Har du personopplysninger som er lagret i USA under privacy shield? EU-domstolen har nok en gang konkludert med at EUs løsninger for overføring av personopplysninger til USA er i strid med GDPR!
Privacy shield gir ikke god nok beskyttelse
16. juli fattet EU-domstolen en avgjørelse i saken om Facebook Irelands lagring av personopplysninger i USA, den såkalte Schrems 2-dommen. Det er andre gang domstolen behandler spørsmålet om overføring av personopplysninger til USA. I Schrems 1-dommen fra 2015 erklærte EU-domstolen at den daværende hjemmelen for overføring av personopplysninger til USA – safe harbour – var ulovlig. EU godkjente deretter en ny mekanisme for overføring av personopplysninger til USA – privacy shield. EU-domstolen har nå slått spikeren i kista også for den løsningen.
Bakgrunnen for sakene er et søksmål fra Maximilliam Schrems, en facebook-bruker fra Østerrike. Han ønsket å forhindre at Facebook Ireland – som er ansvarlig for de europeiske facebook-kontoene - overfører personopplysninger til Facebook Inc. sine servere i USA. Schrems mente at amerikansk lov ikke gir god nok beskyttelse mot at offentlige myndigheter får tilgang til personopplysningene. Kort og upresist oppsummert er EU-domstolen enig i dette.
Alternativ hjemmel for overføring av personopplysninger
GDPR angir flere muligheter for overføring av personopplysninger til tredjeland. En mulighet er å inngå avtale basert på EUs standardvilkår (SCC/model clauses).
EU-domstolen aksepterer fortsatt bruk av SCC som en hjemmel for overføring av personopplysninger til tredjeland, men stiller krav om at selskapene må vurdere fra sak til sak om det aktuelle tredjelandet har tilstrekkelig regelverk for å beskytte personopplysningene. Hvis regelverket ikke er tilstrekkelig, må det iverksettes særlige tiltak eller overføring av personopplysninger må opphøre.
Dette, sett i sammenheng med at domstolen konkluderer med at USAs regelverk gir for dårlig beskyttelse, gjør at det er noe uklart hvordan man skal gå frem for å oppfylle kravene ved inngåelse av SCC. Vi må regne med at det vil komme klargjørende uttalelser om dette i tiden fremover. I mellomtiden bør alle som lagrer personopplysninger i USA forberede seg på at man må iverksette tiltak for å bringe avtalene i samsvar med GDPR.
Advokatfirmaet Berngaard rådgir både kunder og leverandører i alle aspekter ved IT-kontrakter og personvern.