Nå er det enklere å overføre persondata til USA – men er leverandøren din kvalifisert?
Usikkerhet rundt lovlig bruk av amerikanske leverandører har vært utfordrende for mange virksomheter de siste årene. Nå har USA og EU endelig blitt enige om et rammeverk for overføring av personopplysninger – Data Privacy Framework (DPF). Det innebærer at det nå blir enklere å overføre data lovlig til USA. Men før du slipper jubelen løs, må du undersøke om leverandøren du ønsker å bruke er sertifisert.
Den 10. juli 2023 fattet Den europeiske kommisjonen en adekvansbeslutning om at USA har et tilstrekkelig beskyttelsesnivå for personopplysninger som overføres fra EU til virksomheter i USA. Beslutningen er tatt på bakgrunn av det nye rammeverket, og gjelder for overføringer gjort til amerikanske virksomheter som er inkludert i "Data Privacy Framework List". Fra og med denne datoen er det blitt betydelig enklere å lovlig overføre data over Atlanteren. Det europeiske personvernrådet (EDPB) har i ettertid av beslutningen publisert en veiledning om betydningen av det nye rammeverket.
Nedenfor oppsummerer vi hvilke konsekvenser rammeverket har for virksomheter som overfører personopplysninger fra EU til USA.
Beslutningen er et slags godkjentstempel på USA som mottakerland av personopplysninger, og av virksomheter i USA som er på «Data Privacy Framework List». Dette gjør det unødvendig å inngå EUs standardkontrakter (SCC), og å gjennomføre de krevende vurderingene av beskyttelsesnivå, samt å måtte kreve tilleggstiltak for å beskytte personopplysningene i henhold til GDPR. Dette sparer din bedrift for tid og penger.
Sjekk at virksomheten er sertifisert
Overføringsgrunnlaget gjelder kun for amerikanske virksomheter som står på Data Privacy Framework List. At virksomhetene står på denne listen, betyr at de er sertifiserte, og er godkjent som sikre virksomheter. Kravene til de amerikanske virksomhetene er relativt like som under forrige overføringsgrunnlag, Privacy Shield. Dette innebærer at de fleste virksomheter som var sertifisert under Privacy Shield, fremdeles er sertifisert. Her finner du oversikten over sertifiserte virksomheter.
Om virksomheten ikke er listet, må du passe på å sørge for alternativt overføringsverktøy slik som før, og gjøre den samme vurderingen av sikkerhet. I denne sammenheng understreker likevel det europeiske datatilsynet i sin veiledning at alle sikkerhetstiltak som er iverksatt av amerikanske myndigheter, gjelder for alle data som overføres til USA. Uavhengig av hvilket overføringsverktøy som brukes. Derfor kan du som dataeksportør legge vurderingen utført av kommisjonen til grunn, når du vurderer effektiviteten til det valgte overføringsverktøyet.
Kort sagt har kommisjonen gjort vurderingen for deg, og bruk av alternative overføringsverktøy er derfor også betydelig enklere.
Husk også på at selv om den amerikanske virksomheten er på Data Privacy Framework List, er det ikke sikkert at deres underleverandører er det. Sjekk derfor alltid hele rekken av leverandører, for å sikre lovlige overføringsverktøy.
Oppdater all informasjon
Du må alltid passe på å oppdatere den informasjonen som gis vedrørende behandling av personopplysninger. Uansett hvordan du velger å overføre disse. Og du må sørge for oppdateringer av både personvernerklæringer og databehandleravtaler. Dette må gjøres for at dine avtaleparter og brukere/kunder skal kunne formidle videre hvilket overføringsverktøy som er i bruk. Husk også at din virksomhet alltid må inngå databehandleravtaler, selv om den amerikanske virksomheten står på Data Privacy Framework List.
I databehandleravtalen bør du alltid ta med en plikt for den amerikanske virksomheten til jevnlig å bekrefte sin sertifisering. Når databehandleravtalene og personvernerklæringene er oppdatert, bør interne retningslinjer oppdateres og ansatte informeres slik at disse vet hvilket overføringsgrunnlag som benyttes.
Hvordan bør du gå frem?
- Sjekk listen over amerikanske virksomheter som din bedrift allerede overfører personopplysninger til, og se om disse er oppført på Data Privacy Framework List.
- Du kan søke på sertifiserte virksomheter her: www.dataprivacyframework.gov/s/participant-search
- Be om jevnlig bekreftelse på at dine leverandører (eller underleverandører) er sertifisert under EU-US Data Privacy Framework. Dette kan gjøres i databehandleravtalen.
- Se på tidligere vurderinger (TIA) av dataoverføringer (for eksempel ved bruk av Standard Contractual Clauses) – du kan styrke disse ved hjelp av det nye rammeverket.
- Når du skal inngå nye avtaler som innebærer overføringer til USA, sjekk om virksomheten du skal overføre til er oppført på Data Privacy Framework List.
- Dersom virksomheten (eller dennes underleverandører) ikke er oppført på Data Privacy Framework List, må du finne alternativt overføringsgrunnlag. Husk at det er mindre krevende å dokumentere lovligheten av overføringer til USA, i lys av det nye rammeverket.
- Oppdater dine databehandleravtaler og interne og eksterne personvernpolicies og -erklæringer.
Ta kontakt!
Vi bistår våre klienter fortløpende nå, og hjelper gjerne deg med å få ting på plass. Ta kontakt med vår faggruppe på personvern.