Personopplysninger: Privacy Shield tar over for Safe Harbour

Bakgrunn

EU-domstolen bestemte i oktober 2015 at Safe Harbor-avtalen mellom EU og USA er ugyldig fordi amerikansk lovgivning tillater amerikanske myndigheter å masseovervåke europeiske personopplysninger som overføres til USA, uten begrensninger, slik at fundamentale rettigheter til privatliv risikerer å bli krenket. Den ugyldige Safe Harbor-avtalen var det rettslige grunnlaget som i praksis tidligere lovliggjorde norske bedrifters overføring av personopplysninger til databehandlere i USA.

Denne rettslige situasjonen har vært en hodepine for skylagringstjenester og for norske bedrifter som bruker en databehandler i USA for eksempel til behandling av kunde- eller ansattopplysninger, eller for utsendelse av markedsføring.

Privacy Shield garanterer begrensning og personlig innsyn

De sentrale punktene i den nye avtalen som har fått navnet Privacy Shield er:

• Amerikanske foretak som ønsker å importere persondata fra Europa må underlegges seg «robuste» forpliktelser både med hensyn til hvordan data behandles men også ved å garantere personenes rettigheter ivaretatt. Det amerikanske Department of Commerce vil overvåke de amerikanske foretakenes vilkår for tjenester slik at vilkårene kan håndheves etter amerikansk rett av den amerikanske Federal Trade Commission. I tillegg må foretakene forplikte seg til å etterkomme avgjørelser av de nasjonale datatilsynene i de europeiske landene.
• USA har gitt EU skriftlige garantier for at amerikanske myndigheters tilgang til persondataene blir underlagt klare begrensninger og at denne tilgangen skal kunne etterprøves.  Myndighetenes tilgang skal være begrenset til nødvendige tilfeller og må være proporsjonale. USA skal således ikke lengre utføre masseovervåkning. Amerikanske myndigheters tilgang skal monitoreres og evalueres årlig.
• Enhver borger som mener sine rettigheter krenket under Privacy Shield-avtalen skal ha adgang til å få prøvet sin sak.  De amerikanske foretakene skal pålegges frister for å svare på klager og datatilsynene i de europeiske landene skal kunne videreformidle klager til Department of Commerce og the Federal Trade Commission. I tillegg skal det innføres en tvisteløsningsmekanisme som skal være uten kostnad for personen. Når det gjelder klager knyttet til amerikanske sikkerhetsmyndigheters tilgang, skal det opprettes en ombudsmannsordning.

Datatilsynet har så langt (februar 2016) ikke uttalt hva tilsynet i Norge vil gjøre med hensyn til overføring av personopplysninger fra Norge til USA i mellomtiden. Det er etter vår oppfatning sannsynlig at tilsynet, slik tilsynet gjorde etter at Safe Harbor-avtalen ble kjent ugyldig, vil være forsiktige med å utføre tilsyn eller bøtelegge norske virksomheter i denne mellomperioden. Dette fordi vi nå vet at det vil komme et nytt rettslig grunnlag for overføring gjennom den endelige Privacy Shield-avtalen. Vi presiserer dog at hverken Safe Harbor-avtalen eller Privacy Shield-avtalen utgjør et lovlig grunnlag for overføring av personopplysninger til USA per i dag.

Vi legger til at det finnes to alternative lovlige grunnlag for overføring av personopplysninger til USA. Bindende konsernregler (Binding Corporate Rules (BCR) er ett grunnlag, men dette grunnlaget må konkret godkjennes av Datatilsynet før bruk, og slik godkjennelse tar langt tid å eventuelt få. Det andre alternativet er bruk av EUs standardavtaler for overføring av personopplysninger til tredjeland. Dette krever ikke forhåndssamtykke fra Datatilsynet, men det foreligger plikt til å informere Datatilsynet om inngåelse av slik avtale.