Mer om overføringer av personopplysninger til USA
Fra og med i dag trer den britiske beslutning om å godkjenne overføringer til USA i kraft. Dette betyr at det nå er lovlig med overføringer til USA både fra Storbritannia og EU. De beslutningene som nå foreligger betyr trolig også at videre overføringer fra USA kan aksepteres – såkalt onward transfers.
Det har i lengre tid vært vanskelig for europeiske virksomheter å benytte seg av tjenestetilbydere i USA, etter at EU-domstolen i sin "Schrems II"-avgjørelse fastslo at USA ikke tilbyr et tilstrekkelig beskyttelsesnivå for personopplysninger. Britene har i all hovedsak fulgt samme linje som resten av Europa.
USA har etter langvarig diskusjon med EU-kommisjonen implementert lovgivning som skal bøte på problemene som ble identifisert i Schrems II-avgjørelsen. I sommer fastslo EU-kommisjonen i sin adekvansbeslutning for USA at landet sikrer et tilstrekkelig beskyttelsesnivå for personopplysninger som overføres fra EU/EØS til sertifiserte amerikanske virksomheter under Data Privacy Framework-ordningen (DPF). Det er også lagt til grunn at endringen i amerikansk lovgivning sammen med adekvansbeslutningen medfører at det er lovlig å overføre basert på EU-kommisjonens standardkontrakter – SCC.
Fra og med i dag trer den britiske regjeringens beslutning om å godkjenne overføringer til USA i kraft – den såkalte "data bridge"-beslutningen. Dette betyr at også britiske virksomheter kan overføre personopplysninger til USA, både slike som er amerikanske sertifiserte under DPF eller basert på IDTA (britenes svar på EUs SCC). Virksomhetene bør være klar over at det for overføring av sensitive personopplysninger og opplysninger om straffedommer gjelder særlige krav.
Endringene som har kommet på plass medfører at det fremover er lettere å gjøre forretninger med USA. Det er imidlertid fortsatt er en del uklarheter knyttet til den praktiske betydningen av de formelle beslutningene fra EU-kommisjonen og den britiske regjeringen. Det er som mange tidligere har påpekt også usikkert om det rammeverket som er på plass vil stå seg fremover.
Videre overføringer fra USA til andre tredjeland
For virksomhetene er det et praktisk viktig spørsmål hva som gjelder for eventuelle videre overføringer som skjer fra dataimportøren i USA, for eksempel dersom en databehandler i USA benytter en underdatabehandler i et annet tredjeland utenfor EU/EØS. Må den europeiske behandlingsansvarlige gjøre selvstendige vurderinger av slik videre overføring eller kan virksomheten legge til grunn at dette dekkes av den adekvansbeslutningen som nå foreligger sammen med EU-US Data Privacy Framework og/eller britenes "data bridge"-beslutning?
Personvernforordningen kapittel V krever i utgangspunktet ikke noen ytterligere tiltak når virksomheten overfører på grunnlag av en adekvansbeslutning. Virksomhetene kan etter dette stole på at det rettslige rammeverket i USA er tilstrekkelig og trenger ikke bekymre seg for om/at det kan skje videre overføringer når det skjer overføring til en sertifisert virksomhet.
Både det amerikanske rammeverket og andre lands adekvansbeslutninger har imidlertid blitt kritisert for svak regulering nettopp av videre overføringer. Dersom EU/US-rammeverket prøves i EU-domstolen, er det ikke umulig at denne svakheten vil bli adressert som en del av saken. Likevel er regelen enn så lenge at overføringer – og videre overføringer – kan skje – så lenge rammeverket står seg.
Overføring til USA basert på standardkontrakter – krav om TIA?
Det kreves i utgangspunktet TIA (transfer risk assessment – TRA – i Storbritannia) dersom virksomhetene overfører personopplysninger til et tredjeland utenfor EU/EØS uten at det foreligger en adekvansbeslutning for den aktuelle overføringen. Samtidig har EU-kommisjonen vurdert i adekvansbeslutningen at relevant amerikanske lover er proporsjonale og nødvendige, som i sin essens er det samme som TIA-en skal vurdere. Det samme gjør seg gjeldende i Storbritannia. Det er noe uklart per i dag hva de europeiske tilsynsmyndighetene vil kreve av dokumentasjon, men trolig vil man vil komme langt på vei ved å henvise og eventuelt slutte seg til EU-kommisjonens vurderinger.
Veien videre
For EUs vedkommende vet vi ikke per i dag om adekvansvurderingen og DPF-rammeverket vil overleve en eventuell prøving i EU-domstolen. NOYB - European Centre for Digital Rights, har uttalt at de allerede har utarbeidet ulike prosedyrealternativer for å prøve det nye rammeverket i EU-domstolen – og et fransk medlem av EU-parlamentet har allerede klaget rammeverket inn for den europeiske unions domstol. Datatilsynet uttaler på sine nettsider at det nye rammeverket mest sannsynlig vil bli prøvd i EU-domstolen og at det er en risiko for at de nye reglene vil bli opphevet. I så fall vil det bli vanskelig å overføre personopplysninger til USA igjen. Det kan derfor anbefales, som best practice, at virksomhetene fortsetter å føre kontroll med hvilke overføringer som skjer, inkludert videre overføringer. Virksomhetene bør også vurdere om det er hensiktsmessig med noe mer dokumentasjon og eventuelt tiltak enn det som strengt tatt er nødvendig p.t., for å sikre robusthet fremover. Ett konkret tiltak er uansett å ha rimelig oversikt over dataflyt, herunder å sørge for at de databehandleravtalene som inngås har gode reguleringer knyttet til bruk av underdatabehandlere.
Når det gjelder den britiske "data bridge"-ordningen, blir det interessant å følge med på utviklingen av lignende avtaler med andre tredjeland. Den foreslåtte nye personopplysningsloven i Storbritannia inneholder et forslag om å endre terskelen for adekvans fra "essentially equivalent" til "not materially lower", noe som kan føre til at terskelen for godkjenning av tredjeland i henhold til "data bridge"-ordningen blir noe lavere enn i EU. Ifølge en veileder publisert av den britiske regjeringen står land som Australia, Brasil og India på listen over prioriterte kandidater for godkjenning for overføringer fra UK.
Les mer
- Du kan lese mer om adekvansbeslutningen i en tidligere artikkel publisert på Wikborg Reins nettsider.
- Datatilsynet gir svar på noen praktiske spørsmål om reglene for overføring av personopplysninger til USA på deres nettside.
- Finn ut om amerikanske virksomheter du samarbeider med er sertifiserte.