USA er ikke lenger en "trygg havn"

Dagens avgjørelse fra EU-domstolen medfører et endret regime for overføring av personopplysninger til USA. Selskaper bør umiddelbart kartlegge omfanget av overføring av personopplysninger til USA og vurdere tiltak for å sikre fortsatt lovlighet.

Safe Harbor har vært det vanligste grunnlaget for overføring av personopplysninger fra norske og europeiske selskaper til amerikanske selskaper. I en avgjørelse avsagt i dag (C-362/14) fastslår EU-domstolen at Safe Harbor-avtalen som grunnlag for overføring av personopplysninger til USA er ugyldig som følge av den massive overvåkningen som er blitt avslørt av Edward Snowden.

Dagens avgjørelse innebærer at personopplysninger ikke lenger kan overføres til amerikanske selskaper eller lagres på servere lokalisert i USA (f.eks. PaaS, SaaS, cloud), med mindre det foreligger et annet gyldig grunnlag for overføringen til USA.

Avgjørelsen innebærer derfor ikke et absolutt forbud mot overføring av opplysninger til USA. En følge av avgjørelsen er imidlertid at alle selskaper som i dag overfører personopplysninger til USA bør foreta en grundig gjennomgang av sine rettslige grunnlag for slik overføring. Mange selskaper vil etter en slik gjennomgang måtte iverksette tiltak for å etablere et nytt gyldig grunnlag for overføringen til USA.

I praksis er det nå tre grunnlag for overføring av personopplysninger til USA som vil være særlig relevante:

1. Overføringen er uttrykkelig akseptert av datasubjektet.
2. Overføringen er nødvendig for å oppfylle en avtale med datasubjektet.
3. Selskapet som mottar opplysningene er en databehandler som har forpliktet seg til å overholde bestemte vilkår fastsatt av EU kommisjonen.

Overføring av personopplysninger fra en behandlingsansvarlig til en databehandler skal uansett følges av en databehandleravtale. For mange selskaper kan derfor det mest praktiske grunnlaget for overføring av personopplysninger til USA være å inngå en ny databehandleravtale. Etter dagens avgjørelse må slike avtaler inngås på de vilkår som følger av EU kommisjonens standardkontrakt og inneholde vedlegg som reflekterer den faktiske behandlingen. I tillegg må man varsle Datatilsynet om overføringen ved innsending av utfylt og signert standardkontrakt.

Dersom det ikke er mulig å inngå en ny databehandleravtale, vil det for de fleste selskaper som overfører personopplysninger til USA være nødvendig å oppdatere sine rutiner for å innhente samtykke til overføring av personopplysninger. Særlig aktuelt er oppdatering av personvernerklæringer og andre samtykkemekanismer.

Schjødt bistår jevnlig klienter med spørsmål knyttet til grensekryssende overføring av personopplysninger, herunder databehandleravtaler, personvernerklæringer og bindende konsernregler.

Kompetanseområder

Advokater

Eva Jarbekk
Jeppe Songe-Møller
Kaare M. Risung

Publisert

06. oktober 2015