Gå til Hovedinnhold Gå til Navigasjon

Overføring av personopplysninger til USA - nytt regime!

EU-domstolen har slått fast at Safe Harbor-avtalen ikke lenger kan benyttes til å overføre personopplysninger til USA. EU-domstolen avsa 6. oktober 2015 dom i sak C-362/14. Saken gjaldt gyldigheten av EU-kommisjonens vedtak 2000/250.
Offentlig sektor IKT og immaterialrett

Kommisjonsvedtaket innebærer en godkjenning av USA som et sikkert land å overføre personopplysninger til, dersom virksomheten som mottar personopplysninger er sertifisert under Safe Harbor-avtalen. EU-domstolens avgjørelse innebærer at Safe Harbor-avtalen ikke lenger kan benyttes til å overføre personopplysninger til USA. Datatilsynet har på sin hjemmeside meddelt at fra og med 6. oktober 2015 kan ikke selskaper som overfører personopplysninger fra europeiske land til USA benytte avtalen.

Safe Harbor-ordningen og EU-domstolens avgjørelse

EU og USA inngikk i 2000 Safe Harbor-avtalen med hjemmel i personverndirektivets artikkel 25 (6). Avtalen innebærer at virksomheter i EU/EØS fritt kan overføre personopplysninger til virksomheter i USA, forutsatt at virksomheten i USA er selvsertifisert under Safe Harbor-ordningen. Selvsertifiseringen innebærer at den amerikanske virksomheten forplikter seg til å overholde kravene som er stilt i EUs personverndirektiv. Det foretas imidlertid ingen kontroll av om den amerikanske virksomheten rent faktisk overholder EUs personvernkrav.

EU-domstolens avgjørelse har sitt utspring i et søksmål anlagt av den østerrikske studenten Maximillian Schrems mot det irske datatilsynet. Schrems klaget Facebooks irske datterselskap inn for det irske datatilsynet, med krav om at Irland skulle forby Facebook Ireland å overføre hans personopplysninger til Facebooks morselskap i USA. Det irske datatilsynet tok aldri klagen til realitetsbehandling, i det EU i nevnte kommisjonsvedtak hadde vedtatt at USA var et sikkert land å overføre personopplysninger til.

EU-domstolen foretar to prinsipielle avklaringer i sin avgjørelse. For det første uttaler EU-domstolen at de nasjonale datatilsynene må vurdere hvorvidt tredjeland har et tilfredsstillende beskyttelsesnivå. EU-domstolen fant således at EU-kommisjonen ikke hadde hjemmel i personverndirektivet til å fastsette – med bindende virkning for medlemsstatene – at USA var et sikkert land å overføre personopplysninger til. For det andre fant EU-domstolen at kommisjonsvedtaket var ugyldig. I sin vurdering la EU-domstolen vekt på at Kommisjonen ikke hadde vurdert om USA rent faktisk sikrer et tilfredsstillende beskyttelsesnivå av personopplysninger, og at Safe Harbor ikke er bindende for amerikanske myndigheter som sådan, men kun for amerikanske virksomheter. Endelig ble det lagt vekt på at kommisjonsvedtaket fratar europeiske borgere som har fått sine personopplysninger overført til USA, muligheten til å prøve lovligheten av behandlingen av personopplysninger.

Konsekvenser for norske virksomheter

Avgjørelsen fra EU-domstolen innebærer at Safe Harbor-avtalen ikke lenger kan benyttes. Nasjonale datatilsyn – blant annet det norske Datatilsynet – kan imidlertid fortsatt kunne finne at Safe Harbor-avtalen er tilstrekkelig som overføringsgrunnlag. Foreløpig har ikke Datatilsynet tatt stilling til dette.

Norske virksomheter må nå ha et annet grunnlag enn Safe Harbor-avtalen for å overføre personopplysninger til USA. Dersom den norske virksomheten er en del av et konsern, kan personopplysninger overføres med hjemmel i bindene konsernregler (Binding Corporate Rules). Alternativt kan EUs standardkontrakter benyttes.