Publisert: 13. oktober 2015

Veien videre etter Safe Harbour

Etter Safe Harbour-dommen i EU-domstolen har ansvaret for den enkelte bedrift som overfører personopplysninger til USA blitt skjerpet.

Alle som er behandlingsansvarlig for personopplysninger må ha oversikt over om de som bistår ens virksomhet med it-drift av noe slag (drift, HR-program, lønnskjøringer, etc), hva enten det er utkontraktering eller skytjenester, har servere eller servicetjenester i USA. Hvis ja, så er spørsmålet om overføringen til disse er basert på Safe Harbour eller et annet hjemmelsgrunnlag. Dersom det er Safe Harbour som er grunnlaget, er det nå på tide å vurdere alternativer. Full stans i overføring er etter vår oppfatning forhastet og urealistisk. Det gjengse alternativer er å bruke EUs modellavtaler for overføring av personopplysninger, fordi disse fremdeles er anerkjent av personvernmyndighetene i EU-systemet.

Dersom man benytter en databehandler i USA, er det bare en av modellavtalene som kan brukes og denne må sendes/meldes til Datatilsynet i underskrevet stand. Dersom man overfører til selvstendige databehandlere i USA, kan man velge mellom to avtaler og man må sende den man velger inn til Datatilsynet i underskrevet stand. Datatilsynet skal så godkjenne den før den kan tas i bruk. Det er viktig å være klar over at hvis man overfører sensitive personopplysninger (f.eks de fleste HR-opplysninger) på grunnlag av modellavtalene, så må den enkelte registrerte informeres om at opplysningene behandles i et (spesifikt) annet land fordi det er en eksplisitt informasjonsplikt i modellavtalen om dette. Se avtalens klausul 4, bokstav f.

Alternativer til modellavtalene er å basere overføring av personopplysninger til USA på samtykke. Dog er samtykke som hjemmel for overføring av store datamengder til USA på samtykke lite praktisk. I teorien kan også kryptering av personopplysningene være et alternativ, men da må man benytte krypteringsordninger hvor databehandleren ikke sitter på nøkkelen til koden. Det siste alternativet er å benytte reglene for Binding Corporate Rules (BCR), men dette er såpass tidkrevende å få på plass at det neppe er en praktisk løsning for de som allerede har overføringer til USA basert på Safe Harbour.

Det foregår nå intensiv møtevirksomhet i Brussel, der kommisjonen og medlemslandenes datatilsyn vurderer konsekvensene av dommen og veien videre. Representanter fra EU-kommisjonen har vist til de ulike alternativene som er nevnt over. Vi har skrevet en kommentar om Safe Harbour som ble publisert i Aftenposten i går og vedlegger link til denne her

Ta kontakt med advokat og partner Arve Føyen dersom du har spørsmål rundt dette temaet.

google maps
Dette nettstedet bruker informasjonskapsler (cookies) slik at vi kan yte deg bedre service. Informasjonskapslene blir hovedsakelig benyttet for trafikkmåling og optimalisering av tjenesten. Du kan også lese mer om vår bruk av informasjonskapsler.