Har din virksomhet blitt kontaktet av Datatilsynet?

Har din virksomhet blitt kontaktet av Datatilsynet?

En ny dom ugyldiggjør det 15 år gamle rettslige grunnlaget for overføring av personopplysninger til USA.

Safe Harbor-dommen av 6. oktober har fått mye oppmerksomhet fordi den kjente ugyldig den beslutningen som i mer enn 15 år for mange har dannet det rettslige grunnlaget for overføring av personopplysninger til USA. Verdt å merke seg er også at dommen har tilbakevirkende kraft, slik at de som tidligere har brukt Safe Harbor som grunnlag for overføring av personopplysninger til USA aldri har hatt gyldig grunnlag.

Dommen innebærer ikke at all overføring av personopplysninger automatisk blir forbudt, men fysiske og juridiske personer som overfører slike opplysninger må forankre overføringen i et annet grunnlag enn at mottaker i USA er Safe Harbor-sertifisert.

Over hundre virksomheter blir i disse dager kontaktet av Datatilsynet fordi de har meldt fra om at overføring av personopplysninger har skjedd på grunnlag av Safe Harbor. Sannsynligvis er det langt flere virksomheter som overfører personopplysninger til USA, men ikke er kjent for Datatilsynet. Løsningen på hvordan virksomhetene nå skal sikre at overføringene ikke er lovstridige er enten å gjøre bruk av EUs standardkontrakter eller Binding Corporate Rules (BCR). Merk at EUs standardkontrakter også er til vurdering og kan bli vurdert som ikke å gi godt nok vern for den registrerte.

EUs standardkontrakter forutsetter imidlertid at grunnvilkårene for behandling av personopplysninger til oppfylt og, ikke minst, at den behandlingsansvarlige må gjennomføre en risikovurdering for å kartlegge om risikoen knyttet til behandlingen av personopplysningene er akseptabel. En slik risikovurdering må skje på konkret grunnlag, og ved endringer som har betydning for informasjonssikkerheten må en ny vurdering foretas. Merk at en slik risikovurdering kan resultere i at din virksomhet behandler personopplysninger av en slik karakter at det ikke er forsvarlig å overføre personopplysninger til USA, uavhengig av hvilket grunnlag som benyttes. Først når grunnkravene er oppfylt og risikoen er akseptabel, kan overføring av personopplysninger skje på grunnlag av EUs standardkontrakter.

Skulle mottaker av dine personopplysninger informere om at de har flyttet til EU for å unngå hele problematikken med overføring av personopplysninger, er dette veldig bra. Sørg imidlertid for at skyleverandøren også forplikter seg til å følge europeisk lovgivning.

Signalene om at det forventes en ny Safe Harbor-avtale innen kort tid, ble forsterket ved EU-kommisjonens pressemelding denne uken om at det i prinsippet kun er tekniske detaljer som gjenstår. For at avtalen skal kunne inngås, må det imidlertid bringes helt på det rene at den er i tråd med Safe Harbor-dommen, i tillegg til at amerikansk lovgivning må endres. En lovlig overføring av personopplysninger til USA synes derfor enn så lenge å måtte basere seg på EUs standardavtaler eller BCR.

Har din virksomhet mottatt et brev fra Datatilsynet, eller ønsker du mer informasjon om de vurderinger som må foretas og de vilkår som må oppfylles, kontakt oss gjerne:

Erik Øxnevad-Larsen, partner og advokat i Deloitte advokatfirma Stavanger: tlf: +47 992 45 619

Bjørn Ofstad, director og advokat i Deloitte advokatfirma: tlf. +47 928 00 216

Ahn Cecilie Karlsrud, senior manager og advokat i Deloitte advokatfirma: tlf. + 47 908 45 562

Skrevet av Bjørn Ofstad Se alle poster fra denne forfatteren →

Bjørn er plassert i Deloittes arbeidsrettsgruppe og har mer enn 10 års erfaring med håndtering av arbeidsrettslige- og personvernrettslige problemstillinger, også fra tiden før han begynte i Deloitte da han jobbet som juridisk rådgiver i Datatilsynet. Legal 500, en av verdens mest prestisjefylte rangeringer av advokatfirmaer, har i 2013 rangert Bjørn Ofstad som en av de beste arbeidsrettsadvokatene i Norge. Bjørn er sensor ved det juridiske fakultet, universitet i Oslo, innenfor arbeidsrett.

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *