Nye regler for overføring av personopplysninger til USA

En av sommerens gode nyheter, som sikkert gikk litt under radaren for mange i ferietiden, er at et nytt avtaleverk om overføring av personopplysninger mellom EU/EØS og USA kom på plass.

Datatilsynet har en god sak om dette på sine nettsider, der de også forklarer hva som må være på plass for at en slik overføring av personopplysninger kan skje.

Dette er en ganske lang og vanskelig føljetong i forholdet mellom EU og USA der EU med personvernregelverket GDPR fikk etablert noen prinsipper som ikke helt lot seg forene med at USAs lovgivnings adgang til å kreve innsyn i amerikanske selskapers data. Og dessuten en EU Domstol som ikke uten videre aksepterer avtaler EUs utøvende organer gjør, dersom de er i strid med viktige rettssikkerhetsprinsipper. 

Summen av dette gjorde at avtalen mellom EU og USA om prisippene for håndtering av persondata og beskyttelse av personvernet, avtalen Privacy Shield fra 2016, ble utfordret av den østeriske personvernaktivisten Max Schrems, og Schrems vant i domstolen (dommen heter Schrems II fordi det var andre gangen Max Schrems vant en sak om å tilsidesette en avtale om overføring av personopplysninger mellom EU og USA).

For en rekke virksomheter ble dette en svært vanskelig situasjon. Mange bruker amerikanske skytjenesteleverandører til å håndtere ulike registre og tjenester, og kom plutselig i en krevende situasjon med uklarhet om de digitale løsningene de benytter er ulovlige, og i beste fall en stor usikkerhet om problemet noen gang ville bli løst. Helseministeren avviklet prosjektet Helseanalyseplattformen, som skulle gjøre forskningsdata lettere tilgjengelig for medisinske forskere, med begrunnelse i at EU-domstolens dom hindret prosjektet i å gå videre.

Men nå er det igjen lovlig å overføre personopplysninger mellom EU og USA, gitt en del forutsetninger. Datatilsynet skriver at:

"...hvis en amerikansk virksomhet står på lista over godkjente virksomheter (dataprivacyframework.gov), kan det overføres personopplysninger til den som om det var en europeisk virksomhet. Virksomhetene må fortsatt følge de andre reglene i personvernforordningen, for eksempel ha behandlingsgrunnlag eller databehandleravtale for å dele personopplysninger med andre."

Det som har skjedd er at den europeiske personverntenkingen som er nedfelt i GDPR har fått gjennomslag og USA har justert loverket sitt som at det ikke lenger er i konflikt. Det er svært gode nyheter, og et godt eksempel på hvordan EU-samarbeidet kan sette en standard som får gjennomslag også utenfor Europa. Noe som ikke ville være mulig om hvert land hadde sine egne regler. Så skal man slett ikke utelukke at hr Schrems fortsatt vil benytte sin rett til å gå til sak og utfordre den nye avtalen. Men sjansen er nok større for at det denne gangen er en avtale som holder.

Her er Datatilsynets veileder om overføring av personopplysninger utenfor EØS.