overføring av personopplysninger fra EU til USA. Amerikanske virksomheter som har forpliktet seg til å følge Privacy Shields særlige regler for beskyttelse av personopplysninger, kan sertifisere seg etter Privacy Shield.

Hovedtrekkene i EU-USA Privacy Shield er, i henhold til Kommisjonen, de følgende prinsippene:

  • Sterke forpliktelser på amerikanske virksomheter som behandler personopplysninger: Handelsdepartementet i USA skal gjennomføre hyppige kontroller av virksomheter som sertifiserer seg etter Privacy Shield for å forsikre at disse virksomheter overholder sine forpliktelser. I tillegg er det strengere regler for overføring av personopplysninger videre fra disse virksomheter til en tredjepart.

  • Klare beskyttelses- og gjennomsiktighetskrav for den amerikanske stats tilgang til personopplysninger: USA har forsikret Kommisjonen at datatilgang for politiarbeid og nasjonal sikkerhet skal være underlagt klare begrensninger, sikkerhets- og kontrollmekanismer.

  • Effektiv beskyttelse av individuelle rettigheter ved etableringen av forskjellige og rimelige mekanismer, herunder gratis alternative tvistemekanismer for EU-borgere som mener at sine personopplysninger er blitt misbrukt. I spørsmål om nasjonal sikkerhet vil klager fra EU-borgerne bli håndtert av en ombudsmannsom er uavhengig av USAs etterretningstjenester.

  • Årlig felles evalueringsmekanisme: EU-kommisjonen og USAs handelsdepartement vil foreta tilsyn med hvordan Privacy Shield fungerer, herunder de forpliktelser og garantier som er gitt vedrørende tilgang til personopplysninger i forbindelse med rettshåndhevelse og nasjonal sikkerhet.

Artikkel 29-gruppen, en uavhengig og rådgivende gruppe som utpekes av EU-medlemslandenes tilsynsmyndigheter, har uttrykt bekymringer over deler av Privacy Shield-avtalen, blant annet knyttet til kommersielle aspekter og tilgangen offentlige amerikanske myndigheter har til data overført til USA. Imidlertid har leder for Artikkel 29-gruppen under en pressekonferanse den 26. juli sagt at Artikkel 29-gruppen ikke vil utfordre Privacy Shield-avtalen før man har fått evaluert den første årlige revisjonen av ordningen. I sin uttalelse om den vedtatte Privacy Shield-avtalen, sa Artikkel 29-gruppen at den første felles og årlige revisjonen av ordningen derfor skal være sentral for vurderingen om de gjenstående spørsmålene er blitt løst, og om sikkerhetsordningen som tilbys under Privacy Shield faktisk fungerer og er effektiv.

Handelsdepartementet i USA har etablert en nettside vedrørende Privacy Shield og selvsertifisering av amerikanske virksomheter. Virksomheter som mener å oppfylle kriteriene kan registrere sin sertifisering fra og med 1. august 2016. Privacy Shield kan benyttes som grunnlag for overføring av personopplysninger fra norske virksomheter til amerikanske virksomheter som har sertifisert seg.