Norske virksomheter kan overføre personopplysninger fritt innad i EØS, mens det som hovedregel er forbudt å overføre personopplysninger ut av EØS. EU-kommisjonen kan imidlertid fatte beslutning om at noen land og områder har et tilstrekkelig beskyttelsesnivå for personopplysninger (en såkalt adekvansbeslutning)
Hvis EU-kommisjonen har fattet en slik beslutning, kan man overføre personopplysninger til området. Overføringsgrunnlag eller godkjenning fra Datatilsynet er da ikke nødvendig. Overføringen vil være sammenlignbar med overføringer mellom land innenfor EØS.
Oppdatert liste over land med tilstrekkelig beskyttelsesnivå finner du på EU-kommisjonens nettsider her.
Tidligere kunne man fritt sende personopplysninger til USA gjennom Privacy Shield-rammeverket, men dette vedtaket ble opphevet av EU-domstolen i Schrems II-dommen i juli 2020, som sa at amerikansk etterretning gikk lenger enn det som var nødvendig og forholdsmessig og at personer i EØS savnet effektive rettsmidler under Privacy Shield. Beskyttelsesnivået for personopplysninger var for lavt. Konsekvensen av dette var at det i utgangspunktet ble forbudt å overføre personopplysninger til USA.
EU og USA har siden vært i forhandlinger. Nå, etter om lag tre år, har EU og USA forhandlet frem et nytt rammeverk, kalt EU-U.S. Data Privacy Framework. Den 10. juli 2023 vedtok EU-kommisjonen en adekvansbeslutning som innebærer at hvis en amerikansk virksomhet står på lista over godkjente virksomheter, kan det overføres personopplysninger til den som om det var en europeisk virksomhet. EU-kommisjonen har bestemt at reglene i det nye rammeverket i hovedsak tilsvarer europeiske personvernregler. Kommisjonen har også vurdert amerikanske lover og praksiser og kommet frem til at de ikke gjør unntak fra personvernet i større grad enn nødvendig og forholdsmessig.
What’s in it for me?
Tidligere måtte du ha et overføringsgrunnlag, for eksempel ved å inngå en kontrakt med standard personvernbestemmelser (SCC) vedtatt av EU-kommisjonen med den aktuelle virksomheten. I tillegg måtte du vurdere beskyttelsesnivået for personopplysninger og eventuelt iverksette ytterligere tiltak. Schrems II-dommen understreket at man alltid må undersøke om beskyttelsesnivået i praksis vil bli undergravd av forhold i tredjelandet, for eksempel overvåkingslover som går lenger enn det som er nødvendig og proporsjonalt. Disse vurderingene kan være vanskelige og medfører som regel en del praktiske utfordringer.
Nå trenger man ikke lenger ha et overføringsgrunnlag, vurdere beskyttelsesnivå eller iverksette tilleggstiltak. EU-kommisjonen har allerede vurdert amerikansk lovgivning og praksiser i adekvansbeslutningen. Forutsatt at virksomheten du skal overføre til ikke er underlagt andre lover enn det vanlige, kommersielle amerikanske virksomheter er.
Adekvansbeslutningen omfatter bare virksomhetene som er sertifisert og som står på denne lista. Du kan med andre ord lovlig overføre personopplysninger til en av disse virksomhetene, forutsatt at du forholder deg til alle de andre pliktene i personvernforordningen. Det er altså ikke slik at det nå er fritt fram å ta i bruk amerikanske skytjenester.
- Det skal gjennomføres en risikovurdering. Det vil si at du må ha gjort nødvendige vurderinger ved anskaffelsen av skytjenesten.
- Det kan være behov for å gjennomføre en personvernkonsekvensvurdering (DPIA) dersom personvernreglene krever dette.
- Du må følge prinsippene om innebygget personvern. Det vil si at tjenesten må være dokumentert, og være teknisk og prosessuelt tilpasset personvernkravene deres virksomhet har til personvern.
I tillegg til er det mange andre ting som bør vurderes og gjennomføres før dere tar i bruk en skytjeneste.
Ta gjerne kontakt med Adrian, Cybersikkerhetsrådgiver i Knowit, hvis du vil vite mer, har spørsmål som gjelder personvern og informasjonssikkerhet, eller dele dine synspunkter rundt dette.
Kontakt Stig Olav, Kundeansvarlig i Knowit Experience Oslo, dersom dere trenger hjelp med vurdering eller tilpasning av behandling av personopplysninger i skytjenester, eller har andre behov relatert til personvern.