Overføring av personopplysninger til USA og bruk av amerikanske leverandører – hva nå?

10. juli kom nyheten om at EU-kommisjonen har godkjent at USA har tilstrekkelig beskyttelsesnivå for personopplysninger etter rammeverket «EU-US Data Privacy Framework» (DPF) ble inngått.

Det er da et lovlig grunnlag for overføring av personopplysninger til USA til virksomheter som har sertifisert seg selv, og som kan erstatte EUs standard kontraktsbestemmelser (SCC).

Men det er ikke allikevel ikke rett frem å overføre til USA eller bruke amerikanske/amerikansk eid leverandører, så her er en enkel oversikt for hvordan gå frem:

1. Kontroller at mottaker er sertifisert (søk her: https://www.dataprivacyframework.gov/s/participant-search). Bør gjøres for både eksisterende og nye mottakere.

Mottaker må være sertifisert for riktig opplysninger: «HR Data» er opplysninger om egne (og tidligere) ansatte som behandles som følge arbeidsgiverforhold. «Non-HR Data» er alle andre personopplysninger, som gjelder bl.a. databehandlere.

Kontrollér at riktig juridiske enhet er sertifisert (samme navn i sertifisering som i avtalen) og har status «Active».

Også underleverandører (sjekk databehandleravtalen) som mottar personopplysninger må være sertifisert. Enkelte selskap har tatt forbehold i avtalene om å overføre personopplysninger til USA selv om de er etablert innenfor EØS (som bl.a. AWS og Microsoft) og må datterselskaper må også være sertifiserte.

2. Informasjon om sertifiseringen skal tas inn i personvernerklæring (innen 17. oktober 2023) for mottakeren i USA, og denne skal ha en mekanisme for å løse tvister om behandlingen.

3. Sertifisering gjelder ett år av gangen: Legg inn kontroll av sertifisering i kalenderen for når sertifisering utløper.

4. For selskap som ikke er sertifisert, er det fremdeles mest aktuelt å bruke SCC som overføringsgrunnlag. Da gjelder fremdeles kravene etter Schrems II-dommen, dvs. det må foreligge særlige tiltak for å sikre personopplysningene. Men pga. DPF er det også enklere å bruke SCC til overføring til selskaper som ikke er sertifisert, siden tiltakene under DPF i USA også gjelder for ikke-sertifiserte selskap. Risikovurderingen for overføring må da oppdateres.

5. Protokoll etter GDPR artikkel 30, personvernerklæring, databehandleravtaler mv. må oppdateres med informasjon om at DPF benyttes som grunnlag.

6. De øvrige kravene til behandling etter personverneregelverket gjelder selvsagt fremdeles, og det må være lovlig grunnlag for behandling, det må gjøres risikovurderinger, dokumentasjon må foreligge, databehandleravtaler inngås osv.

DPF er lovlig grunnlag for overføring per i dag, men Max Schrems vil utfordre DPF i EU-domstolen. Det vil mest sannsynlig komme en Schrems III-dom, men hva som vil bli resultatet av dommen er usikkert. Uansett bør man være forberedt, og derfor vurdere å bruke leverandører innenfor EØS eller innføre tiltak for å sikre behandlingen (minimering, kryptering osv.) ved behandling utenfor EØS.

Kurs for smu00e5 og mellomstore bedrifter