Data Privacy Framework (DPF) - nytt rammeverk for overføring av personopplysninger til USA
Av: Codex Advokat
Den 10. juli kom nyheten vi lenge har ventet på; EU har vedtatt regler som gjør at det igjen blir enkelt å overføre personopplysninger til USA.

Rettslig vakuum etter Schrems II
Da EU-domstolen for tre år siden i den såkalte Schrems II-dommen konkluderte med at beskyttelsesnivået for personopplysninger i USA var for lavt, fikk dette store konsekvenser også for norske virksomheter. EU-domstolen oppstilte en rekke vilkår som må være oppfylt for at overføring av personopplysninger til land utenfor EU/EØS skulle være lovlig.
Til tross for veiledninger fra datamyndighetene har det vært vanskelig å forholde seg til disse vilkårene i praksis, og mange har strevd med komplekse og krevende risikovurderinger for å søke å avklare om overføringen var lovlig.
Det har vært utfordrende å skaffe seg oversikt over risikobildet i forbindelse med skytjenester som leveres av store, amerikanske aktører som Microsoft og Google, som brukes av svært mange private og offentlige virksomheter.
Adekvansbeslutning
Etter forhandlinger mellom USA og EU og endringer i amerikansk lovgivning, har EU-kommisjonen gjennom en såkalt adekvansbeslutning lagt til grunn at beskyttelsesnivået i USA er godt nok. Partene er blitt enige om et nytt rammeverk som gjør at man fremover slipper å utføre vanskelige vurderinger knyttet til beskyttelsesnivå og behov for tilleggstiltak ved overføring til USA. De nye reglene trådte i kraft 10.07.2023.
Virksomheten må være godkjent
Det er viktig å merke seg at overføring etter de nye reglene forutsetter at den amerikanske virksomheten står på listen over godkjente virksomheter som forplikter seg til å behandle personopplysninger i samsvar med rammeverket. Listen ligger tilgjengelig her: Participant Search (dataprivacyframework.gov)
Ved overføring til virksomheter på listen trenger man ikke lenger et såkalt overføringsgrunnlag, men de alminnelige reglene i personvernforordningen gjelder på samme måte som innenfor EU/EØS, herunder krav om databehandleravtale.
Krav om overføringsgrunnlag
Ved overføring til amerikanske virksomheter som ikke står på listen må man fortsatt ha et gyldig overføringsgrunnlag, for eksempel EUs standard personvernbestemmelser («SCC»). Men også her er det blitt enklere, i og med at EU-kommisjonen vurderer det slik at amerikansk lovgivning nå ikke er til hinder for overføring. Forutsatt at den aktuelle virksomheten ikke er underlagt noen særskilte etterretningslover eller regler, blir dermed risikovurderingen langt enklere enn den har vært de seneste årene.
Hva med Google Analytics?
Når det gjelder Google Analytics, som det har vært mye fokus på etter Schrems II-dommen, har Datatilsynet i et vedtak datert 26.07.23 konkludert med at bruk av dette analyseverktøyet har vært ulovlig frem til nå. Datatilsynet har da lagt seg på linje med en rekke andre europeiske datamyndigheter som tidligere har vurdert Google Analytics opp mot personvernreglene. Saken gjaldt bruk av verktøyet på nettsiden telenor.com i en periode på seks måneder frem til 15. januar 2021. Datatilsynets vurdering hensyntar derfor ikke det nye rammeverket.
Datatilsynet opplyser imidlertid at utfordringene med Google Analytics virker å være løst med de nye reglene, og viser til at Google er på listen over amerikanske virksomheter som er sertifisert.
Råd for analyse og sporing på nettsted
Samtidig minner Datatilsynet om at det kan være andre utfordringer med Google Analytics, og at brukere av dette og andre analyseverktøy har ansvar for at personvernreglene overholdes. Datatilsynet har utarbeidet en ny liste med råd for valg av lovlige analyse- og sporingsverktøy, og fremhever der blant annet krav om behandlingsgrunnlag ved bruk av cookies som innebærer behandling av personopplysninger. Listen fra Datatilsynet kan du lese her: Råd for analyse og sporing på nettsted.
- Les mer på Rettighetsadvokater: Schrems II
Har du spørsmål knyttet til GDPR? Snakk med oss.

Senioradvokat
Teknologi, IPR og Media
Flere artikler
-
13.09.23
Utleiers plikter dersom leieboligen blir ubeboelig i leieperioden
Les merSpørsmålet om utleiers plikter ved ubeboelig leilighet er en aktuell problemstilling for mange utleiere i dag etter flere runder med styrtregn og flom. Uværet nå i august har medført at flere boliger har fått vanninntrenging i kjeller. Det er mange som er berørt, og forsikringsselskapene Gjensidige, If og Tryg melder om at de har fått inn over 1950 skademeldinger etter uværet i Oslo og Viken siste helgen i august.
-
08.08.23
Bærekraftsuka 2023 - Save the date!
Les merI uke 42 gjentar vi i Codex Advokat suksessen fra tidligere år, og ønsker deg velkommen til Bærekraftsuka 2023, fra 17.-20. oktober. Vi ser frem til spennende og innholdsrike dager med dagsaktuelle foredrag.
Dagens næringsliv preges av flere og flere regelverk som pålegger bedrifter å handle og opptre mer bærekraftig. I dette ligger det også store muligheter for utvikling, nytenking og ikke minst muligheten til å ta et samfunnsansvar. Med Bærekraftsuka 2023 ønsker vi, sammen med våre dyktige samarbeidspartnere, å legge til rette for at næringslivet kan implementere regelverket på en effektiv og konkurransedrivende måte.
Save the date!
-
30.05.23
Når servitutter hindrer byggeplaner
Les mer