Ny usikkerhet rundt overføringsgrunnlag til USA

Personopplysninger kan fritt overføres innad i EØS, mens det som hovedregel ikke er tillatt å overføre personopplysninger ut av EØS. Ett unntak fra denne hovedregelen er der EU-kommisjonen har godkjent et tredjeland gjennom en adekvansbeslutning. En adekvansbeslutning innebærer et gyldig overføringsgrunnlag ved at EU-kommisjonen har vurdert at det aktuelle tredjelandet har personvernregler som i det vesentlige tilsvarer GDPR.

Mange virksomheter var lettet da EU-kommisjonen den 10. juli 2023 vedtok en ny adekvansbeslutning for overføring av personopplysninger mellom EU og USA, EU-U. S Data Privacy Framework (DPF). USA har tidligere hatt flere adekvansbeslutninger som alle etter søksmål fra Max Schrems har blitt kjent ugyldige av EU-domstolen. DPF muliggjorde overføring av personopplysninger til USA, dersom mottakende virksomhet USA var sertifisert gjennom ordningen.

Kommisjonen kom blant annet til at USA kunne ivareta personvernrettigheter «i det vesentlige tilsvarende» som etter GDPR, grunnet en presidentbeslutning (Executive Order) som skulle sikre tilsyn og kontroll med amerikansk etterretning. The «Privacy and Civil Liberties Oversight Board" (PCLOB) sin mulighet til å vedta bindende beslutninger og agere på EU-borgeres klager om personvernrettigheter, ble også vektlagt.

Allerede da DPF ble vedtatt ble det spekulert i om den ville bli ugyldiggjort av EU-domstolen i en ny “Schrems-dom”. Dette har ikke skjedd ennå, men det er likevel skapt ny usikkerhet om DPFs fremtid.

I slutten av januar avsluttet president Trump engasjementet til flere av PCLOBs demokratiske medlemmer. EU-kommisjonen la i sin vurdering stor vekt på PCLOBs betydning for EU-borgeres personvernrettigheter. Dersom disse medlemmene ikke blir erstattet, kan dette ha betydning for organets funksjon og igjen for adekvansbeslutningen. Trump har også bestemt at alle Bidens nasjonale sikkerhetsbeslutninger, inkludert relevante beslutninger for EU-USA overføringer, skal gjennomgås og potensielt annulleres innen 45 dager. Dette betyr at flere viktige elementer som DPF er basert på kan kollapse. Dersom president Trump skroter alle essensielle deler av presidentbeslutningen, kan dette igjen føre til at overføringer av personopplysninger mellom EU og USA står uten et gyldig overføringsgrunnlag.

Adekvansbeslutningen er foreløpig gyldig, men for å være forberedt dersom det motsatte skulle skje er våre anbefalinger:

• Sikre at du har god oversikt over all overføring av personopplysninger til USA og hvilke av disse som er basert på DPF som overføringsgrunnlag
• Vurdere å etablere andre overføringsgrunnlag, som eksempelvis Standard Contractual Clauses (SCC).
• Vurder om dine behov kan ivaretas av europeiske løsninger

Trenger du råd om overføring av personopplysninger til USA?

Deloitte Advokatfirma har advokater med ekspertise innen personvern og informasjonssikkerhet og vi hjelper våre klienter med å etterleve personvernregelverket.