EU-US Privacy Shield har trådt i kraft

USA er ikke blant de land som EU-kommisjonen anser for å sikre forsvarlig behandling av personopplysninger, og overføring kan således ikke skje til databehandler lokalisert i USA etter hovedregelen om overføring av personopplysninger til land utenfor EU/EØS i personopplysningsloven § 29. Det er snevre unntak fra personopplysningsloven § 29, og for å sikre at det var mulig å utveksle personopplysninger besluttet EU-kommisjonen med hjemmel i personverndirektivets artikkel 25 nr. 6 i 2000 at virksomheter i USA som aksepterer å følge en rekke prinsipper utformet av US Department of Commerce – de såkalte «Safe Harbor-reglene» – skal anses å ha «et tilstrekkelig vernenivå». Safe Harbor-reglene ble benyttet i mange år, men som en følge av bl.a. Snowden-avsløringene om amerikanske myndigheters masseovervåkning også av EU-borgere, avsa EU-domstolen en avgjørelse i oktober 2015 (EU-domstolens sak nr. C-362/14 (Schrems)) om at EU-kommisjonens Safe Harbor-beslutning var ugyldig og Safe Harbor var således ikke et lovlig grunnlag for overføring av personopplysninger til USA.

EU-domstolens avgjørelse fikk stor betydning for enkelte virksomheter som hadde basert seg på Safe Harbor-reglene som eneste overføringsgrunnlag. I februar 2016 inngikk EU-kommisjonen og USA en ny avtale med regler for overføring av personopplysninger til USA: EU-US Privacy Shield. Den nye avtalen pålegger strengere plikter for amerikanske virksomheter som mottar personopplysninger fra Europa, og det er begrensede muligheter og strengere krav for amerikanske myndigheter til å få generell tilgang til personopplysningene. Dersom amerikanske myndigheter skal gis tilgang til personopplysningene, skal dette skje etter klare regler og på en transparent måte og skal være underlagt årlige gjennomganger og en «ombudsperson» skal være klageinstans for påståtte ulovlig tilgang fra myndighetene side.

Nå har EU-US Privacy Shield trådt i kraft, melder EU-kommisjonen i en pressemelding. Avtalen er omdiskutert, og Digi.no har mer om diskusjonene.

OPPDATERING: Kommisjonens beslutningsavgjørelse av 12. juli 2016 som publisert per 1. august 2016 (dansk tekst). Andre språk og mer informasjon her.

Bli den første til å kommentere på "EU-US Privacy Shield har trådt i kraft"

Legg inn en kommentar

Ikke gå glipp av noe!

Motta nyhetsbrev fra Teknologirett: