Er det nå lovlig å overføre data til USA igjen?

Når personopplysninger overføres ut av EØS-området, må man ha et overføringsgrunnlag. Et mulig overføringsgrunnlag er en adekvansbeslutning fra EU-kommisjonen. En adekvansbeslutning innebærer at EU anser mottakerlandet å ha et tilstrekkelig beskyttelsesnivå for personvernet.

Tidligere kunne personopplysninger overføres til USA med adekvansbeslutning som overføringsgrunnlag. Den første adekvansbeslutningen, basert på Safe Harbour, ble kjent ugyldig av EU-domstolen i Schrems I-dommen i 2015.

Ny adekvansbeslutning for USA, basert på Privacy Shield forelå allerede i 2016. Privacy Shield ble imidlertid kjent ugyldig av EU-domstolen i Schrems II-dommen 16. juli 2020. I samme dom uttalte EU-domstolen at EUs standardkontrakter for overføinger, ikke i seg selv var et tilstrekkelig overføringsgrunnlag.

Siden dette har håpet vært at EU-kommisjonen vil vedta et nytt adekvansgrunnlag. Det ser nå ut til å bli en realitet.

Bedrifter må selv vurdere

Grunnen til at Privacy Shield ble kjent ugyldig var at europeiske borgere kunne bli utsatt for uproporsjonal overvåkning fra amerikanske myndigheter, og at europeiske borgere ikke hadde tilgang til effektive rettsmidler mot overvåkingen.

Siden Schrems II-dommen har bedrifter selv måttet foreta vurderinger av om de overfører data til USA, og om de kan gjøre det med et gyldig overføringsgrunnlag. Vurderingene har ikke vært enkle, og en ny adekvansbeslutning har vært etterlengtet.

Utkast til adekvansbeslutning
EU-kommisjonen har nå lagt frem utkastet til en adekvansbeslutning som en følge av det seneste presidentdekretet fra USA. EU-kommisjonen mener dermed at USA, gjennom sine nye tiltak, sikrer et tilstrekkelig høyt beskyttelsesnivå for personopplysninger som overføres fra EU til amerikanske selskaper.

Er det nå lovlig å overføre data til USA?
I praksis innebærer en adekvansbeslutning at norske virksomheter enklere kan ta i bruk tjenester som Google Analytics, Facebook, Microsoft 365 etc., som innebærer overføringer til USA. Vel og merke mot at en har gjort en vurdering av om behandlingen oppfyller personvernforordningens krav og verner den registrertes rettigheter.

Men EU-kommisjonen har foreløpig kun lagt frem et utkast til en slik beslutning. Utkastet skal nå legges frem for Det europeiske personvernrådet og for EU-parlamentet som begge skal uttale seg. Deretter må alle EU-landene godkjenne adekvansbeslutningen, før EU-kommisjonen formelt godkjenner adekvansbeslutningen. Først da kan adekvansbeslutningen benyttes som overføringsgrunnlag.

En slik godkjenning vil mest sannsynlig komme i løpet av første halvdel av 2023. Beslutningen avhenger også at USA iverksetter alle tiltakene de har lagt frem.

Frem til det må europeiske virksomheter fortsatt forholde seg til personvernforordningens regler og Schrems II-dommens retningslinjer for overføringer.

Mulighet for Schrems III?

Maximilian Schrems, mannen bak både Schrems I og Schrems II-dommene, har varslet at han kommer til å prøve også det nye adekvansgrunnlaget i EU-domstolen. Så spørs det om adekvansgrunnlaget kommer til å stå seg denne gangen, eller om vi får en Schrems III-dom.

Lurer du på om du overfører personopplysninger ut av EØS? Eller om du kan overføre personopplysninger ut av EØS lovlig?

Ta kontakt med en av våre personvernadvokater.

Les også: Kan du nå bruke amerikanske skytjenester lovlig?