EU-kommisjonen vedtok i sommer en adekvansbeslutning der USA anses som et godkjent tredjeland (EU-US Data Privacy Framework). Dette rammeverket vil gjøre det mye enklere å overføre personopplysninger til USA. Vi gir deg en oversikt over de nye reglene, men også hva din bedrift fortsatt bør tenke på ved overføring av opplysninger til amerikanske selskaper.
Lovlig å overføre personopplysninger til enkelte amerikanske virksomheter
EU-US Data Privacy Framework kan brukes som et lovlig grunnlag for overføring av personopplysninger til USA, da det har blitt vurdert at USA har et tilstrekkelig beskyttelsesnivå. Reglene trådte i kraft med umiddelbar virkning.
Det er likevel ikke helt fritt frem for virksomheter som ønsker å overføre personopplysninger til USA. For å overføre personopplysninger til amerikanske virksomheter er det en betingelse at virksomheten det skal overføres personopplysninger til står på listen over sertifiserte virksomheter. I tillegg må virksomheten være sertifisert for riktige kategori av opplysninger. Det skilles her mellom «HR Data» og «Non-HR Data».
Listen over sertifiserte virksomheter oppdateres fortløpende og inneholder allerede flere av de mest kjente leverandørene. For eksempel er skytjenesteleverandørene Google, Microsoft og AWS allerede sertifisert.
Status for sertifiserte virksomheter
EU-US Data Privacy Framework gjør det nå stort sett problemfritt å overføre personopplysninger til USA dersom selskapet står på listen over sertifiserte selskaper og innenfor riktig type datakategori. Det betyr imidlertid ikke at det er problemfritt å benytte løsninger som er lokalisert i USA eller kontrollert av selskaper som er lokalisert i USA. En ting er at kunder fortsatt må foreta en risikovurdering etter artikkel 32 i GDPR når det gjelder løsningen som sådan, inkludert det forhold at det skjer en overføring til USA. I den forbindelse må man for eksempel fortsatt klargjøre hvor datastrømmene går.
Man må også huske på at det kan være annen lovgivning enn GDPR som setter rettslige rammer for muligheten til å benytte slike løsninger. Slike begrensninger kan blant annet følge av de vurderinger mange selskaper må gjøre etter sikkerhetslovgivningen. I tillegg kan lover som arkivloven og regnskapsloven, samt reguleringer og retningslinjer innenfor finanslovgivningen, sette begrensninger for overføring til USA.
Status for virksomheter som ikke er sertifisert
For virksomheter som ikke er sertifisert eller ikke sertifisert for riktig type datakategori, må et annet lovlig overføringsgrunnlag anvendes. Bruk av Standard Contractual Clauses («SCC») er det mest aktuelle. Ved bruk av SCC må man fortsatt gjennomføre en risikovurdering (transfer impact assessment eller «TIA») og eventuelt iverksette supplerende tiltak for å sikre tilstrekkelig beskyttelsesnivå, på samme måte som før adekvansbeslutningen ble vedtatt. Ved gjennomføringen av risikovurderingen er det imidlertid mulig å legge vekt på de vurderinger og tiltak som er inntatt i adekvansbeslutningen, og risikovurderingene vil nok derfor bli noe lettere å gjennomføre.
Fremtidig usikkerhet
Selv om EU-US Data Privacy Framework gjør det enklere for virksomheter å bruke amerikanske leverandører i dag, er det viktig å være klar over at situasjonen kan endre seg. Adekvansbeslutningen vil trolig bli utfordret i rettsvesenet og hvis retten annullerer denne om et par år, er vi igjen tilbake til situasjonen før sommeren. Dette kan innebære at selskapet ikke kan få etablert et lovlig overføringsgrunnlag og må stoppe å benytte løsningen. Kunder av amerikanske leverandører bør derfor vurdere hvor avhengig man er av den aktuelle løsningen før den eventuelt tas i bruk.
Tilsvarende situasjon kan oppstå dersom EU-kommisjonen selv må annullere adekvansbeslutningen fordi presidentordren blir endret på en måte som svekker personvernet. Hvor stor denne risikoen er vil først og fremst avhenge av hvem som blir president i USA etter neste valg.
I tillegg må virksomhetene vurdere sin egen kommersielle sårbarhet ved å gjøre seg avhengig av strategisk viktige løsninger plassert i andre land, selv om bruken av løsningene ikke omfatter behandling av personopplysninger.
Selv om man nå har fått EU-US Data Privacy Framework er det derfor like viktig nå som tidligere å foreta en risikovurdering som også omfatter den kommersielle siden og i alle sammenhenger ha en exitstrategi. Det er dessuten like viktig fortsatt å sikre seg forutberegnelighet i avtalevilkår i diskusjoner med forhandlere og leverandører.
Ta gjerne kontakt med våre advokater dersom du har spørsmål om overføring av personopplysninger eller trenger bistand med risikovurderinger og avtaleforhandlinger.