<iframe src="https://www.googletagmanager.com/ns.html?id=GTM-W3GDQPF" height="0" width="0" style="display:none;visibility:hidden">

Enklere å bruke leverandører i USA

Nytt rammeverk mellom EU og USA forenkler personvernkrav som norske virksomheter må følge. Du må bare gjøre en TIA-vurdering.

    Publisert 16. sep. 2023 kl. 07.30
    Oppdatert 16. sep. 2023 klokken 07.30
    Lesetid: 3 minutter
    Artikkellengde er 596 ord
    AVTALE: EU og USA har blitt enige om et nytt rammeverk kalt EU-U.S. Data Privacy Framework. Foto: Dreamstime.com

    Av: Advokatfullmektig Fabrice Bulonge Buhendwa og advokat/partner Magnus Ødegaard, Bing Hodneland advokatselskap

    Bruk av apper, standard skytjenester og andre moderne forretningsløsninger innebærer at leverandører i USA gis tilgang eller på annen måte kan behandle personopplysningersom kunden i Norge er behandlingsansvarlig for. Norske virksomheter haretter at Schrems II-dommen falt i 2020måtte foreta kompliserte risikovurderinger for å undersøke om ekstra tilleggstiltak med mottager i USA er godt nok til overføring.

    Advokat/partner Magnus Ødegaard og advokatfullmektig Fabrice Bulonge Buhendwa i Bing Hodneland advokatselskap. Selskapet

    Nå gjelder ikke Schrems II-dommen lenger. EU og USA har blitt enige om et nytt rammeverk kalt EU-U.S. Data Privacy Framework som gjør det enkelt for virksomheter i EU/EØS å overføre personopplysninger til leverandører og andre virksomheter i USA.

    Rammeverket er et resultat av at EU-Kommisjonen har vurdert amerikanske lover og praksiser til i hovedsak tilsvare europeiske personvernregler. EU-Kommisjonen ga 10. juli 2023 USA en adekvansbeslutning.

    Vinn-vinn-situasjon for norske virksomheter

    Adekvansbeslutningen gjør det enkelt for norske virksomheter å overføre personopplysninger til virksomheter i USA.

    Den innebærer at hvis en amerikansk leverandør eller annen mottager i USA av personopplysninger om borgere i EU/EØS står på listen Data Privacy Framework, kan personopplysninger overføres til slik virksomhet i USA uten at det avtales tilleggstiltak eller kreves ekstra overføringsgrunnlag.

    Norske virksomheter må fortsattgjøre en TIA– hva betyr det?

    Norske virksomheter trenger fortsatt å gjennomføre Transfer Impact Assessment som kalles «TIA» for leverandører i USA. En TIA er en intern risikovurdering som skal kunne dokumenteres å ha blitt gjort dersom virksomheten skal overføre personopplysninger til andre i land utenfor EU/EØS.

    EU-Kommisjonen har tidligere godkjent overføring til mottagere i Andorra, Argentina, Canada (for kommersielle organisasjoner), Færøyene, Guernsey, Israel, Isle of Man, Japan, Jersey, New Zealand, Storbritannia, Sveits, Sør-Korea og Uruguay.

    Nå er USA også godkjent, og i TIA bør det fremgå at leverandøren i USA står på listenData Privacy Framework.

    Det kreves fortsatt lovlig overføringsgrunnlag dersom virksomhet i USA ikke står på denne listen. Lovlig overføringsgrunnlag kan være enten standardkontrakt mellom den norske og amerikanske virksomheten om å overholde personvernreglene (såkalt SCC), eller at den amerikanske virksomheten har stadfestet bindende retningslinjer om å overholde personvern (såkalt Binding Corporate Rules eller «BCR»), og TIA bør angi hvilket overføringsgrunnlag som brukes.

    I tillegg må norsk virksomhetvurdere og identifisere risiko knyttet til overføring av personopplysninger fra EU/EØS-borgere til land som ikke har tilstrekkelig personvernregler i tråd med GDPR.Den positive nyheten er atnorske virksomheter ved sin TIA-vurderingkan lene seg på EU-kommisjonens adekvansbeslutning.

    I TIA-vurderingen bør det stå at man har undersøkt at EU-Kommisjonens vurdering fortsatt gjelder, herunder at Executive Order 14086 i USA fortsatt er i kraft. Det er derfor ikke nødvendig å avtale«additional measures»med mottageri USA.

    Tips–benytt de nye reglene mens dere kan

    Vi regner med det nye rammeverket for overføring til USA vil bli utfordret i EU-domstolen – men det vil ta noen år før det kommer en Schrems III dom som igjen medfører at USA må anses som et usikkert tredjeland.

    I tillegg kan en ny amerikansk president raskt fjerne de nye reglene som EU-Kommisjonen lener seg på, ved en ny Executive Order.

    Norske virksomheter bør derfor følge med på hva som skjer. Vårt tips er å benytte sjansen mens dere kan– skriv en kort TIA for hver leverandør eller underleverandør i USA som kan få tilgang til personopplysninger dere er ansvarlig for.

    Artikkelen er skrevet av advokatfullmektig Fabrice Bulonge Buhendwa og advokat/partner Magnus Ødegaard, Bing Hodneland advokatselskap DA.