EN
Personvern/GDPR

Overføring av personopplysninger til USA – hva gjelder nå?

Usikker på GDPR og personvern ved bruk av amerikanske leverandører? Få svar på hvilke krav som gjelder, hvordan sikre compliance, og hvilke tiltak og risikovurderinger du bør gjøre.
Bilde av Stillum, Grete Funderud

Grete Funderud Stillum

Advokat MNA I Partner

Image slider module
  • Bilde1
    Bildet er generert av kunstig intelligens.
Text module

Mange norske virksomheter bruker amerikanske skytjenester eller har leverandører med tilknytning til USA. Det er derfor viktig å kjenne til reglene for overføring av personopplysninger ut av EU/EØS.

Advokat Grete F. Stillum jobber med IT, teknologi og personvern, og gir her en praktisk oversikt over de viktigste kravene og anbefalinger for overføring. Oversikten er også aktuell for andre land utenfor EU/EØS, og for behandling av forretningskritisk informasjon som ikke er personopplysninger.

Overføring av personopplysninger til USA

Dersom en virksomhet skal overføre personopplysninger til USA, er det ikke tilstrekkelig å inngå en vanlig databehandleravtale. Det er også nødvendig å ha og dokumentere et gyldig overføringsgrunnlag iht. personvernforordningen/GDPR. Dette gjelder for all behandling av personopplysninger i USA, og omfatter også at ansatte i USA får tilgang til data lagret i EU/EØS for eksempel ved support (fjernaksess).

USA er et av de viktigste landene norske virksomheter ønsker å overføre personopplysninger til, men også et av de mest krevende landende når det gjelder å sikre tilstrekkelig beskyttelse av personopplysninger. Etter flere rettslige og regulatoriske endringer, er det særlig viktig å kjenne til hvilke overføringsgrunnlag som kan benyttes, og hvilke krav som stilles for å sikre lovlig overføring.

Slik kan personopplysninger overføres til USA - overføringsgrunnlag

1. Adekvansbeslutning – for sertifiserte mottakere (EU-US Data Privacy Framework - DPF) 

EU-kommisjonen har vedtatt en adekvansbeslutning for USA, som gjelder for virksomheter som er sertifisert under EU-US Data Privacy Framework (DPF). Dette innebærer at overføring til slike virksomheter kan skje uten ytterligere overføringsgrunnlag, men det er avgjørende å kontrollere at mottakeren faktisk er sertifisert og at sertifiseringen er gyldig. Listen over DPF-sertifiserte virksomheter finnes her.

For virksomheter i USA som ikke er DPF-sertifisert, må andre overføringsgrunnlag benyttes. Det vil også gjelde dersom EU-kommisjonen omgjør sin adekvansbeslutning.

2. Standard personvernbestemmelser (SCC) – for øvrige mottakere

Dersom virksomheten i USA ikke er omfattet av DPF, kan overføringen baseres på en avtale med standard personvernbestemmelser (Standard Contractual Clauses – SCC) godkjent av EU-kommisjonen.

Men dersom det overføringsgrunnlaget benyttes, er det et tilleggskrav at den norske virksomheten gjennomfører en vurdering av om mottakerlandet gir tilstrekkelig beskyttelse, og eventuelt iverksetter supplerende tekniske, organisatoriske eller juridiske tiltak for å sikre at personopplysningene er tilstrekkelig beskyttet. Dette følger av praksis etter Schrems II-dommen og anbefalinger fra Det europeiske personvernråd (European Data Protection Board - EDPB).

3. Bindende virksomhetsregler (BCR) – for konserninterne overføringer

Multinasjonale konsern kan benytte bindende virksomhetsregler (Binding Corporate Rules – BCR) for overføring av personopplysninger internt, forutsatt at disse er godkjent av en kompetent tilsynsmyndighet. Det er få konsern som har det på plass, og erfaringsmessig krever det en omfattende prosess før godkjenning.

4. Andre mulighet og unntak – sjelden brukt

Andre overføringsgrunnlag, som godkjente sertifiseringsmekanismer eller unntak for særlige situasjoner, som f.eks. uttrykkelig samtykke eller nødvendighet for å oppfylle en kontrakt, kan benyttes i spesielle tilfeller. Men dette unntaket er lite utbredt og skal kun brukes unntaksvis.

Behandling i EU/EØS med amerikanske leverandører – Microsoft EU Data Boundary

Mange virksomheter bruker amerikanske leverandører som tilbyr lagring og behandling av personopplysninger utelukkende innenfor EU/EØS. Et eksempel er gjennom Microsofts EU Data Boundary.

Dersom en leverandør forplikter seg til at både lagring, behandling og support kun skal skje innenfor EU/EØS, reduserer det risikoen for at personopplysninger overføres til USA. Likevel bør norske virksomheter være oppmerksomme på at amerikanske leverandører fortsatt kan være underlagt amerikanske myndigheters krav om utlevering av data, selv om dataene fysisk befinner seg i EØS. Det er derfor viktig å gjennomgå avtalevilkårene og databehandleravtalen nøye, og vurdere behovet for samme type eller tilsvarende tiltak som når dataene overføres til USA.

Exit-strategi – vær forberedt på endringer i reglene

Selv om det i dag finnes alternative overføringsgrunnlag for å overføre personopplysninger til USA, bør virksomheter være forberedt på endringer. Både politiske og rettslige endringer i USA kan medføre at EU-kommisjonen revurderer eller trekker tilbake adekvansbeslutning for DPF-sertifiserte virksomheter i USA, og det kan også komme en Schrems III-dom. Et eksempel på politisk risiko er de utskiftningene som skjedde i februar 2025 i Privacy and Civil Liberties Oversight Board (PCLOB), som er et sentralt kontrollorgan for amerikanske etterretningsmyndigheter. Det er heller ikke utenkelig at det vil komme en presidentordre som setter DPF i fare. Dersom adekvansbeslutning oppheves, vil det mest sannsynlig ikke gjelde en overgangsperiode.

Det anbefales derfor å ha et alternativ, en exit-strategi. Ideelt bør avtaler gi fleksibilitet til å endre lagringssted eller bytte leverandør dersom overføringsgrunnlaget faller bort. Merk også at bruk av amerikanske skytjenester på europeisk jord kan komme til å påvirkes negativt dersom adekvansbeslutningen oppheves.

Å ha en gjennomtenkt exit-strategi er et sentralt risikoreduserende tiltak, og bidrar til at en virksomhet raskt kan tilpasse seg endringer i regelverket uten å komme i brudd med GDPR eller utsette registrerte for unødvendig risiko. Dette anbefales også at Datatilsynet.

Viktige krav og anbefalinger

  • Dokumentasjon: Virksomheter må dokumentere hvilket overføringsgrunnlag som benyttes for overføring av personopplysninger til USA. Tilsvarende gjelder for andre tredjeland. Dokumentasjonen bør omfatte hvilke typer personopplysninger som overføres, og hvilke garantier leverandøren gir for å beskytte opplysningene (for eksempel forpliktelser om ikke-utlevering til myndigheter uten rettskraftig dom). Dette gir et helhetlig bilde, og legger grunnlaget for videre risikovurdering.
  • Risikovurdering: Virksomheter må gjennomføre en risikovurdering, gjerne en Transfer Impact Assessment (TIA), før overføring. Formålet er at virksomheten skal forstå risikoene og iverksetter egnede tiltak for å sikre et tilstrekkelig beskyttelsesnivå og overholdelsen av GDPR. Risikovurderingen skal ta utgangspunkt i risikoen for de registrertes rettigheter og friheter, ikke primært virksomhetens egne interesser. Dermed kan risikovurderingen bli ulik beroende på hvilke data som skal behandles i IT-systemet/løsningen. Tiltakene kan være tekniske, organisatoriske eller kontraktsmessige. Normalt bør det vurderes muligheter for kryptering, pseudonymisering og minimering av data.
  • Exit-strategi: Virksomheter bør ha en exit-strategi for det tilfelle personopplysninger ikke lengre kan overføres til USA på samme måte som i dag.
  • Endringer: Virksomheter bør være varsomme med å gi leverandører mulighet for å endre lagringssted eller bytte av underleverandører med den konsekvens at personopplysninger overføres til USA. Eksisterende databehandleravtaler bør derfor gjennomgås for å sikre at slike endringer enten krever forhåndssamtykke eller hvertfall tilstrekkelig varsling til rett person.
  • Oppfølging og revisjon: Virksomheter som overfører personopplysninger til USA bør følge opp sine vurderinger av overføringsgrunnlag, risiko og exit-strategier jevnlig, minimum som del av en årlig personvernrevisjon / personvernkontroll. Dette bør også inntas i virksomhetenes internkontroll.

Oppsummering

Overføring av personopplysninger til USA krever særlig oppmerksomhet og grundig vurdering av overføringsgrunnlag og konkret risiko basert på type data. For de fleste virksomheter vil det være aktuelt å bruke enten adekvansbeslutningen for EU-US Data Privacy Framework (DPF-sertifisering) og/eller standard personvernbestemmelser (SCC) med tilhørende vurderinger og tiltak. Regelverket er i stadig utvikling, og det er viktig å holde seg oppdatert på endringer og nye krav.

Ta gjerne kontakt med oss i Dehn for mer informasjon eller bistand for spørsmål om lovlig overføring av personopplysninger til USA.

Relaterte artikler

Se alle

Dehn er Årets Bedrift i Bærum 2024

Advokatfirmaet Dehn har mottatt utmerkelsen Årets Bedrift i Bærum 2024, som en anerkjennelse for sitt engasjement og bidrag til det lokale næringsl...
Om oss

Bør jeg opprette et testament?

Et testament gir deg kontroll over fordelingen av verdiene dine etter din død, og kan bidra til å unngå konflikter mellom arvingene.
Familie og arverett

Skjulte feil og mangler ved hestekjøp – hva bør du vite?

Kjøp og salg av hest reiser ofte komplekse juridiske spørsmål, særlig når det gjelder skjulte feil og mangler. Artikkelen gir en oversikt over hvil...
Kontraksrett