Dette innlegget ble opprinnelig publisert på foyentorkildsen.no 1. mars 2016!

Privacy Shield, som er ment å avløse den nå ugyldige Safe Harbor-ordningen for overføring av personopplysninger til USA, ble lansert i går. Usikkerhetene er fortsatt betydelige, og vi anbefaler selskaper som skal overføre større mengder personopplysninger til USA å fortsatt bygge dette på modellavtaler eller bindende selskapsregler.

Skrevet av: Advokatfullmektig Jarle Langeland og partner Arve Føyen

USA og EU/EØS har ulike tilnærminger til personvern og vern av personopplysninger, i så stor grad at EU/EØS ikke anerkjenner at USA gir tilstrekkelig vern av europeiske borgeres personopplysninger. For å kunne overføre slike opplysninger til USA kreves det dermed et særskilt grunnlag som skal gi ekstra sikkerhet for at opplysningene behandles på en forsvarlig måte. Safe Harbor, som var en avtale mellom EU-kommisjonen og det amerikanske Department of Commerce, var et praktisk grunnlag for slik overføring.

Det skapte derfor stor usikkerhet når EU-domstolen i oktober i fjor kjente Safe Harbor ugyldig. EU-domstolen mente blant annet at amerikanske ordninger for masse-overvåkning gjorde at man ikke kunne stole på de garantier som lå i Safe Harbor. Kommersielle aktører har etter dommen i stor grad tatt i bruk alternative grunnlag for overføring til USA, som modellavtaler og bindende selskapsregler. Et problem med dette er at de samme innvendingene som EU-domstolen hadde mot Safe Harbor i stor grad gjør seg gjeldende også for modellavtalene og bindende selskapsregler – de gir svært begrenset vern mot utlevering av opplysninger til amerikanske sikkerhets- og justismyndigheter.

USA og EU har i lengre tid forhandlet om en revisjon av Safe Harbor-rammeverket. EU-domstolens avgjørelse satte fart i dette arbeidet, siden begge parter innså at de enorme verdiene som genereres av internettjenester over Atlanteren potensielt når var truet. I går lanserte EU-kommisjonen og det amerikanske Department of Commerce Privacy Shield, som er en oppdatering av Safe Harbor som er ment å imøtegå EU-domstolens innvendinger. Privacy Shield skal nå gjennomgås av datatilsynene i EU og en komité av medlemsstatenes representanter.

Som Safe Harbor blir Privacy Shield en selvdeklarasjonsordning, der amerikanske selskaper frivillig kan forplikte seg til å behandle personopplysninger med en større grad av sikkerhet og kontroll enn hva amerikansk lovverk legger opp til. Det skal imidlertid føres større grad av kontroll med at disse forpliktelsene overholdes, og selskaper som ikke overholder dem risikerer å bli kastet ut av ordningen – med den følge at data som er omfattet av den må slettes. Det er også lagt opp til bedre klageordninger for europeiske borgere som anser at deres personopplysninger blir misbrukt i USA.

Spørsmålet for norske virksomheter som skal overføre personopplysninger til USA blir dermed om man kan stole på at Privacy Shield gir et forutsigbart og praktikabelt grunnlag for slik overføring i fremtiden?

Enigheten mellom EU og USA er full av reservasjoner, og hviler i stor grad på en forutsetning om at de amerikanske sikkerhetsmyndighetene oppfører seg. EU har blant annet lagt inn en nødbrems, som gir dem adgang til å suspendere eller avslutte overføringene dersom ting skulle tyde på at USA tar seg til rette med europeiske borgeres personopplysninger. Enigheten hviler i større grad enn Safe Harbor på politikk fremfor juss.

Vår anbefaling er at selskaper som er avhengige av å overføre større volumer av personopplysninger til USA fortsatt bør basere seg på modellavtaler eller bindende selskapsregler i tiden fremover. Det er mulig at Privacy Shield vil «sette seg» som et etablert og trygt grunnlag for overføring av personopplysninger, men det er minst like sannsynlig at det vil ryke innen relativt kort tid. Problemstillingene ved overføring av personopplysninger til USA er ikke løst med dette.

Føyen Torkildsen