Etter at Schrems II-dommen ugyldiggjorde Privacy Shield, har virksomheter i EØS og USA stått uten et tilfredsstillende rammeverk for overføring av personopplysninger mellom EØS og USA. Europeiske virksomheter som benytter amerikanske skytjenester, kan fortsatt benytte EUs Standard Contractual Clauses som grunnlag, men er selv ansvarlig for å dokumentere spesifikke tiltak som hindrer tilgang fra myndighetene i USA. Virksomhetene står derfor overfor stor regulatorisk risiko og usikkerhet.
Som svar på denne utfordringen kom EU-kommisjonen i vår til enighet med USA om premissene for å etablere ett nytt overføringsrammeverk kalt «The Trans-Atlantic Data Privacy Framework» for overføringer til USA. Rammeverket er ennå ikke ferdigstilt, og det rår fremdeles usikkerhet rundt hvordan virksomheter praktisk kan overføre personopplysninger mellom EØS og USA. Hva bør virksomheter gjøre i mellomtiden?
Usikkerhet om rammeverket
Det er estimert at det nye rammeverket vil komme mot slutten av 2022, men noen offisiell dato er ikke offentliggjort. Det er rimelig å anta at det vil komme til å ta lengre tid. Innholdet i rammeverket er ikke publisert, og vi vet ikke hvor langt arbeidet er kommet. I tillegg er det usikkert om rammeverket vil overleve en eventuell overprøving i EU-domstolen, som NOYB og Max Schrems har varslet vil komme. Det nye rammeverket må håndtere de samme juridiske utfordringene som felte forgjengerne Privacy Shield og Safe Harbour.
Foreløpig har USAs myndigheter opplyst at Trans-Atlantic Data Privacy Framework ikke vil innebære endringer i overvåkningslovene som EU-domstolen fant for inngripende. Det er dermed ikke utenkelig at Trans-Atlantic Data Privacy Framework vil lide samme skjebne som sine forgjengere, når NOYB tar saken til retten.
Komplisert mellomfase
Men uansett – inntil et nytt rammeverk er på plass, må virksomheter som ønsker å overføre personopplysninger til USA i henhold til Schrems II-dommen, sørge for at ytterligere sikkerhetstiltak er på plass og vurdere om tiltakene gir tilstrekkelig sikkerhet for lovlig overføring. I praksis innebærer dette i dag å inngå EUs nylig oppdaterte standardklausuler med tilhørende konsekvensvurdering av overføringen (gjerne omtalt som Transfer Impact Assesment, «TIA»), og om nødvendig supplere med kryptering og andre tiltak.
SCC og TIA
Årsaken til dette er at EU-domstolen i Schrems II-dommen opprettholdt adgangen til å benytte EUs standardklausuler for overføring til tredjeland (SCC), gitt at virksomheter som baserer seg på SCC foretar en konkret konsekvensvurdering om at SCC-ene gir et tilstrekkelig beskyttelsesnivå i praksis. Vurderingen er i midlertidig komplisert og vil kunne resultere i at overføring ikke lar seg gjøre uten betydelige ekstrakostnader eller ikke lar seg gjøre i det hele tatt.
Romjulen er fristen for å oppdatere
EU-kommisjonen har i kjølvannet av Schrems II-dommen vedtatt oppdaterte SCC-er. Det kan nå ikke inngås standardklausuler på de eldre malene, og eksisterende kontraktsforhold bygget på de eldre SCC-ene vil kun være gyldige frem til 27. desember 2022. Virksomheter som ennå ikke har oppdatert sine SCC-er, bør derfor sørge for å sjekke dem nå og oppdatere dem før fristen oversittes.
Komplisert risikovurdering
Et krav i de nye SCC-ene er imidlertid at partene må forsikre seg om at de ikke har grunn til å tro at rettslige krav eller praksis i landet utenfor EØS hindrer dataimportøren fra å oppfylle sine personvernforpliktelser i henhold til kontrakten. I denne forbindelse må partene ta i betraktning en rekke kompliserte spørsmål som de spesifikke omstendighetene ved overføringen, lovene og praksisene i tredjelandet og relevante kontraktsmessige, tekniske og organisatoriske sikkerhetstiltak for å supplere kontraktbestemmelsene.
Siden det ikke bare forventes vurdering av lovgivningen i tredjelandet, men også gjeldende praksis, må virksomheter som ønsker å overføre personopplysninger til tredjeland, foreta en omfattende vurdering av tredjelandets rettssituasjon. Dette er både en krevende og dyr øvelse som det sjelden er realistisk at mindre virksomheter gjennomfører.
Hva nå?
Det er på høy tid at det kommer på plass en overføringsordning som letter transatlantiske overføringer av personopplysninger. Inntil videre er en ny rammeordning ikke på plass, og virksomheter må fremdeles lene seg på SCC-er med tilhørende TIA. En mager trøst er at slike vurderinger begynner å bli mer strømlinjeformet, men tilgang på ekspertise er knapp og kostbar.
Dersom «The Trans-Atlantic Data Privacy Framework» blir vedtatt før romjulen, vil oppdateringen være unødvendig. Men så lenge man ikke vet hvorvidt disse blir vedtatt før romjulen, må oppdateringen gjøres. Fordelen er at man også vil ha et overføringsgrunnlag for det tilfelle at EU-domstolen også underkjenner de nye reglene. Virksomheter som likevel velger, eller er tvunget til, å vente på et nytt overføringsrammeverk fremfor å bruke SCC-er, står derfor i fare for å bryte GDPR.
Ikke rett frem å skrape data