Arktis Law

Behandler din bedrift data i USA? Da bør du lese dette.

Behandler din bedrift data i USA? Da bør du lese dette.

Publisert: 03/08/2020

Den 16. juli 2020 avsa EU-domstolen en ny og prinsipiell dom vedrørende overføring av personopplysninger fra EU til USA (Schrems II). Etter denne avgjørelsen er ikke lenger Privacy Shield et gyldig rettsgrunnlag for overføring av personopplysninger fra EU til USA.

Av Mathias T. Gebremichael og John E. Nilsen

 

 

Avgjørelsen innebærer at norske bedrifter som enten selv eller via tredjepart behandler personopplysninger i USA (f.eks ved at bedriften leverer IT-tjenester med tilknytning til amerikanske IT-tjenester), må undersøke om de enten direkte eller indirekte benytter Privacy Shield som et behandlingsgrunnlag for overføring av personopplysninger fra Europa til USA. For det tilfellet at overføringen kun er basert på Privacy Shield og ingen alternativ overføringsgrunnlag, må bedriften få på plass et nytt grunnlag for overføringen til USA.

 

 

Hva er Privacy Shield?

EU-US Privacy Shield var et avtaleverk mellom EU og USA for å regulere utveksling av personopplysninger mellom aktører i EU og USA. Veldig mange IT-tjenester er avhengig av delleveranser, i større eller mindre grad, som stammer fra amerikanske selskap. Som et eksempel på dette er Googles utviklingsplattform Firebase, eller Azure som er skytjenesten til Microsoft. 

 

For alt av overføring av personopplysninger stilles det krav til å ha et gyldig rettsgrunnlag. Ved overføring av personopplysninger til tredjeland stilles det i tillegg et krav for bedrifter å sikre at tredjelandet har et tilstrekkelig beskyttelsesnivå. I praksis innebærer dette at personer i Europa skal sikres tilsvarende beskyttelsesnivå i tredjeland, hva gjelder deres personopplysninger. Privacy Shield var nettopp dette rettsgrunnlaget frem til 16. juli 2020.

 

 

Hvorfor er ikke Privacy Shield lenger tilstrekkelig?

I dommen fra EU-domstolen ble det særlig lagt vekt på to momenter. For det første: hvilken beskyttelsesgrad gir avtalen mellom det eksporterende selskapet i EU og det importerende selskapet i USA. For det annet var det spørsmål om: hvilken tilgang har offentlige myndigheter i USA til slike opplysninger. Retten la vekt på manglende amerikansk håndhevelse hva gjelder Privacy Shield. Videre begrenset ikke det amerikanske regelverket amerikanske offentlige myndigheter i å få innsyn i personopplysninger med hensyn til proporsjonalitet og rimelighet. Det var også manglende muligheter for europeiske rettssubjekter å gjøre gjeldende avvik og sanksjoner mot amerikanske selskap for brudd på personopplysningsregelverket og avslutningsvis var det mangler ved den amerikanske ombudsmannordningen tilknyttet Privacy Shield da denne rapporterte til offentlige myndigheter og var ikke å regne som uavhengig.

 

Status quo?

Selv om Privacy Shield er ugyldiggjort som rettsgrunnlag for overførsel til USA uttaler EU-domstolen at “Standard data protection clauses” (SCC) kan regnes som rettsgrunnlag for overførsel til USA. Dette forutsetter imidlertid at det amerikanske selskapet er i en stilling hvor dette kan garantere det nødvendige databeskyttelse alene basert på SCC.

 

Hva er løsningen for norske selskap?

Norske selskap må nå identifisere om eget selskap og dets leverandører (inkl. underleverandører) behandler personopplysninger i USA. Dette vil innebære at en gjennomgår leverandørene som er listet opp i databehandleravtalen og tjenesteleverandører listet opp i privacy policy samt cookie policy.

 

Dersom noen av de ovennevnte behandler personopplysninger i USA, må selskapet undersøke om overføringen av personopplysninger til USA er alene basert på Privacy Shield – noen leverandører benytter seg av flere grunnlag. Dersom sistnevnte er tilfelle, må det identifiseres hvilke andre rettsgrunnlag som benyttes for overføringen.

 

Hvis overføringen av personopplysninger til USA er kun basert på Privacy Shield må selskapet få på plass et nytt grunnlag for overføringen til USA, eksempelvis SCC. Dersom det skal benyttes SCC som grunnlag for overføring til USA stilles det krav til risikovurdering av om SCC kan benyttes som overføringsgrunnlag etter en vurdering av både klausulens innhold samt om en oppnår tilsvarende personvernbeskyttelse i USA som innad i EU.

 

Dette betyr mer konkret at bedrifter må identifisere om klausulens innhold sett i sammenheng med tredjelandets datalovgivning gir borgere i EU samme vern av sine personopplysninger i tredjelandet som de gjør i EU. Virksomheten skal gjennomføre en slik risikovurdering før personopplysninger behandles og før man tar i bruk et informasjonssystem som behandler data utenfor EU.

 

Vil du lære mer om juridiske og forretningsmessige spørsmål knyttet til digitalisering og teknologi?

Skriv inn din e-post for å få den nyeste innsikten og læringsmulighetene fra Arktis Law.
dots-primary

Recent posts

Arktis Law Italian Desk 4.0

PARTECIPA A GARE D’APPALTO IN NORVEGIA CON ITALIAN DESK 4.0

IL SERVIZIO ITALIAN DESK 4.0 VI PERMETTE DI ACCEDERE A BANDI E PARTECIPARE A  GARE D’APPALTO IN…

Les mer
John E. Nilsen

Er ditt finansforetak klar for nye retningsliner i skyen?

Finansforetak som bruker skytjenester, eller vurderer å ta i bruk skytjenester, må håndtere risiko slik Finanstilsynet forventer….

Les mer
fotballkontrakt

Profesjonell fotballspiller? Så mye lønn har du krav på

Når du skal signere proffkontrakt, bør du vurdere om stillingsbrøken er riktig. Les om konsekvensene og hvordan…

Les mer

Standard IT-avtale: En jungel uten LAN-kabler

Standardavtaler skal spare deg penger, men er de gode nok til å holde deg utenfor konflikter? Her…

Les mer
Verdipapirhandelloven

Verdipapirhandel-loven: Strengere krav til kapitalforvaltere

Endringer i verdipapirhandel-loven krever mer informasjon av kapitalforvaltere. Mens endring i aksjeloven gjør det enklere for startups….

Les mer

Skal du ta ansvaret for skytjenesters nedetid?

Å ikke kjenne til spillereglene for skybaserte tjenester, kan bli en dyr affære for tjenesteleverandører. Last ned…

Les mer

Synes du det er vanskelig å komme i gang med GDPR?

Vi har en sjekkliste som kan hjelpe deg. Av Arktis Law Det er ikke lett å vite…

Les mer
Twentyfist Board

Endelig et verktøy for moderne styrearbeid

Twentyfirst Board hjelper styret ditt med formalitetene. Og gir dem krutt til å løfte selskapet ditt videre…

Les mer

Slik fikser du finansieringen

Finn balansen mellom å hente penger og bevare kontrollen i oppstartsselskapet ditt? Last ned vår guide!

Les mer
Varemerker og Brexit

Dette betyr Brexit for varemerket ditt

Må du skynde deg å stille deg i køen, eller kan du ta varemerkeregistreringen med ro når…

Les mer