Hopp til innhold
Person som jobber med PC med lagringsbilde lagt over

Datalagring i USA - 4 steg til lovlig overføring

Vi gjør oppmerksom på at denne artikkelen er mer enn ett år gammel og innholdet kan være utdatert.

Mange virksomheter overfører data til andre land som del av sin daglige drift. Tjenester som skylagring, e-post, analyseverktøy, er gjerne avhengige av at opplysninger overføres til tjenestetilbyderen, som ofte befinner seg i USA. Overføring til USA har vært problematisk med tanke på GDPR, men nå har en tilsynelatende enkel løsning kommet - men den er ikke risikofri.

Bakgrunn: Schrems II-avgjørelsens innvirkning

Den såkalte “Schrems II-avgjørelsen” i 2020 sørget for at "Privacy Shield"-rammeverket ble opphevet. Avgjørelsen kom som et resultat av bekymringer knyttet til amerikanske myndigheters overvåkning av europeiske borgeres data, og manglende juridiske beskyttelsesmekanismer for europeiske borgere ved slik overvåkning.

Avgjørelsen førte til at virksomheter som overførte personopplysninger til USA plutselig stod overfor et komplekst juridisk landskap der overføringer ble ulovlige “over natten”. Alle som hadde innrettet seg etter Privacy Shield-ordningen måtte brått revurdere alle overføringer, finne nye lovlige overføringsgrunnlag eller stanse overføringen, og gjennomføre relativt krevende vurderinger av databehandleren i USA.

Les også: Dette må du huske når du lagrer regnskapet i skyen

DPF: En løsning på utfordringen?

Etter lang tid med forhandlinger ble det enighet om det nye rammeverket DPF (EU-US Data Privacy Framework). Dette ble godkjent av EU-kommisjonen med virkning fra 10. juli 2023. Det nye rammeverket forsøker å håndtere en del av de manglene som ble påpekt i Schrems II-avgjørelsen, blant annet ved å opprette klageinstanser for de registrerte og nye retningslinjer for myndighetenes håndtering av europeiske borgeres data.

Hvordan bruke DPF i 4 steg:

  1. Sjekk sertifisering: Sørg for at mottakeren av opplysningene er DPF-sertifisert. Dette kan sjekkes på DPFs offisielle nettsted. Husk å kontrollere at mottaker er godkjent for den typen data som overføres. Her skilles det mellom HR-opplysninger og andre opplysninger.
  2. Undersøk underleverandører: Finn ut hvilke underleverandører mottakeren benytter og om disse har tilgang til opplysningene. Om så er tilfellet, forsikre at disse også har DPF-sertifisering. Her kan det være et tips å se på databehandleravtalen for å få oversikt over underleverandørene.
  3. Oppdater dokumentasjon: All relevant dokumentasjon og informasjon må oppdateres med DPF som nytt overføringsgrunnlag. Dette gjelder f.eks. kartlegginger, databehandleravtaler og personvernerklæringer.
  4. Rutine for oppdatering: DPF-sertifisering gjelder for ett år ad gangen. Sørg for en rutine hvor DPF-sertifiseringene sjekkes årlig.
Lær mer om regelverket med vårt nettkurs: Informasjonssikkerhet og personvern

Usikkerheten fremover

DPF representerer en viktig utvikling for dataoverføring mellom EU og USA. Men, det hersker fortsatt en følelse av usikkerhet i juridiske miljøer. Kritikerne, blant dem Max Schrems og hans organisasjon NOYB, mener det nye rammeverket i praksis er tilnærmet likt de forrige rammeverkene og at også dette vil bli underkjent av EU-domstolen. Schrems har varslet søksmål.

Siden DPF ikke er prøvd i domstolene og at det ikke kan utelukkes at en “Schrems III”-avgjørelse vil oppheve dette rammeverket også, bør virksomheter ha en beredskapsplan. Dette innebærer å være forberedt på å måtte bytte til standardbestemmelser (SCCs) eller andre overføringsgrunnlag på kort varsel. Spillereglene forandrer seg raskt, og det er derfor avgjørende å være forberedt på alle eventualiteter.

Få aktuelle nyheter innen personal, regnskap, økonomi og personvern. Meld deg på vårt nyhetsbrev og følg Sticos på Facebook og LinkedIn

 

Hold deg oppdatert på relevant fagstoff

Våre nyhetsbrev inneholder aktueltsaker, produktinformasjon, invitasjoner til relevante kurs, seminarer og frokostmøter, samt gode råd og tips.