Nye regler for GDPR og overføring av personopplysninger til USA

Det er svært viktig at kravene i personvernforordningen overholdes når UiO inngår avtaler om IT-tjenester der personopplysninger overføres. Det er fortsatt ikke alle land det er rett fram å overføre personopplysninger til, men nå blir reglene for overføring av personopplysninger til USA enklere.

Enklere fra 10. juli

Etter at EU-domstolen avsa Schrems II-dommen i 2020 har det vært svært vanskelig å lovlig overføre personopplysninger til USA. Dette har også hatt følger for UiO når vi skal inngå avtaler med amerikanske tjenesteleverandører eller tjenester som bruker amerikanske underleverandører.

10. juli i år vedtok imidlertid EU-kommisjonen et nytt rammeverk, EU-US Data Privacy Framework, som igjen gjør det enklere å overføre personopplysninger til USA. I praksis innebærer avtalen at EU har vurdert at amerikansk lovgivning og praksis ikke lenger er problematisk for overføring til USA, såfremt selskapet er på en liste over selskaper som har godkjent rammeverket.

Liste over selskaper som har godkjent rammeverket

Hvilke selskaper som har godkjent rammeverket kan du søke i her: Participant Search (dataprivacyframework.gov)

Store og viktige leverandører for UiOs del er på listen, sånn som Google, Amazon og Microsoft. I praksis innebærer dette at det nå er enklere å inngå avtaler med en skytjeneste som for eksempel har Azure eller AWS som underleverandør. Det er verdt å merke seg at det også er blitt lettere å overføre personopplysninger til USA selv om en virksomhet ikke står på listen.

Må fortsatt gjøre personvernvurderinger

Selv om dette gjør overføring til USA mye lettere, betyr det ikke at slusene nå er vidåpne. De alminnelige kravene i personvernforordningen gjelder fortsatt. Dette innebærer at vi fortsatt må inngå databehandleravtaler, gjennomføre ROS-analyser og ha et bevisst forhold til hvilke data vi overfører. Vi må også ha et bevisst forhold til om en leverandør deler våre persondata med andre land utenfor EU/EØS. 

UiOs prosess for å godkjenne nye IT-tjenester i forskning og undervisning er fremdeles gjeldende: Hvordan ta i bruk en ny tjeneste i undervisning eller forskning - Universitetet i Oslo (uio.no)

Hva skjer framover?

Det er også noe usikkert hva som vil skje fremover. Max Schrems har allerede uttalt at han vil utfordre gyldigheten av det nye rammeverket, så det er en mulighet for at det om noen år kommer en Schrems III-dom som igjen gjør det vanskelig å bruke amerikanske tjenesteleverandører.

Les mer på Datatilsynets nettsider: Nye regler for overføring av personopplysninger til USA | Datatilsynet

 

Publisert 17. aug. 2023 09:19 - Sist endret 17. aug. 2023 10:52
Del på e-post