President Joe Biden og Europakommisjonens president Ursula von der Leyen annonserte 25. mars 2022 at EU-kommisjonen og USA var kommet til enighet om en felles ordning for overføring av personopplysninger mellom EU og USA. Rammeverket er ment å erstatte Privacy Shield som ble kjent ugyldig av EU-domstolen i Schrems II-dommen juli 2020. Foreløpig er det bare annonsert en overordnet enighet, og detaljene må konkretiseres.
Som følge av Schrems II-dommen har virksomheter i USA og EØS stått uten et rammeverk for overføring av personopplysninger mellom EØS og USA. Privacy Shield var et juridisk rammeverk som regulerte utveksling av personopplysninger for kommersielle formål mellom USA og EØS. Ugyldiggjøringen medførte sterk tvil om hvordan overføring av personopplysninger mellom EØS og USA kunne gjøres lovlig. Siste et og et halvt år har virksomheter måttet gjøre inngående og komplekse vurderinger, hvor det først etter grundig kartlegging, risikovurdering og innføring av tiltak ville være mulig å lovlig overføre personopplysninger. Den praktiske virkningen av Schrems II-dommen var at overføring ofte ikke var mulig, i alle tilfeller svært vanskeliggjort.
Bakgrunnen for Schrems II-dommen var amerikanske overvåkningsmyndigheters vide tilganger til data, og manglende rettssikkerhetsmessige kontrollmekanismer. Ifølge den felles uttalelsen innebærer rammeverket en forpliktelse for USA til å implementere reformer som styrker personvernet og sivile rettigheters vern mot overvåkningsmyndighetenes aktiviteter. Det nye rammeverket vil kreve at USA iverksetter tiltak som skal sikre at amerikanske overvåkningsmyndigheter ikke får tilgang på opplysninger utover det som er nødvendig og proporsjonalt. Herunder skal det innføres en to-leddet klagemekanisme, som skal gi europeiske borgere mulighet til å hevde sine rettigheter dersom disse brytes av amerikanske overvåkningsmyndigheter. Hva dette innebærer i praksis gjenstår å se.
Rammeverket bygger på en sertifiseringsordning for amerikanske selskaper, slik også forgjengerne «Safe Harbor» og «Privacy Shield» gjorde. Siden disse ble ugyldiggjort av EU-domstolen, stiller kritikerne spørsmål ved om ikke det også vil skje med det nye rammeverket, Max Schrems selv, som initierte sakene mot Safe Harbor og Privacy Shield, har gått langt i å varsle ny rettslig prøving.
Spørsmålet er så hva som skjer videre. Først og fremst må det legges frem en skriftlig versjon av rammeverket. Når dette skjer, er usikkert. Rammeverket må så implementeres. I USA vil dette bli gjort som en Executive Order besluttet av presidenten. EU-kommisjonen vil så vurdere om amerikanernes endringer gir grunnlag for å fatte en såkalt adekvansbeslutning (beslutning om tilstrekkelig beskyttelsesnivå) etter GDPR artikkel 45. Ifølge Datatilsynets pressemelding vil det europeiske personvernrådet konsulteres i denne prosessen. Det vil i tilfelle være med på å bygge opp under konsensus om det nye rammeverket, og gi trygghet for europeiske virksomheter som i snart to år har måttet forholde seg til uttalelser om at overføring til USA i utgangspunktet er ulovlig og svært vanskelig å gjøre lovlig i praksis.
Det må understrekes at annonseringen ikke løser alle utfordringer tilknyttet overføring av personopplysninger fra EØS til tredjeland. For det første gjenstår det å se hva den endelige avtalen innebærer, og dens rammer vil bli heftig debattert – men kanskje også utfordret rettslig. For det andre er ikke USA det eneste landet europeiske virksomheter overfører personopplysninger til. Schrems II-dommen og etterfølgende praksis og uttalelser fra datatilsynsmyndighetene, vil fortsatt være førende for overføring til Kina, India og andre tredjeland. Rammeverket vil heller ikke rokke ved virksomheters grunnleggende forpliktelser når det gjelder å ha kontroll og oversikt over hvilke personopplysninger som faktisk overføres, og hvordan. Det er altså ingen grunn til å forkaste arbeidet som er gjort i europeiske virksomheter siste halvannet år for å ivareta personopplysningsvernet. Gode rutiner og arbeidsprosesser vil fortsette å være svært verdifullt, uansett hvordan den endelige avtalen mellom USA og EU blir seende ut.
Takk til Henrik Martiniussen Sylliaas som har bidratt til artikkelen.
