SecurityWorldMarket

08.10.2015

Safe Harbor-beslutningen kjent ugyldig

Selskaper som overfører personopplysninger fra europeiske land til USA, må fra og med i dag finne nye mekanismer å benytte seg av for å unngå å bryte det felleseuropeiske personvernregelverket.

Grunnen er at EU-domstolen tidligere denne uken avgjorde at EUs Safe Harbor-beslutning fra 2000 er ugyldig. Beslutningen har hittil gitt grønt lys for selskaper som ønsker å overføre persondata til amerikanske selskaper som er Safe Harbor-sertifisert.

Rammeverket er kjent ugyldig

Listen over kjente amerikanske IT-giganter på Safe Harbor-listen er lang – men nå er altså hele rammeverket kjent ugyldig, og konsekvensen blir at man ikke kan belage seg på denne mekanismen når man skal overføre data om personer til disse selskapene i USA. Slik overføring skjer både helt målrettet, som for eksempel via e-post adressert til mottakere i USA, men også mer indirekte, ved hjelp av skytjenester, sosiale medier, web-analyseprogramvare og apper.

Avsa ekspress-dom

Avgjørelsen kom snaue to uker etter at generaladvokat Yves Bot ga uttrykk for at Safe Harbor-beslutningen strider mot de grunnleggende menneskerettighetene i EUs charter. EU-domstolen har med andre ord tatt en usedvanlig rask beslutning, og den har lagt seg på samme linje som Bot. En mulig forklaring på den rekordkorte responstiden, kan være den pågående forordningsprosessen, men også fordi selve Safe Harbor-rammeverket er under reforhandling.

- Domstolens avgjørelse er et sterkt signal til lovgiverne i Brussel om at retten til privatliv, korrespondanse og databeskyttelse står sterkere enn noensinne, sier direktør i Datatilsynet, Bjørn Erik Thon.

De europeiske datatilsynene vil i løpet av de nærmeste dagene komme sammen for å diskutere betydningen av dommen i detalj.

Nasjonale datatilsyn kan selv vurdere land

I tillegg uttaler domstolen at de nasjonale datatilsynenes uavhengighet står i veien for at EU-kommisjonen fatter eksklusive beslutninger om hvorvidt beskyttelsen i et ikke-medlemsland er tilfredsstillende etter europeiske standarder eller ikke. Til nå har datatilsynsmyndighetene vært meget tilbakeholdne med å gjøre egne vurderinger av tredjeland, men etter dommen vil slike avgjørelser være noe datatilsynsmyndighetene i EU-medlemslandene og EØS-landene selv kan ta, ser det ut til. Uansett føyer dagens avgjørelse seg inn i en lang rekke saker der datatilsynsmyndighetenes uavhengighet blir fremhevet som et essensielt element i europeisk databeskyttelse.

Konsekvensen for europeiske, og norske, dataeksportører blir etter dette merkbare. Ettersom Safe Harbor ikke lenger kan benyttes som grunnlag for å overføre data fra EU – og Norge, som EØS-land –må man benytte seg av det eksisterende standardkontraktsregimet, som brukes ved dataeksport til alle andre tredjeland.

Personopplysningsloven § 30 andre ledd foreskriver her en plikt til å innhente Datatilsynets forhåndsgodkjenning for persondataoverføringer til alle tredjeland, men det er viktig å være klar over at denne plikten bare gjelder når dataimportøren er behandlingsansvarlig. Ved overføringer til dataimportører som er å regne som databehandlere (DEF), nyter man godt av unntaket i personopplysningsforskriften § 6-3.

Forskriftsbestemmelsen definerer for øvrig hva som er å regne som et tredjeland i denne sammenhengen: «Med tredjeland menes alle land som ikke har gjennomført direktiv 95/46/EF, og som heller ikke er godkjent ved EU-kommisjonsbeslutning, jf. § 6-1». Fra og med i nå, må altså USA regnes som et tredjeland.


Tags

Nyheter fra hjemmesiden »
Søk i nyhetsarkivet »  

Leverandører
Endre marked
Global North America Middle East United Kingdom Sweden Norway Denmark
Tilbake til toppen