EU inntar en robust holdning til konsekvensene av Safe Harbor og konstaterer at massiv og tilfeldig overvåkning ikke er i samsvar med EUs regelverk for personvern. Dersom det ikke er funnet en tilfredsstillende løsning med USA innen utgangen av januar 2016, er det varslet at datatilsynsmyndighetene i EU/EØS vil følge opp, også med sanksjoner. Blir det tilfellet, kan det få store konsekvenser for næringslivet, for eksempel gjennom omfattende pålegg om endring, overtredelsesgebyr eller tvangsbøter til de virksomhetene som overfører personopplysninger til USA uten lovlig grunnlag. 

FAKTA:
Safe Harbor er en EU-godkjent ordning som har lagt til rette for overføring av personopplysninger til virksomheter i USA. Den har – frem til nå – blitt ansett som en tilstrekkelig garanti for vern av personopplysninger etter norsk og europeisk lovgivning og benyttes av over 4000 selskaper. Konsekvensene av endringen i status kan derfor være at amerikanske myndigheter får tilgang til norske borgeres personopplysninger lagret hos amerikanske selskaper. 

Får dette konsekvenser for din bedrift?

Standpunktet fra EU påvirker også norske virksomheter og vil forby selskaper å overføre persondata til land utenfor EU/EØS såfremt disse ikke sikrer et forsvarlig personvern. Dersom din virksomhet benytter seg av programvare, skytjenester eller løsninger hvor personopplysninger lagres i USA, vil dere kunne bli påvirket av vedtaket. For eksempel benytter mange norske virksomheter et HR eller CRM-system som lagrer data om ansatte og kunder hos en leverandør i USA. 

Datatilsynet har understreket at enhver overføring av personopplysninger basert på «Safe Harbor» til USA nå er ulovlig, og at virksomheter berørt av endringen umiddelbart må finne andre måter å gjøre dette på.

Den foreløpige løsningen norske bedrifter kan benytte er EUs standardkontrakter for overføring av personopplysninger til USA eller «bindende konsernregler for overføring». Standardavtalene forplikter den amerikanske mottakeren til å behandle opplysningene i samsvar med de regler som gjelder i EU og EØS. I tillegg gis nasjonale tilsynsmyndigheter, som det norske Datatilsynet, rett til å gjennomføre tilsyn hos den amerikanske aktøren. For å unngå utfordringene med overføring til USA, kan det derfor hende at flere amerikanske selskaper velger å etablere datasentre i Europa.  

Hva skjer videre – hva bør din bedrift gjøre nå?

Til tross for en klar dom over «Safe Harbor» er saken på ingen måte endelig avgjort. EU fortsetter sitt arbeid med å vurdere dommens konsekvenser, og både amerikanske og europeiske selskaper som er avhengige av dataoverføring til USA vil søke etter andre lovlige måter å gjøre dette på. Nasjonale tilsynsmyndigheter har også begynt med oppfølging av selskaper som overføreropplysninger om europeiske borgere til USA, først ut var Irland med sin etterforskning av Facebook.

Inntil videre anser norske tilsynsmyndigheter at EUs standardavtaler eller andre lovlige grunnlag, som for eksempel bindende konsernregler, kan benyttes. Men, dette vil ikke være til hinder for at nasjonale myndigheter kan undersøke enkeltsaker, for eksempel på grunnlag av klager, og iverksette tiltak for å beskytte personopplysninger.

Norske virksomheter bør vurdere risikoen ved overføring av persondata til USA og benytte både avtaleverk og tekniske løsninger som reduserer risiko og som er i henhold til regelverket. Til tross for at det eksisterer alternativer til «Safe Harbor» i dag, er det likevel ingen garanti for at ikke EU eller nasjonale tilsynsmyndigheter kommer frem til at de samme utfordringene også gjelder for disse metodene. Bedrifter i Norge som overfører personopplysninger til amerikanske aktører må følge utviklingen nøye. Dette gjelder både for overføring av ansatte- og kundeopplysninger, men også andre personopplysninger.

Tekst: Kari Gimmingsrud, partner i Advokatfirmaet Haavind