Overføringer av personopplysninger til USA post Safe Harbor

Overføring av personopplysninger kan kun skje til land som har et betryggende personvern, jf. personopplysningsloven § 29. USA er ikke ansett av EU å ha et betryggende personvern, og overføring av personopplysninger til USA krever et særskilt grunnlag, og det kreves et særskilt grunnlag for overføring.

I 2000 aksepterte EU-kommisjonen at virksomheter i USA som aksepterer å følge en rekke prinsipper utformet av US Department of Commerce – de såkalte «Safe Harbor-reglene» – skal anses å ha «et tilstrekkelig vernenivå».

Safe Harbor-reglene ble benyttet i mange år, men som en følge av bl.a. Snowden-avsløringene om amerikanske myndigheters masseovervåkning også av EU-borgere, avsa EU-domstolen en avgjørelse i oktober 2015 (EU-domstolens sak nr. C-362/14 (Schrems)) om at EU-kommisjonens Safe Harbor-beslutning var ugyldig og Safe Harbor var således ikke et lovlig grunnlag for overføring av personopplysninger til USA.

EU-domstolens avgjørelse fikk stor betydning for enkelte virksomheter som hadde basert seg på Safe Harbor-reglene som eneste overføringsgrunnlag. Dette har vist seg nå ved at bl.a. Adobe har fått bøter for å ha overført personopplysninger til USA under Safe Harbor-reglene. Boten har ikke vært stor, fordi selskapene har fått på plass alternative grunnlag for overføring raskt. Men bøtene kan bli større dersom det er andre lands personvernmyndigheter som vurderer boten, eller det er andre forhold som gjør seg gjeldende i det enkelte tilfelle.

I februar 2016 inngikk EU-kommisjonen og USA en ny avtale med regler for overføring av personopplysninger til USA: EU-US Privacy Shield. Den nye avtalen pålegger strengere plikter for amerikanske virksomheter som mottar personopplysninger fra Europa, og det er begrensede muligheter og strengere krav for amerikanske myndigheter til å få generell tilgang til personopplysningene. Dersom amerikanske myndigheter skal gis tilgang til personopplysningene, skal dette skje etter klare regler og på en transparent måte og skal være underlagt årlige gjennomganger og en «ombudsperson» skal være klageinstans for påståtte ulovlig tilgang fra myndighetene side.

Før avtalen trer i kraft skal bl.a. Artikkel 29-gruppen skal gi sin vurdering av avtalen, og amerikanske myndigheter skal gjøre de nødvendige forberedelser for at avtalens mekanismer skal fungere som forutsatt.

Bli den første til å kommentere på "Overføringer av personopplysninger til USA post Safe Harbor"

Legg inn en kommentar

Ikke gå glipp av noe!

Motta nyhetsbrev fra Teknologirett: