Merk at teksten nedenfor er ikke oppdatert siden 8. august 2020, og innholdet kan være endret som følge av endringer i regelverket eller annet. For oppdatert informasjon, les eller abonner på mine nyhetsbrev.
Privacy Shield er dødt og overføring må stanses umiddelbart. Alternativet er EUs standardbestemmelser (Standard Contract Clauses – SCC), men det er krav i Schrems II-dommen for bruk av SCC – se oversikt her.
1. Før inngåelse av SCC og overføring til land utenfor EØS (tredjeland), må personvernet i landet det skal overføres til og selskapet som mottar (databehandler) vurderes.
2. Selskapet bør bidra med informasjon:
– Om selskap i USA er underlagt Section 702 FISA and EO 12333, som vil normalt forhindre overføring.
– Bekrefte at behandlingen skjer etter GDPR + relevante personvernregler, samt SCC og databehandleravtalen.
3. Gjør en konkret vurdering om:
– Gir lovgivningen i landet tilstrekkelig vern for behandlingen tilsvarende som innenfor EØS (her vil selskaper i USA normalt ikke nå opp).
– Forholdene knyttet til overføringen og selskapets etterlevelse av personvernreglene (ut over SCC).
4. Er vurderingen negativ:
– Tiltak som kan iverksettes i tillegg til SCC som får personvernet opp på nivået som gjelder innenfor EØS vurderes. EUs personvernråd (EDPB) kommer med veiledning om slike ekstra tiltak.
– Er ikke ekstra tiltak tilstrekkelig etter en konkret vurdering, kan ikke overføring under SCC gjøres.
– Fortsatt overføring må meldes til Datatilsynet.
5. Dokumentér vurderingen, dvs. skriv ned og bevar.
Oversikt over situasjonen for overføring til tredjeland per i dag: