Sticos Fagstoff

Avtale om overføring av personopplysninger til USA er opphevet

Avtale om overføring av personopplysninger til USA er opphevet

EU-domstolen har besluttet at Privacy Shield er ugyldig som overføringsgrunnlag, siden avtalen ikke gir tilstrekkelig beskyttelsesnivå.

Therese Olsson Storøy, rådgiver i Sticos

Overføring av personopplysninger er en viktig del av forholdet mellom Europa og USA. Beskyttelsen som GDPR-regelverket gir gjelder for alle EU/EØS-borgere, og for at personopplysninger skal være tilstrekkelig beskyttet også i andre land, må det reguleres i avtaler og regelverk.

Privacy Shield har siden 1. juli 2016 vært gjeldende rammeverk for sikker overføring til USA. Sertifiseringen har fungert som garanti for at personopplysninger har blitt behandlet i tråd med EU-borgeres rett til personvern. Dette er en forutsetning for å overføre opplysninger til land utenfor EU/EØS. Privacy Shield omfattet flere kjente selskaper etablert i USA, blant andre Facebook, Microsoft og kommunikasjonsplattformen Slack.

Sliter din virksomhet med pålagt GDPR-arbeid? Sticos tilbyr både en skreddersydd GDPR workshop og rådgivning.    

Amerikanske myndigheter overvåker dataoverføringer

Den 16. juli 2020 besluttet EU-domstolen at Privacy Shield er ugyldig som overføringsgrunnlag, siden avtalen ikke gir tilstrekkelig beskyttelsesnivå. Domstolen har opphevet kommisjonsbeslutningen om Privacy Shield. Dette innebærer at overføring av personopplysninger til USA nå må baseres på andre overføringsgrunnlag.

Bakgrunnen for saken er Facebooks overføring av personopplysninger fra Irland til USA. Avgjørelsen i saken mellom privatpersonen Schrems og Facebook begrunnes i at amerikanske myndigheters overvåkning av dataoverføringer ikke gir EU-borgere tilstrekkelig rett til personvern og til å kunne få prøvd sine rettigheter i en domstol.

Les flere av våre oppdaterte artikler om GDPR og personvern her

Hva betyr dette for norske virksomheter?

Privacy Shield-ordningen har vært det aller mest vanlige grunnlaget for overføring av opplysninger til USA og et stort antall norske virksomheter støtter seg på denne avtalen.

Det er mer enn 5300 amerikanske virksomheter som benytter seg av Privacy Shield som garanti for trygg overføring, og de som utleverer opplysninger til disse virksomhetene kan nå risikere bøter dersom de ikke får på plass sikre løsninger. Det er derfor viktig at virksomheter raskt får en oversikt over sine samarbeidspartnere og underleverandører for å undersøke om disse mottar personopplysninger.

For de norske virksomhetene som benytter seg av tjenester fra disse virksomhetene må man være forberedt på at man må gjøre endringer. Dette kan bety at man må benytte seg av EU sine standardavtaler. Slike standardavtaler er tilgjengelig på Datatilsynets sider sammen med en gjennomgang av andre mulige løsninger. Datatilsynet vil komme med en veiledning for hvordan norske virksomheter skal innrette seg, men man bør allerede nå få oversikt over om man rammes eller ikke.

En søkbar liste over hvilke amerikanske virksomheter som er omfattet av Privacy Shield finner du her.

Få aktuelle nyheter innen personal, regnskap, økonomi og personvern. Meld deg på vårt nyhetsbrev og følg Sticos på Facebook og LinkedIn 

Print

Navn:
E-post:
Emne:
Din melding:
x

Sticos holder deg oppdatert: