Etter at Schrems II-dommen ugyldiggjorde Privacy Shield har virksomheter i EØS og USA stått uten et tilfredsstillende rammeverk for overføring av personopplysninger mellom EØS og USA. Europeiske virksomheter som benytter amerikanske skytjenester kan fortsatt benytte EUs Standard Contractual Clauses som grunnlag, men er selv ansvarlig for å dokumentere spesifikke tiltak som hindrer tilgang fra myndighetene i USA. Virksomhetene står derfor overfor stor regulatorisk risiko og usikkerhet.
Som svar på denne utfordringen kom EU-kommisjonen i vår til enighet med USA om premissene for å etablere ett nytt overføringsrammeverk kalt «The Trans-Atlantic Data Privacy Framework» for overføringer til USA. Rammeverket som opprinnelig skulle komme i løpet av 2022 har imidlertid latt vente på seg, og mangelen på statusoppdateringer har ført til bekymring om at rammeverket blir forsinket.
En årsak til forsinkelsene kan ha vært all kritikken annonseringen av rammeverket fikk, for å tilsynelatende ikke håndtere de juridiske utfordringene som felte forgjengerne Privacy Shield og Safe Harbour.
Personvernorganisasjonen NOYB som Max Schrems står bak, har varslet at organisasjonen kommer til å teste lovligheten av det nye rammeverket. Opprinnelig var det ikke annonsert at USA ville endre egen overvåkningslovgivning for å etterkomme kravene til Europeisk lovgivning, men nå ser dette ut til å ha endret seg.
USA oppdaterer overvåkningslovgivningen
Politico rapporterer nå at det Hvite Hus forventes å publisere en «Executive Order» om transatlantiske overføringer allerede neste uke. Ordren skal være utformet for å adressere europeiske bekymringer over overvåkingspraksis i USA og kan publiseres så tidlig som 3. oktober, etter signatur fra Joe Biden.
Nytt rammeverk kan være på plass mars 2023
Ifølge Politicos kilder finnes det et ferdigstilt utkast. Dersom utkastet ender i en Executive Order vil dette gi grunnlag for en prosess i EU-kommisjonen som forventes å ta minst seks måneder. Trans-Atlantic Data Privacy Framework kan dermed være på plass mars 2023.
Hva det nye rammeverket vil inneholde
Selv om detaljene rundt rammeverket fremdeles er sparsommelige, rapporteres det at det nye utkastet vil medføre en rekke nye juridiske beskyttelser for å verne europeiske borgere fra etterretningsaktiviteter. En av endringene skal være en høyere terskel for hva som anses for å være «nødvendig og proporsjonal» overvåkning fra amerikanske sikkerhetsmyndigheter. Videre er det forventet at det skal opprettes en uavhengig domstol for å behandle USAs sine nasjonale sikkerhetsmyndigheters tilganger til europeiske personopplysninger.
Komplisert mellomfase
Men uansett – inntil et nytt rammeverk er på plass, må virksomheter som ønsker å overføre personopplysninger til USA i henhold til Schrems II-dommen sørge for at ytterligere sikkerhetstiltak er på plass og vurdere om tiltakene gir tilstrekkelig sikkerhet for lovlig overføring. I praksis innebærer dette i dag å inngå EUs nylig oppdaterte standardklausuler med tilhørende konsekvensvurdering av overføringen (gjerne omtalt som Transfer Impact Assesment, «TIA»), og om nødvendig supplere med kryptering og andre tiltak.
SCC og TIA
Årsaken til dette er at EU-domstolen i Schrems II-dommen opprettholdt adgangen til å benytte EUs standardklausuler for overføring til tredjeland (SCC), gitt at virksomheter som baserer seg på SCC foretar en konkret konsekvensvurdering om at SCC-ene gir et tilstrekkelig beskyttelsesnivå i praksis. Vurderingen er i midlertidig komplisert og vil kunne resultere i at overføring ikke lar seg gjøre uten betydelige ekstrakostnader eller ikke lar seg gjøre i det hele tatt.
Romjula er fristen for å oppdatere til nye SCC-er
EU-kommisjonen har i kjølvannet av Schrems II-dommen vedtatt oppdaterte SCC-er. Det kan nå ikke inngås standardklausuler på de eldre malene og eksisterende kontraktsforhold bygget på de eldre SCC-ene vil kun være gyldige frem til 27. desember 2022. Virksomheter som enda ikke oppdatert sine SCC-er bør derfor sørge for å sjekke sine SCC-er nå og oppdatere de før fristen oversittes.
Komplisert risikovurdering
Et krav i de nye SCC-ene er imidlertid at partene må forsikre seg om at de ikke har grunn til å tro at rettslige krav eller praksis i landet utenfor EØS hindrer dataimportøren fra å oppfylle sine personvernforpliktelser i henhold til kontrakten. I denne forbindelse må partene ta i betraktning en rekke kompliserte spørsmål som de spesifikke omstendighetene ved overføringen, lovene og praksisene i tredjelandet og relevante kontraktsmessige, tekniske og organisatoriske sikkerhetstiltak for å supplere kontraktbestemmelsene.
Siden det ikke bare forventes vurdering av lovgivningen i tredjelandet, men også gjeldende praksis, må virksomheter som ønsker å overføre personopplysninger til tredjeland foreta en omfattende vurdering av tredjelandets rettssituasjon. Dette er både en krevende og dyr øvelse som sjelden er realistisk at mindre virksomheter gjennomfører.
Hva nå?
Det er på høy tid at det kommer på plass en ny overføringsordning som letter transatlantiske overføringer av personopplysninger. Inntil videre er en rammeordning ikke på plass og virksomheter må fremdeles lene seg på SCCer med tilhørende TIA. Det kan være fristende å vente på nytt rammeverk for overføringer, men det foreligger foreløpig ingen sikkerhet for når rammeverket kommer på plass. En mager trøst er at slike vurderinger begynner å bli mer strømlinjeformet, men tilgang på ekspertise er knapp og kostbar.
Forhåpentligvis kommer «The Trans-Atlantic Data Privacy Framework» tidlig neste år. Så lenge rammeverket ikke er vedtatt må oppdatering av SCCer gjøres. Fordelen er at man vil ha et overføringsgrunnlag for det tilfelle at EU-domstolen underkjenner også det nye rammeverket. Virksomheter som likevel velger, eller er tvunget til, å vente på et nytt overføringsrammeverk fremfor å bruke de nye SCC-ene med TIA, står derfor i fare for å bryte GDPR.
