Av: Advokatfullmektig Fabrice Bulonge Buhendwa og advokat/partner Magnus Ødegaard, Bing Hodneland advokatselskap
Bruk av apper, standard skytjenester og andre moderne forretningsløsninger innebærer at leverandører i USA gis tilgang eller på annen måte kan behandle personopplysningersom kunden i Norge er behandlingsansvarlig for. Norske virksomheter haretter at Schrems II-dommen falt i 2020måtte foreta kompliserte risikovurderinger for å undersøke om ekstra tilleggstiltak med mottager i USA er godt nok til overføring.
Nå gjelder ikke Schrems II-dommen lenger. EU og USA har blitt enige om et nytt rammeverk kalt EU-U.S. Data Privacy Framework som gjør det enkelt for virksomheter i EU/EØS å overføre personopplysninger til leverandører og andre virksomheter i USA.
Rammeverket er et resultat av at EU-Kommisjonen har vurdert amerikanske lover og praksiser til i hovedsak tilsvare europeiske personvernregler. EU-Kommisjonen ga 10. juli 2023 USA en adekvansbeslutning.
Vinn-vinn-situasjon for norske virksomheter
Adekvansbeslutningen gjør det enkelt for norske virksomheter å overføre personopplysninger til virksomheter i USA.
Den innebærer at hvis en amerikansk leverandør eller annen mottager i USA av personopplysninger om borgere i EU/EØS står på listen Data Privacy Framework, kan personopplysninger overføres til slik virksomhet i USA uten at det avtales tilleggstiltak eller kreves ekstra overføringsgrunnlag.
Norske virksomheter må fortsattgjøre en TIA– hva betyr det?
Norske virksomheter trenger fortsatt å gjennomføre Transfer Impact Assessment som kalles «TIA» for leverandører i USA. En TIA er en intern risikovurdering som skal kunne dokumenteres å ha blitt gjort dersom virksomheten skal overføre personopplysninger til andre i land utenfor EU/EØS.
EU-Kommisjonen har tidligere godkjent overføring til mottagere i Andorra, Argentina, Canada (for kommersielle organisasjoner), Færøyene, Guernsey, Israel, Isle of Man, Japan, Jersey, New Zealand, Storbritannia, Sveits, Sør-Korea og Uruguay.
Nå er USA også godkjent, og i TIA bør det fremgå at leverandøren i USA står på listenData Privacy Framework.
Det kreves fortsatt lovlig overføringsgrunnlag dersom virksomhet i USA ikke står på denne listen. Lovlig overføringsgrunnlag kan være enten standardkontrakt mellom den norske og amerikanske virksomheten om å overholde personvernreglene (såkalt SCC), eller at den amerikanske virksomheten har stadfestet bindende retningslinjer om å overholde personvern (såkalt Binding Corporate Rules eller «BCR»), og TIA bør angi hvilket overføringsgrunnlag som brukes.
I tillegg må norsk virksomhetvurdere og identifisere risiko knyttet til overføring av personopplysninger fra EU/EØS-borgere til land som ikke har tilstrekkelig personvernregler i tråd med GDPR.Den positive nyheten er atnorske virksomheter ved sin TIA-vurderingkan lene seg på EU-kommisjonens adekvansbeslutning.
I TIA-vurderingen bør det stå at man har undersøkt at EU-Kommisjonens vurdering fortsatt gjelder, herunder at Executive Order 14086 i USA fortsatt er i kraft. Det er derfor ikke nødvendig å avtale«additional measures»med mottageri USA.
Tips–benytt de nye reglene mens dere kan
Vi regner med det nye rammeverket for overføring til USA vil bli utfordret i EU-domstolen – men det vil ta noen år før det kommer en Schrems III dom som igjen medfører at USA må anses som et usikkert tredjeland.
I tillegg kan en ny amerikansk president raskt fjerne de nye reglene som EU-Kommisjonen lener seg på, ved en ny Executive Order.
Norske virksomheter bør derfor følge med på hva som skjer. Vårt tips er å benytte sjansen mens dere kan– skriv en kort TIA for hver leverandør eller underleverandør i USA som kan få tilgang til personopplysninger dere er ansvarlig for.
Artikkelen er skrevet av advokatfullmektig Fabrice Bulonge Buhendwa og advokat/partner Magnus Ødegaard, Bing Hodneland advokatselskap DA.
