‹ Tilbake til artikler
Mange norske bedrifter har et behov for eller et ønske om å kunne eksportere data til selskaper utenfor EU - særlig til USA. Etter at EU-domstolen kjente Safe Harbour avtalen ugyldig har dette blitt vanskeligere. Med en ny avtale på plass mellom EU og USA ser det ut til at norske bedrifter snart igjen kan håndtere dette på en enklere måte. Den nye avtalen gir europeiske borgere en langt større kontroll over sine data enn hva som var tilfellet tidligere.
Bakgrunn
Mange er sikkert kjent med at EU-domstolen 6. oktober kjente Safe Harbour avtalen mellom EU og USA ugyldig.
Safe Harbour var en avtale mellom EU og USA, hvor firmaer i USA kunne sertifisere seg slik at de skulle overholde europeisk standard for behandling av personopplysninger. Uten en slik sertifisering, kunne ikke norske bedrifter fritt dele informasjon med sine amerikanske databehandlere. Underkjennelsen av Safe Harbour hadde den virkningen at norske og europeiske bedrifter måtte se etter andre muligheter for å kunne overføre personopplysninger til databehandlere i USA fritt. Alternativet til å bruke Safe Harbour har vært å benytte såkalte EU modellkontrakter.
Bakgrunnen for at Safe Harbour ble kjent ugyldig, er noe forenklet at USAs lovgivning på generelt grunnlag gir nasjonale sikkerhetsmyndigheter rett til å samle inn personopplysninger uavhengig av hvilke andre beskyttelsesregler som skulle gjelde. EU og USA har siden oktober arbeidet med å få et nytt regelverk på plass til avløsning av Safe Harbour.
Ny avtale på plass
Den 2. februar kom partene til enighet om et nytt rammeverk for overføring av personopplysninger. Avtalen er kalt EU-US Privacy Shield. Den nye avtalen setter enda strengere krav til amerikanske bedrifter om å sikre personopplysninger for europeiske individer, herunder klare frister for å svare på klager fra europeiske individer. Det legges også opp til en bedre etterlevelse sikret gjennom oppfølging fra U.S Department of Commerce og Federal Trade Commission. Disse organene skal samarbeide yttertigere med europeiske datasikkerhetsmyndigheter. Det opprettes også et eget ombud som europeiske individer kan rette henvendelser til, samt klage over behandlingen i USA.
Sist, men ikke minst, har amerikanske myndigheter for første gang gitt en skriftlig garanti for at det ikke vil bli krevd generell tilgang til personopplysninger og at det vil være klare vilkår og begrensninger i tilgangen. Uttalelsen må også kunne tolkes slik at det vil være klart for europeere å få vite i hvilke tilfeller data samles inn. Vilkårene for innsamlingen er at innsamlingen må anses nødvendig og at den skal følge proporsjonalitetsprinsippet.
Veien videre
Foreløpig kan ikke overføringen av personopplysninger baseres på EU-US Privacy Shield. Det forventes at europeiske og amerikanske myndigheter i løpet av få uker vil legge frem nærmere regelverk knyttet til behandlingen. Dette skal legges frem for den såkalte “artikkel 29-gruppen” til uttalelse. Artikkel 29-gruppen er et EU-organ som arbeider særskilt med behandling av personopplysninger og fri bevegelighet av slike opplysninger. Basert på dette arbeidet vil kommisjonen kunne erklære at overføring til USA kan skje med bakgrunn i det nye regelverket. I mellomtiden må også amerikanske myndigheter arbeide med å få på plass det nye regelverket, kontrollmekanismer og ombudsmannen.
Det vil derfor gå noe tid før det nye regelverket kan brukes. I mellomtiden får vi basere oss på EUs modellkontrakter.
Kommisjonens presseuttalelse kan du lese i sin helhet her.
Legg igjen en kommentar