Overføring av personopplysninger til USA – hva skjer nå?

Status quo

Overføring av personopplysninger fra EU/EØS til USA har vært regulert av ulike rammeverk siden innføringen av GDPR i 2018. De to tidligere regelverkene, Safe Harbour og Privacy Shield, har begge blitt opphevet av EU-domstolen.

Den 10. juli 2023 vedtok EU-kommisjonen en adekvansbeslutning som etablerte «EU-U.S. Data Privacy Framework» (DPF). Rammeverket, som ble initiert under president Biden, åpner for overføring av personopplysninger fra EU/EØS til USA – forutsatt at mottakeren i USA har sertifisert seg og står oppført på «Data Privacy Framework List» som oppdateres fortløpende. Slike sertifiserte virksomheter forplikter seg til å overholde fastsatte personvernprinsipper, noe som sikrer et beskyttelsesnivå tilsvarende det i EU.

Dersom mottager i USA ikke står oppført på «Data Privacy Framework List», må det likevel være et lovlig overføringsgrunnlag på plass, f.eks. bindende virksomhetsregler (BCR) eller Standard Contractual Clauses 2021/914 for international transfers (SCCs).

Hva har skjedd siden president Trumps inntreden? 

Allerede under forrige presidentperiode flagget Trump sin skepsis til GDPR, som han mente la til rette for cyberkriminalitet og truet amerikansk sikkerhet. Skepsisen til europeiske personvernregler er med andre ord ikke ny – og kan nå få rettslige følger ettersom president Trump har varslet at han vil reversere presidentordrer gitt av Biden.

I tillegg har administrasjonen fjernet demokratisk utnevnte medlemmer i «Privacy and Civil Liberties Oversight Board» (PCLOB), og i praksis satt organets virksomhet på pause – blant annet ved å deaktivere e-postadressene deres. Det er varslet at Trump vil utnevne nye medlemmer til PCLOB, men dette har ennå ikke skjedd.

PCLOB har fungert som et sentralt uavhengig tilsynsorgan for amerikanske etterretningsaktiviteter, og som en viktig brikke i EU-kommisjonens vurdering av amerikansk personvern. Når rådet nå ikke er beslutningsdyktig, er det heller ingen uavhengig kontroll med etterretningsmyndighetenes tilgang til data fra EU.

Hva betyr dette for virksomheter i praksis?

Selv om DPF per i dag fortsatt er gyldig, er det åpenbart at rammeverket igjen står ustøtt. Det er særlig to scenarioer som kan gjøre overføringer til USA rettslig usikre: (1) at EU-kommisjonen selv trekker tilbake adekvansbeslutningen, eller (2) at EU-domstolen finner at beskyttelsesnivået i USA ikke lenger er tilstrekkelig etter GDPR-artikkel 45.

For virksomheter som baserer seg på DPF som overføringsgrunnlag, er det derfor avgjørende å kartlegge hvilke databehandlingsaktiviteter som omfattes, og vurdere alternative overføringsgrunnlag.

Hva bør virksomheter gjøre nå? 

Selv om DPF fortsatt gjelder, tilsier den politiske utviklingen i USA at virksomheter bør forberede seg på et mulig bortfall av DPF.

Vi anbefaler i korthet at virksomheter:

• skaffer seg oversikt over hvilke leverandører og databehandlere som baserer seg på DPF
• gjør seg kjent med EUs standard kontraktsklausuler 2021/914 (SCCs) som alternativt overføringsgrunnlag
• vurderer hvorvidt eksisterende avtaler kan suppleres eller tilpasses med SCCs
• utarbeider en exit strategi for det tilfellet at DPF faller bort (kan eksisterende avtale umiddelbart termineres og ny leverandør overta dersom ikke det er inngått kontrakt som sikrer overføringsgrunnlag til USA fra den dagen DPF faller bort), og
• sørger for at personvernrådgivere eller GDPR-ansvarlig i egen virksomhet er oppdatert på risiko og handlingsrom (involver disse i exit-strategi og mulighet for alternative leverandører).
  
  

Vi følger nøye med på utviklingen

Dataoverføring til USA er med andre ord fortsatt mulig, men langt fra risikofritt fremover i tid. Med Trump tilbake i Det hvite hus og svekkede kontrollmekanismer på amerikansk side, står dagens overføringsgrunnlag i fare for å falle – nok en gang.

Ræder Bing følger utviklingen tett og bistår gjerne med å vurdere alternative overføringsgrunnlag og nødvendige tiltak dersom det blir aktuelt å tilpasse seg endringer i det rettslige grunnlaget for overføring.

Artikkelen er publisert i Finansavisen.