Merk at teksten nedenfor er ikke oppdatert siden 17. juli 2020, og innholdet kan være endret som følge av endringer i regelverket eller annet. For oppdatert informasjon, les eller abonner på mine nyhetsbrev.
EU-domstolen underkjenner EU-US Privacy Shield siden USA anses ikke å ha tilstrekkelig personvern (den såkalte Schrems II saken). Det legges også føringer på bruk av Standard Contract Clauses (SCC) i dommen.
Det som må gjøres nå er:
- Sjekk om leverandører (eller underleverandører) behandler personopplysninger i USA. Dette skal stå i databehandleravtalen, og det må sjekkes at databehandleravtalen er dekkende for overføringer ut av EØS-området (om det skal skje).
- Sjekk om overføringen til USA er basert kun på Privacy Shield (noen leverandører benytter flere grunnlag).
- Hvis ja, få på plass nytt grunnlag for overføring til USA, som EU standardbestemmelser (SCC) for overføring til tredjeland (men her stiller dommen opp krav til vurdering av om SCC kan benyttes, som vurdering av tredjelandets personvernbeskyttelse) eller sørg for at behandlingen skjer innenfor EØS-området (som ved å bytte leverandør).
Dommen gir også føringer for hvordan SCC skal håndteres. I følge dommen så skal databehandler/data exporter vurdere om praksis og lovgivningen i det land som personopplysningene overføres til er i strid med de bestemmelser i GDPR som gir personopplysningene tilstrekkelig nivå for sikker behandling av personopplysninger, spesielt om myndighetene i det landet hvor opplysningene overføres har tilgang til personopplysningene.
Dette er ingen enkel oppgave for alle de selskaper som benytter databehandlere i tredjeland under SCC. Det ser ut til at domstolen her retter krave spesielt mot bruk av SCC overfor USA, siden ordlyden i kravet er ganske likt som begrunnelsen for å underkjenne Privacy Shield, så det er egentlig noe merkelig at domstolen ikke sier rett ut at SCC ikke kan brukes mot USA. Men det er kanskje for å gi USA en åpning for å ordne dette før eventuelt SCC også bortfaller.
Mitt råd er at man sitter stille hva gjelder SCC, og avventer veiledning fra EUs personvernråd (EDPB), Datatilsynet eller endringer i SCC fra EU-kommisjonen.
Oppdatering: For det som skal gjøres dersom SCC skal benyttes, se her.
Mer informasjon: