Er din bedrift klar til å bytte datasystemer hvis Trump vinner valget?

Om skribenten:

Advokat Jan Sandtrø er en uavhengig advokat som bistår klienter innenfor krysningsfeltet mellom juss og teknologi. Han kjører jevnlig kurs i GDPR for virksomheter, og har et gratis nyhetsbrev hvor nær 6000 abonnenter får oppdateringer om personvern, GDPR, teknologirett og annet.

Husker du hvordan det var etter den såkalte Schrems II-dommen? Da var det ikke lov å overføre personopplysninger til USA, eller bruke amerikanske leverandører.

Dette skjedde fordi USA hadde en overvåkningslovgivning som gjorde at myndighetene kunne få tilgang til opplysninger om EU-borgere, og det brøt med personvernet som EU-borgere skal ha etter personvernforordningen (GDPR).

Etter to-tre år kom USA og EU til enighet om et arrangement som ble kalt «Data Privacy Framework» (DPF). Etter DPF kan man overføre eller bruke amerikanske bedrifter som er sertifisert etter DPF, hvilket innebærer at de har forpliktet seg å behandle personopplysninger om EU-borgere i henhold til GDPR.

For å få på plass DPF, måtte det imidlertid gjøres endringer i USAs overvåkningslovgivning, og det gjorde Biden gjennom en såkalt presidentbeslutning («Executive Order» eller «EO»). Dette sikret personopplysningene til EU-borgerne i større grad. Da DPF var på plass kunne EU-kommisjonen beslutte at opplysninger kunne overføres til USA igjen ved at sertifiserte bedrifter var «godkjent» som mottakere av personopplysninger fra EU.

Nå er det én (1) uke igjen til valget i USA, og det kan være at Trump vinner. Trump har varslet at han vil se på og eventuelt endre overvåkningslovgivningen, og det omfatter også den nevnte Executive Order. Det er heller ikke utenkelig at det også blir gjort andre endringer i overvåkningslovgivningen som kan ha betydning for forholdet til EU.

EU-kommisjonen har nettopp hatt en gjennomgang av DPF hvor konklusjonen var at USA etterlever DPF, og at en ny (ordinær) vurdering først behøver å skje om tre år. Men EU-kommisjonen er forpliktet til å overvåke utviklingen i USA og vurdere denne mot bl.a. DPF (dette følger av GDPR artikkel 45).

At lover etterleves er et av hovedprinsippene for at det skal kunne overføres personopplysninger fra EØS til land utenfor EU, og Trump har varslet at han ikke nødvendigvis vil følge lover som er vedtatt. Trump kan også oppheve eller endre reglene etter egen vurdering gjennom Executive Orders om han blir president.

Dersom beskyttelsesnivået for EU-borgere ikke er tilstrekkelig, som ved at nevnte Executive Order opphører eller endres, og/eller det skjer overvåking av EU-borgere, så kan DPF bortfalle. Da er vi tilbake til at det er ulovlig å overføre personopplysninger til USA.

EUs personvernråd (EDPB) kom med en uttalelse nylig, hvor det ble presisert at om man bruker leverandører som behandler personopplysninger (databehandlere), så skal man revurdere dette om det medfører «høy risiko» å benytte seg av leverandøren. Å bruke en leverandør i USA uten at det foreligger lovlig grunnlag for å overføre personopplysninger er en slik høy risiko, spesielt om det er overvåkningslovgivning i landet opplysningene overføres til.

Dersom USA velger Trump neste tirsdag, må alle derfor følge med på om det skjer endringer hos amerikanske leverandører. Et alternativ kan også være å vurdere å bytte til leverandører innenfor EØS i fremtiden for å slippe dette problemet – om det da i det hele tatt er mulig, naturligvis.