Overføring av personopplysninger fra Europa til USA
EU har nå vedtatt nytt avtaleverk for overføring av personopplysninger fra Europa til USA. Regelverket omtalt som «EU-US Privacy Shield» trådte i kraft 12. juli 2016 og skal erstatte tidligere rammeverk «International Safe Harbor Privacy Principles».
Overføring av personopplysninger kan nå skje til amerikanske selskaper som slutter seg til avtaleverket «Privacy Shield». Disse må da forplikte seg til å følge særlige regler for beskyttelse av personopplysninger. Med bakgrunn i EØS-avtalen kan «Privacy Shield» også brukes som grunnlag for overføring av personopplysninger fra norske virksomheter til USA. Datatilsynet i Norge opplyser på sin hjemmeside at regelverket gjelder direkte for Norge.
Du kan lese mer i pressemeldingen fra EU-kommisjonen. Hele avtaleverket «Privacy Shield» finner du her Vedlegg til avtaleverket finner du her
Bakgrunnen for det nye avtaleverket «Privacy Shield» er at EU-domstolen i dom av 6. oktober 2015 (C-362/14) underkjente «Safe Harbor». EU domstolen vurderte hvorvidt «Safe Harbor»- beslutningen var gyldig iht personverndirektivets krav tolket i lys av EUs Charter om fundamentale rettigheter.
Domstolen kjente beslutningen ugyldig på flere grunnlag. For det første fant domstolen at kommisjonenes kompetanse etter art. 25/69 til å godkjenne personopplysningsvernet i et tredjeland som tilstrekkelig forutsetter at kommisjonen vurderer rettstilstanden i dette landet. Her fastslo domstolen bla at kommisjonen må finne at landet tilbyr «a level of protection of fundamental rights and freedoms that is essentially equivalent to that guaranteed within the European Union by virtue of Directive 95/96 read in the light of the Charter”.
Problemet var at kommisjonen aldri foretok en formell vurdering av rettstilstanden I USA før den traff “Safe Harbor” – beslutningen. Domstolen sådde i tillegg tvil om både trygg havn- ordningen og om det amerikanske rettssystemet opererte med klare og presise regler for å sikre at amerikanske myndigheters tilgang til bruk av opplysninger overført til USA i «Safe Harbor» regi ble underlagt begrensinger basert på krav om proposjonalitet og med muligheter for «effective judicial review». Domstolen kom til at «Safe Harbor»- beslutningen urettmessig undergravde nasjonale tilsynsmyndigheter kompetanse (forankret i personverndirektivets art. 28) til å vurdere hvorvidt en tilstrekkelighetsvurdering foretatt av kommisjonen er i samsvar med beskyttelse av privatliv og andre grunnleggende menneskeretter.
«Safe Harbor» dannet grunnlag for at over 4,000 virksomheter (inklusiv Facebook, Google, Microsoft, Amazon og en rekke andre store amerikanske selskaper) kunne behandle personopplysninger overført fra Europa. Det var derfor nødvendig for EU å raskt vedta et nytt rammeverk for utveksling av personopplysninger mellom EU og USA.
Oslo, 11.08.2016