Nye krav til overføring av personopplysninger etter EU-dom


EU-domstolen har i Schrems II-dommen underkjent Privacy Shield-avtalen og kommet med nye krav til overføring av personopplysninger til land utenfor EU/EØS-området (tredjeland).

Foto: Shutterstock

Dommen innebærer at overføringer som kun baserer seg på Privacy Shield nå er ulovlig. I tillegg er det oppstått generell usikkerhet rundt hvilke krav som gjelder ved overføring av personopplysninger til tredjeland.  

Uttalelser fra Datatilsynet 

Datatilsynet har opprettet en nettside med spørsmål og svar om dommens innhold og virkninger. Datatilsynet uttaler her at overføring av personopplysninger til tjenesteleverandører i USA med grunnlag i EUs standardkontrakter kan være problematisk dersom det ikke er iverksatt «ytterligere tiltak» som gir et tilfredsstillende beskyttelsesnivå. Det europeiske personvernrådet (EDPB) skal utrede nærmere, og gi veiledning om, hvilke «ytterligere tiltak» som kan være aktuelle (se ofte stilte spørsmål og svar fra EDPB).

Datatilsynet sier videre at kravene som oppstilles i dommen kan være svært utfordrende eller umulig å få til i praksis, og at overføring av personopplysninger til USA i så fall ikke kan finne sted. 

Brev til Kommunal- og moderniseringsdepartementet (KMD) 

Kunnskapsdepartementet har i brev til KMD bedt om at de vurderer hvordan virksomhetene på kort sikt bør forholde seg til situasjonen som er oppstått. Videre spør Kunnskapsdepartementet om det vil bli utarbeidet nasjonale føringer for tiltak som kan iverksettes ved overføring av personopplysninger til tredjeland.  

Units oppfølging 

I påvente av nærmere avklaringer vil Unit kartlegge hvilke av sektorens fellestjenester som kan bli berørt av dommen. I dette arbeidet vil vi også samarbeide med Uninett for å få oversikt over hvilke av deres fellestjenester som berøres av dommen. Vi vil komme tilbake med nærmere informasjon så fort det lar seg gjøre.  

Anbefalinger til virksomhetene 

Unit anbefaler at virksomhetene skaffer seg oversikt over hvilke andre tjenester som de benytter hvor det overføres personopplysninger til tredjeland, og hva overføringsgrunnlaget er. Unit anbefaler videre at virksomhetene inntil videre unngår å inngå nye avtaler med tjenesteleverandører som medfører overføring av personopplysninger til tredjeland, spesielt USA.  

Vi oppfordrer virksomhetene til å følge med på Datatilsynets nettsider. Her vil det komme nærmere informasjon om virkningene av dommen og hvordan vi nå bør innrette oss.

Informasjonsguider fra leverandører

Merk: Innholdet i lenkene under er leverandørenes egne vurderinger, ikke Units.

Informasjonsguide fra Safespring om EU-domstolens ugyldiggjøring av Privacy Shield 

Informasjonsgiude fra Microsoft


Del: Share to LinkedIn Share to Facebook Share by mail Share to Twitter