Data Privacy Framework (DPF) - nytt rammeverk for overføring av personopplysninger til USA

Rettslig vakuum etter Schrems II

Da EU-domstolen for tre år siden i den såkalte Schrems II-dommen konkluderte med at beskyttelsesnivået for personopplysninger i USA var for lavt, fikk dette store konsekvenser også for norske virksomheter. EU-domstolen oppstilte en rekke vilkår som må være oppfylt for at overføring av personopplysninger til land utenfor EU/EØS skulle være lovlig.

Til tross for veiledninger fra datamyndighetene har det vært vanskelig å forholde seg til disse vilkårene i praksis, og mange har strevd med komplekse og krevende risikovurderinger for å søke å avklare om overføringen var lovlig.

Det har vært utfordrende å skaffe seg oversikt over risikobildet i forbindelse med skytjenester som leveres av store, amerikanske aktører som Microsoft og Google, som brukes av svært mange private og offentlige virksomheter.

Adekvansbeslutning

Etter forhandlinger mellom USA og EU og endringer i amerikansk lovgivning, har EU-kommisjonen gjennom en såkalt adekvansbeslutning lagt til grunn at beskyttelsesnivået i USA er godt nok. Partene er blitt enige om et nytt rammeverk som gjør at man fremover slipper å utføre vanskelige vurderinger knyttet til beskyttelsesnivå og behov for tilleggstiltak ved overføring til USA. De nye reglene trådte i kraft 10.07.2023.

Virksomheten må være godkjent

Det er viktig å merke seg at overføring etter de nye reglene forutsetter at den amerikanske virksomheten står på listen over godkjente virksomheter som forplikter seg til å behandle personopplysninger i samsvar med rammeverket. Listen ligger tilgjengelig her: Participant Search (dataprivacyframework.gov)

Ved overføring til virksomheter på listen trenger man ikke lenger et såkalt overføringsgrunnlag, men de alminnelige reglene i personvernforordningen gjelder på samme måte som innenfor EU/EØS, herunder krav om databehandleravtale.

Krav om overføringsgrunnlag

Ved overføring til amerikanske virksomheter som ikke står på listen må man fortsatt ha et gyldig overføringsgrunnlag, for eksempel EUs standard personvernbestemmelser («SCC»). Men også her er det blitt enklere, i og med at EU-kommisjonen vurderer det slik at amerikansk lovgivning nå ikke er til hinder for overføring. Forutsatt at den aktuelle virksomheten ikke er underlagt noen særskilte etterretningslover eller regler, blir dermed risikovurderingen langt enklere enn den har vært de seneste årene.

Hva med Google Analytics?

Når det gjelder Google Analytics, som det har vært mye fokus på etter Schrems II-dommen, har Datatilsynet i et vedtak datert 26.07.23 konkludert med at bruk av dette analyseverktøyet har vært ulovlig frem til nå. Datatilsynet har da lagt seg på linje med en rekke andre europeiske datamyndigheter som tidligere har vurdert Google Analytics opp mot personvernreglene. Saken gjaldt bruk av verktøyet på nettsiden telenor.com i en periode på seks måneder frem til 15. januar 2021. Datatilsynets vurdering hensyntar derfor ikke det nye rammeverket.

Datatilsynet opplyser imidlertid at utfordringene med Google Analytics virker å være løst med de nye reglene, og viser til at Google er på listen over amerikanske virksomheter som er sertifisert.

Råd for analyse og sporing på nettsted

Samtidig minner Datatilsynet om at det kan være andre utfordringer med Google Analytics, og at brukere av dette og andre analyseverktøy har ansvar for at personvernreglene overholdes. Datatilsynet har utarbeidet en ny liste med råd for valg av lovlige analyse- og sporingsverktøy, og fremhever der blant annet krav om behandlingsgrunnlag ved bruk av cookies som innebærer behandling av personopplysninger. Listen fra Datatilsynet kan du lese her: Råd for analyse og sporing på nettsted.

• Les mer på Rettighetsadvokater: Schrems II

Har du spørsmål knyttet til GDPR? Snakk med oss.

Liv Charlotte Oppegaard

Senioradvokat

Teknologi, IPR og Media