Enklere å bruke leverandører i USA

Nytt rammeverk mellom EU og USA forenkler personvernkrav som norske virksomheter må følge. Du må bare gjøre en TIA-vurdering.

Publisert 16. sep. 2023 | Oppdatert 16. sep. 2023
Article lead
AVTALE: EU og USA har blitt enige om et nytt rammeverk kalt EU-U.S. Data Privacy Framework. Foto: Dreamstime.com

Av: Advokatfullmektig Fabrice Bulonge Buhendwa og advokat/partner Magnus Ødegaard, Bing Hodneland advokatselskap

Bruk av apper, standard skytjenester og andre moderne forretningsløsninger innebærer at leverandører i USA gis tilgang eller på annen måte kan behandle personopplysningersom kunden i Norge er behandlingsansvarlig for. Norske virksomheter haretter at Schrems II-dommen falt i 2020måtte foreta kompliserte risikovurderinger for å undersøke om ekstra tilleggstiltak med mottager i USA er godt nok til overføring.

Advokat/partner Magnus Ødegaard og advokatfullmektig Fabrice Bulonge Buhendwa i Bing Hodneland advokatselskap. Selskapet

Nå gjelder ikke Schrems II-dommen lenger. EU og USA har blitt enige om et nytt rammeverk kalt EU-U.S. Data Privacy Framework som gjør det enkelt for virksomheter i EU/EØS å overføre personopplysninger til leverandører og andre virksomheter i USA.

Rammeverket er et resultat av at EU-Kommisjonen har vurdert amerikanske lover og praksiser til i hovedsak tilsvare europeiske personvernregler. EU-Kommisjonen ga 10. juli 2023 USA en adekvansbeslutning.

Vinn-vinn-situasjon for norske virksomheter

Adekvansbeslutningen gjør det enkelt for norske virksomheter å overføre personopplysninger til virksomheter i USA.

Den innebærer at hvis en amerikansk leverandør eller annen mottager i USA av personopplysninger om borgere i EU/EØS står på listen Data Privacy Framework, kan personopplysninger overføres til slik virksomhet i USA uten at det avtales tilleggstiltak eller kreves ekstra overføringsgrunnlag.

Norske virksomheter må fortsattgjøre en TIA– hva betyr det?

Norske virksomheter trenger fortsatt å gjennomføre Transfer Impact Assessment som kalles «TIA» for leverandører i USA. En TIA er en intern risikovurdering som skal kunne dokumenteres å ha blitt gjort dersom virksomheten skal overføre personopplysninger til andre i land utenfor EU/EØS.

EU-Kommisjonen har tidligere godkjent overføring til mottagere i Andorra, Argentina, Canada (for kommersielle organisasjoner), Færøyene, Guernsey, Israel, Isle of Man, Japan, Jersey, New Zealand, Storbritannia, Sveits, Sør-Korea og Uruguay.

Nå er USA også godkjent, og i TIA bør det fremgå at leverandøren i USA står på listenData Privacy Framework.

Det kreves fortsatt lovlig overføringsgrunnlag dersom virksomhet i USA ikke står på denne listen. Lovlig overføringsgrunnlag kan være enten standardkontrakt mellom den norske og amerikanske virksomheten om å overholde personvernreglene (såkalt SCC), eller at den amerikanske virksomheten har stadfestet bindende retningslinjer om å overholde personvern (såkalt Binding Corporate Rules eller «BCR»), og TIA bør angi hvilket overføringsgrunnlag som brukes.

I tillegg må norsk virksomhetvurdere og identifisere risiko knyttet til overføring av personopplysninger fra EU/EØS-borgere til land som ikke har tilstrekkelig personvernregler i tråd med GDPR.Den positive nyheten er atnorske virksomheter ved sin TIA-vurderingkan lene seg på EU-kommisjonens adekvansbeslutning.

I TIA-vurderingen bør det stå at man har undersøkt at EU-Kommisjonens vurdering fortsatt gjelder, herunder at Executive Order 14086 i USA fortsatt er i kraft. Det er derfor ikke nødvendig å avtale«additional measures»med mottageri USA.

Tips–benytt de nye reglene mens dere kan

Vi regner med det nye rammeverket for overføring til USA vil bli utfordret i EU-domstolen – men det vil ta noen år før det kommer en Schrems III dom som igjen medfører at USA må anses som et usikkert tredjeland.

I tillegg kan en ny amerikansk president raskt fjerne de nye reglene som EU-Kommisjonen lener seg på, ved en ny Executive Order.

Norske virksomheter bør derfor følge med på hva som skjer. Vårt tips er å benytte sjansen mens dere kan– skriv en kort TIA for hver leverandør eller underleverandør i USA som kan få tilgang til personopplysninger dere er ansvarlig for.

Artikkelen er skrevet av advokatfullmektig Fabrice Bulonge Buhendwa og advokat/partner Magnus Ødegaard, Bing Hodneland advokatselskap DA.

Jus

Informasjon om bruk av AI