Enklere å bruke leverandører i USA

Nytt rammeverk mellom EU og USA

Bruk av apper, standard skytjenester og andre moderne forretningsløsninger innebærer at leverandører i USA gis tilgang eller på annen måte kan behandle personopplysninger som kunden i Norge er behandlingsansvarlig for. Norske virksomheter har etter at Schrems II-dommen falt i 2020 måtte foreta kompliserte risikovurderinger for å undersøke om ekstra tilleggstiltak med mottager i USA er godt nok til overføring.

Nå gjelder ikke Schrems II-dommen lenger. EU og USA har blitt enige om et nytt rammeverk kalt EU-U.S. Data Privacy Framework som gjør det enkelt for virksomheter i EU/EØS å overføre personopplysninger til leverandører og andre virksomheter i USA.

Rammeverket er et resultat av at EU-Kommisjonen har vurdert amerikanske lover og praksiser til i hovedsak tilsvare europeiske personvernregler. EU-Kommisjonen ga 10. juli 2023 USA en adekvansbeslutning.

Vinn-vinn-situasjon for norske virksomheter

Adekvansbeslutningen gjør det enkelt for norske virksomheter å overføre personopplysninger til virksomheter i USA.

Den innebærer at hvis en amerikansk leverandør eller annen mottager i USA av personopplysninger om borgere i EU/EØS står på listen Data Privacy Framework, kan personopplysninger overføres til slik virksomhet i USA uten at det avtales tilleggstiltak eller kreves ekstra overføringsgrunnlag.

Norske virksomheter må fortsatt gjøre en TIA – hva betyr det?

Norske virksomheter trenger fortsatt å gjennomføre Transfer Impact Assessment som kalles «TIA» for leverandører i USA. En TIA er en intern risikovurdering som skal kunne dokumenteres å ha blitt gjort dersom virksomheten skal overføre personopplysninger til andre i land utenfor EU/EØS.

EU-Kommisjonen har tidligere godkjent overføring til mottagere i Andorra, Argentina, Canada (for kommersielle organisasjoner), Færøyene, Guernsey, Israel, Isle of Man, Japan, Jersey, New Zealand, Storbritannia, Sveits, Sør-Korea og Uruguay.

Nå er USA også godkjent, og i TIA bør det fremgå at leverandøren i USA står på listen Data Privacy Framework.

Det kreves fortsatt lovlig overføringsgrunnlag dersom virksomhet i USA ikke står på denne listen,. Lovlig overføringsgrunnlag kan være enten standardkontrakt mellom den norske og amerikanske virksomheten om å overholde personvernreglene (såkalt SCC), eller at den amerikanske virksomheten har stadfestet bindende retningslinjer om å overholde personvern (såkalt Binding Corporate Rules eller «BCR»), og TIA bør angi hvilket overføringsgrunnlag som brukes.

I tillegg må norsk virksomhet vurdere og identifisere risiko knyttet til overføring av personopplysninger fra EU/EØS-borgere til land som ikke har tilstrekkelig personvernregler i tråd med GDPR. Den positive nyheten er at norske virksomheter ved sin TIA-vurdering kan lene seg på EU-kommisjonens adekvansbeslutning.

I TIA-vurderingen bør det stå at man har undersøkt at EU-Kommisjonens vurdering fortsatt gjelder, herunder at Executive Order 14086 i USA fortsatt er i kraft. Det er derfor ikke nødvendig å avtale «additional measures» med mottager i USA.

Tips – benytt de nye reglene mens dere kan

Vi regner med det nye rammeverket for overføring til USA vil bli utfordret i EU-domstolen – men det vil ta noen år før det kommer en Schrems III dom som igjen medfører at USA må anses som et usikkert tredjeland.

I tillegg kan en ny amerikansk president raskt fjerne de nye reglene som EU-Kommisjonen lener seg på, ved en ny Executive Order.

Norske virksomheter bør derfor følge med på hva som skjer. Vårt tips er å benytte sjansen mens dere kan – skriv en kort TIA for hver leverandør eller underleverandør i USA som kan få tilgang til personopplysninger dere er ansvarlig for.

Artikkelen er publisert i Finansavisen