Den såkalte Schrems II-dommen har siden den ble avsagt 16. juli 2020 skapt diskusjoner og hodebry, blant annet fordi den potensielt begrenser virksomheters bruk av langt de fleste digitale tjenester fra tilbydere i USA, blant annet skytjenester fra kjente leverandører som Microsoft, Amazon mv. Dommen legger dessuten opp til kompliserte vurderinger som mange behandlingsansvarlige ikke har forutsetninger for å utføre, og som gjerne etterlater regulatorisk risiko selv om man har gjort omfattende vurderinger og tiltak.
Det har i etterkant av Schrems II-dommen vært et behov for å etablere et nytt overføringsgrunnlag for personopplysninger fra EU/EØS området og til USA. Nå foreligger det, endelig vil nok mange si, et utkast til en såkalt adekvansbeslutning fra EU-kommisjonen. Dersom denne blir godkjent, vil overføringer av personopplysninger fra Norge til USA langt på vei skje på samme måte som overføringer mellom land innen EU/EØS området. Biden-administrasjonen har som en del av prosessen foreslått endringer i amerikansk lovgivning som skal begrense myndighetenes tilgang til personopplysninger som overføres fra Europa til selskaper i USA.
Mye tyder derfor på at adekvansbeslutningen vedtas i løpet av våren 2023, selv om det gjenstår noen runder med høringer, formell godkjenning og implementering.
Behandlingsansvarlige som per i dag overfører eller planlegger å overføre personopplysninger til USA bør legge merke til følgende:
- Inntil det foreligger en endelig adekvansbeslutning, og USA har implementert de nødvendige lovendringene, vil dagens krav gjelde fullt ut, hvilket innebærer at det enten må foreligge nødvendige garantier iht. GDPR art. 46 eller at den behandlingsansvarlige må oppfylle vilkårene i art. 49.
- Den nye adekvansbeslutningen vil bare kunne benyttes som lovlig overføringsgrunnlag når mottaker er en privat virksomhet i USA som har valgt å delta i ordningen. Det må antas at i hvert fall større leverandører av skytjenester mv. vil velge å delta, slik at dette i praksis vil være tilstrekkelig overføringsgrunnlag for norske virksomheter som benytter disse tjenestene. Det er forventet at også overføring av personopplysninger til virksomheter som velger ikke å delta i ordningen vil bli enklere sammenholdt med dagens regelverk, siden det er foreslått endringer i amerikansk lovgivning når det gjelder myndighetenes tilgang til personopplysninger.
- Alle øvrige krav knyttet til overføringer av personopplysninger, herunder risikovurdering og eventuelle databehandleravtaler mv, vil fortsatt gjelde ved overføringer til mottakere i USA.
- For overføringer av personopplysninger fra Norge til øvrige tredjeland utenfor EU/EØS, som ennå ikke er omfattet av en adekvansbeslutning fra EU-kommisjonen, vil man fortsatt måtte følge de krav som springer ut av Schrems II-dommen.