Overføring av personopplysninger til USA lovlig etter EUs standardbestemmelser?

Merk at denne artikkelen er mer enn ett år gammel, så det kan være endringer i regelverket som kan ha betydning for artikkelens innhold.

I går – 3. oktober – avgjorde Irlands høyesterett at det skal fremmes sak for EU-domstolen om vurdering av lovligheten for overføring av personopplysninger fra EU til USA på grunnlag av EUs standardbestemmelser.

For nær 2 år siden avgjorde EU-domstolen at den såkalte Safe Harbor-avtalen mellom EU og USA om overføring av personopplysninger ikke var gyldig, siden avtalen ikke gir tilstrekkelig sikkerhet for at personopplysninger ikke vil bli overført til amerikanske myndigheter under det såkalte PRISM-programmet (masseovervåkingsprogrammet som ble avslørt av Edward Snowden).

Bakgrunnen for saken var en østerrisk jusstudent, og senere jurist, Max Schrems, som mente at hans personopplysninger som var avgitt til Facebook ikke kunne overføres lovlig fra Facebooks irske datterselskap til Facebooks datasentre og morselskap i USA. Schrems mener at hans personopplysninger ikke ble behandlet med tilstrekkelig sikkerhet i USA, og at derfor overføringen under Safe Harbor-avtalen derfor ikke var lovlig grunnlag for overføring av personopplysninger til USA. EU-domstolen fant som nevnt at overføring til USA ikke var lovlig, siden amerikanske myndigheter kunne få tilgang til opplysningene, og derfor ble Safe Harbor-avtalen ikke lenger et lovlig grunnlag for overføring til USA.

Safe Harbor-avtalen ble senere erstattet av Privacy Shield-avtalen, som ennå ikke er vurdert av EU-domstolen (men det vil sikkert skje). Facebook benyttet imidlertid de såkalte EUs standardbestemmelser (EC Standard Contract Clauses eller Model Clauses) etter Safe Harbor-avtalen ikke lenger var gyldig grunnlag, og nå det Irske datatilsynet (siden Facebook behandler personopplysninger i Irland, og det er fra her personopplysningene overføres til USA) fått medhold i Irlands høyesterett om at EU-domstolen skal også vurdere lovligheten av EUs standardbestemmelser. Schrems mente imidlertid at det Irske datatilsynet skulle kun ha nektet Facebook å overføre opplysningene (som datatilsynet har hjemmel til i standardbestemmelsene), men domstolen fant at EU-domstolen bør behandle om EUs standardbestemmelser generelt er å anse som ulovlige (derfor er både Schrems og Facebook oppført som saksøkere i saken, ironisk nok).

Det vil nok ta noe tid før EU-domstolen vurderer saken, så EUs standardbestemmelser kan fortsatt benyttes. Om domstolen finner at EUs standardbestemmelser ikke er lovlig, så vil nok selskaper som eksporterer personopplysninger fra EU til USA få noe tid til å etablere annet grunnlag. Men utfordringen er at det kan bli få lovlig grunnlag for overføring dersom EUs standardbestemmelser ikke er gyldige, og virksomheter som baserer seg på overføring i stort omfang på standardbestemmelsene bør vurdere hvordan de skal innrette seg dersom standardbestemmelsene blir funnet ugyldige.

For de som er interesserte, så finnes hele dommen her

Om forfatteren

Jan Sandtrø er advokat som bistår klienter i forholdet mellom juss og teknologi. Han har lang erfaring med teknologirett, herunder it-kontrakter og personvern. Jan Sandtrø kan kontaktes på jan@sandtro.no eller +4799731934.

Bruk gjerne artikkelen eller innhold i denne videre, men kun med henvisning til artikkelforfatteren (gjerne link til sandtro.no).

For å få oppdateringer abonner på varsler i menyen til venstre eller på LinkedIn ved å klikke her, og velg “Følg”.

Legg inn en kommentar