Nye regler for GDPR og overf?ring av personopplysninger til USA

Det er sv?rt viktig at kravene i personvernforordningen overholdes n?r UiO inng?r avtaler om IT-tjenester der personopplysninger overf?res. Det er fortsatt ikke alle land det er rett fram ? overf?re personopplysninger til, men n? blir reglene for overf?ring av personopplysninger til USA enklere.

Enklere fra 10. juli

Etter at EU-domstolen avsa Schrems II-dommen i 2020 har det v?rt sv?rt vanskelig ? lovlig overf?re personopplysninger til USA. Dette har ogs? hatt f?lger for UiO n?r vi skal inng? avtaler med amerikanske tjenesteleverand?rer eller tjenester som bruker amerikanske underleverand?rer.

10. juli i ?r vedtok imidlertid EU-kommisjonen et nytt rammeverk, EU-US Data Privacy Framework, som igjen gj?r det enklere ? overf?re personopplysninger til USA. I praksis inneb?rer avtalen at EU har vurdert at amerikansk lovgivning og praksis ikke lenger er problematisk for overf?ring til USA, s?fremt selskapet er p? en liste over selskaper som har godkjent rammeverket.

Liste over selskaper som har godkjent rammeverket

Hvilke selskaper som har godkjent rammeverket kan du s?ke i her: Participant Search (dataprivacyframework.gov)

Store og viktige leverand?rer for UiOs del er p? listen, s?nn som Google, Amazon og Microsoft. I praksis inneb?rer dette at det n? er enklere ? inng? avtaler med en skytjeneste som for eksempel har Azure eller AWS som underleverand?r. Det er verdt ? merke seg at det ogs? er blitt lettere ? overf?re personopplysninger til USA selv om en virksomhet ikke st?r p? listen.

M? fortsatt gj?re personvernvurderinger

Selv om dette gj?r overf?ring til USA mye lettere, betyr det ikke at slusene n? er vid?pne. De alminnelige kravene i personvernforordningen gjelder fortsatt. Dette inneb?rer at vi fortsatt m? inng? databehandleravtaler, gjennomf?re ROS-analyser og ha et bevisst forhold til hvilke data vi overf?rer. Vi m? ogs? ha et bevisst forhold til om en leverand?r deler v?re persondata med andre land utenfor EU/E?S. 

UiOs prosess for ? godkjenne nye IT-tjenester i forskning og undervisning er fremdeles gjeldende: Hvordan ta i bruk en ny tjeneste i undervisning eller forskning - Universitetet i Oslo (uio.no)

Hva skjer framover?

Det er ogs? noe usikkert hva som vil skje fremover. Max Schrems har allerede uttalt at han vil utfordre gyldigheten av det nye rammeverket, s? det er en mulighet for at det om noen ?r kommer en Schrems III-dom som igjen gj?r det vanskelig ? bruke amerikanske tjenesteleverand?rer.

Les mer p? Datatilsynets nettsider: Nye regler for overf?ring av personopplysninger til USA | Datatilsynet

 

Publisert 17. aug. 2023 09:19 - Sist endret 17. aug. 2023 10:52