Bakgrunn: Schrems II-avgjørelsens innvirkning
Den såkalte “Schrems II-avgjørelsen” i 2020 sørget for at "Privacy Shield"-rammeverket ble opphevet. Avgjørelsen kom som et resultat av bekymringer knyttet til amerikanske myndigheters overvåkning av europeiske borgeres data, og manglende juridiske beskyttelsesmekanismer for europeiske borgere ved slik overvåkning.
Avgjørelsen førte til at virksomheter som overførte personopplysninger til USA plutselig stod overfor et komplekst juridisk landskap der overføringer ble ulovlige “over natten”. Alle som hadde innrettet seg etter Privacy Shield-ordningen måtte brått revurdere alle overføringer, finne nye lovlige overføringsgrunnlag eller stanse overføringen, og gjennomføre relativt krevende vurderinger av databehandleren i USA.
Les også: Dette må du huske når du lagrer regnskapet i skyen
DPF: En løsning på utfordringen?
Etter lang tid med forhandlinger ble det enighet om det nye rammeverket DPF (EU-US Data Privacy Framework). Dette ble godkjent av EU-kommisjonen med virkning fra 10. juli 2023. Det nye rammeverket forsøker å håndtere en del av de manglene som ble påpekt i Schrems II-avgjørelsen, blant annet ved å opprette klageinstanser for de registrerte og nye retningslinjer for myndighetenes håndtering av europeiske borgeres data.
Hvordan bruke DPF i 4 steg:
- Sjekk sertifisering: Sørg for at mottakeren av opplysningene er DPF-sertifisert. Dette kan sjekkes på DPFs offisielle nettsted. Husk å kontrollere at mottaker er godkjent for den typen data som overføres. Her skilles det mellom HR-opplysninger og andre opplysninger.
- Undersøk underleverandører: Finn ut hvilke underleverandører mottakeren benytter og om disse har tilgang til opplysningene. Om så er tilfellet, forsikre at disse også har DPF-sertifisering. Her kan det være et tips å se på databehandleravtalen for å få oversikt over underleverandørene.
- Oppdater dokumentasjon: All relevant dokumentasjon og informasjon må oppdateres med DPF som nytt overføringsgrunnlag. Dette gjelder f.eks. kartlegginger, databehandleravtaler og personvernerklæringer.
- Rutine for oppdatering: DPF-sertifisering gjelder for ett år ad gangen. Sørg for en rutine hvor DPF-sertifiseringene sjekkes årlig.
Usikkerheten fremover
DPF representerer en viktig utvikling for dataoverføring mellom EU og USA. Men, det hersker fortsatt en følelse av usikkerhet i juridiske miljøer. Kritikerne, blant dem Max Schrems og hans organisasjon NOYB, mener det nye rammeverket i praksis er tilnærmet likt de forrige rammeverkene og at også dette vil bli underkjent av EU-domstolen. Schrems har varslet søksmål.
Siden DPF ikke er prøvd i domstolene og at det ikke kan utelukkes at en “Schrems III”-avgjørelse vil oppheve dette rammeverket også, bør virksomheter ha en beredskapsplan. Dette innebærer å være forberedt på å måtte bytte til standardbestemmelser (SCCs) eller andre overføringsgrunnlag på kort varsel. Spillereglene forandrer seg raskt, og det er derfor avgjørende å være forberedt på alle eventualiteter.
Få aktuelle nyheter innen personal, regnskap, økonomi og personvern. Meld deg på vårt nyhetsbrev og følg Sticos på Facebook og LinkedIn