Artikkel
Ny beslutning fra EU forenkler overføring av personopplysninger til USA
Hva betyr dette for din organisasjon?
Norske virksomheter kan nå overføre personopplysninger til selskaper i USA som har sertifisert seg under det vedtatte rammeverket og er oppført på listen over sertifiserte virksomheter.
10. juli vedtok EU-kommisjonen en ny adekvansbeslutning for overføring av personopplysninger mellom EU og USA. Det nylig vedtatte EU-U.S. Data Privacy Framework trer i kraft umiddelbart og muliggjør fri flyt og overføring av personopplysninger til USA.
Dette betyr ikke at dataflyten fra EU til USA er uregulert. Amerikanske selskaper må først være en del av EU-U. S Data Privacy Framework for at adekvansbeslutningen skal kunne legges til grunn.
For å bli omfattet av rammeverket må selskaper forplikte seg til visse personvernkrav, for eksempel å slette personopplysninger når de ikke lenger er nødvendige og beskytte personopplysninger hvis de overføres videre til andre tredjeland.
Ifølge representanter for EU-kommisjonen introduserer det nye EU-US Data Privacy Framework flere tiltak for å beskytte personopplysninger sammenlignet med forgjengeren, "Privacy Shield". For eksempel vil EU-borgere få en ny klageordning av Data Protection Review Court ("DPRC"). DPRC vil ha muligheten til å vedta bindende beslutninger og aggere på klager. Videre vil tilgang til personopplysninger for amerikanske myndigheter være begrenset til det som er strengt nødvendig.
Dette er en selvsertifiseringsordning. Amerikanske selskaper som ønsker å bli omfattet av EU-US Data Privacy Framework, må registrere seg hos det amerikanske handelsdepartementet, som vil være ansvarlig for å administrere søknader og overvåke at de sertifiserte selskapene overholder kravene.
Det spekuleres allerede i om den nye adekvansbeslutningen vil resultere i en "Schrems-III"-dom. Den ideelle personvernorganisasjonen Noyb, stiftet av bl.a. Maximilian Schrems, har sendt ut en pressemelding der det står at de er klare til formelt å utfordre vurderingen ved EU-domstolen.
Det norske Datatilsynet har mye nyttig informasjon på sin nettside.
Trenger du råd om overføring av personopplysninger til USA og den nye adekvansbeslutningen? Deloitte Advokatfirma har advokater med ekspertise innen personvern og informasjonssikkerhet og vi hjelper våre klienter med å etterleve personvernregelverket.
Tjenester: Personvern, IT-rett og IPR