Kommisjonens gjennomføringsbeslutning (EU) 2023/1795 av 10. juli 2023 i henhold til europaparlaments- og rådsforordning (EU) 2016/679 om et tilstrekkelig vern av personopplysninger innenfor rammeverket for overføring av personopplysninger mellom EU og De forente stater
Personvern: nivå på beskyttelse av persondata under EU-US Data Privacy Network
Rapport lagt fram av Kommisjonen 9.10.2024 med pressemelding (sak 1)
Tidligere
- Kommisjonsbeslutning publisert i EU-tidende 20.9.2023
- EØS/EFTA-landenes utkast til EØS-komitebeslutning oversendt til Kommisjonen 11.6.2024
- EØS-komitebeslutning 5.7.2024 om innlemmelse i EØS-avtalen
- Notat om planlagt rapport lagt fram av Kommisjonen 9.8.2024 med tilbakemeldingsfrist 6.9.2024
Bakgrunn
BAKGRUNN (fra departementets EØS-notat, sist oppdatert 11.6.2024)
Sammendrag av innhold
Personvernrammeavtalen sikrer at personopplysninger får tilsvarende beskyttelsesnivå som i EØS når de overføres til USA. Beslutningen fastsetter at USA, etter vilkår fastsatt i rammeavtalen, vurderes å ha et tilfredsstillende beskyttelsesnivå for personopplysninger, jf. personvernforordningen artikkel 45, ofte omtalt som en adekvansbeslutning. Det innebærer at personopplysninger etter rammeavtalen kan flyte fritt og sikkert mellom Norge og USA forutsatt at de vilkår avtalen stiller er oppfylt. Avtalen erstatter den tidligere Privacy Shield avtalen, som ble kjent ugyldig av EU-domstolen (Schrems-2 dommen).
Avtalen er basert på et sertifiseringssystem der amerikanske virksomheter må sertifisere seg gjennom en prosess som bekrefter at de overholder kravene i personvernrammeavtalen, et detaljert sett av forpliktelser. Dette sikrer at europeiske borgere har de samme personvernrettighetene, f.eks. rett til innsyn, rettig og sletting av personopplysninger, som de har når opplysninger om dem behandles i EØS-landene. Beskyttelsen må også sikres ved all videre overføring av personopplysningene.
Videre omfattes klagemuligheter, blant annet en voldgiftsordning. Det skal også etableres en uavhengig tilsynsmyndighet i USA for å føre tilsyn med de sertifiserte virksomhetene og håndheve avtalen. Avtalen inneholder også en «executive order» fra president Biden. Denne gir sikkerhetstiltak som begrenser amerikanske etterretningsmyndigheters tilgang til europeiske borgeres personopplysninger.
Merknader
Rettslige konsekvenser
Beslutningen krever ingen endringer i norsk regelverk. Beslutningen fastsetter i fotnote 14 til fortalepunkt 7 at når avtalen omtaler EU eller EU-landene skal det forstås slik at det også omfatter EØS-landene. Norge er dermed omfattet av de rettigheter avtalen gir.
Økonomiske og administrative konsekvenser
Rettsakten legger til rette for enklere flyt av personopplysninger fra Norge til USA.Norske selskaper antas å få stor nytte av beslutningen, på linje med EU-landene, ved at overføring av personopplysinger kan skje i samsvar med bestemmelsene i beslutningen, uten å gå veien om mer omfattende krav i personvernforordningen kapittel V. Dette vil gi økonomiske og administrative besparelser for både næringslivet og offentlige organer.
Sakkyndige instansers merknader
Rettsakten følger hurtigprosedyren og har ikke vært behandlet i spesialutvalget.
Vurdering
Kommisjonsbeslutningen anses EØS-relevant og akseptabel og anbefales innlemmet i EØS-avtalen vedlegg XI.
Status
Rettsakten ble vedtatt i EU 10. juli 2023. I henhold til personopplysningsforskriften § 2 gjelder beslutningen fra samme tidspunkt også i Norge. Rettsakten har dermed allerede virkning for Norge.