EU-domstolen erklærte nylig de såkalte "Safe Harbour"-reglene for ugyldige. Dermed ble en av de viktigste mekanismene for juridisk å overføre data til USA fjernet med et pennestrøk.

Mandag møtte Datatilsynets Bjørn Erik Thon Abelias medlemsbedrifter for å oppklare hva det betyr for overføringen av data til USA.

Thon uttrykte muntert han og Datatilsynet i etterpåklokskapens navn gjerne skulle ha tatt  saken til domstolen selv, for å få underkjent reglene. I stedet var det den østerrikske studenten Max Schram som tok saken inn for domstolen.

Men når dommen nå er på plass, velger Thon og Datatilsynet å gi bedriftene litt tid til å områ seg. Det innebærer at tilsynet gir norske selskaper frem til 31. januar med å få på plass ett nytt rettsgrunnlag for dataoverføring.

Dette kan skje gjennom konsernavtaler, gjensidig samtykke og standardkontrakter. Av dette fremheves standardkontrakt som det enkleste verktøyet for de fleste.

Les mer om Datatilsynets syn på de ulike avtaleformene!

Rammer minst 110 bedrifter

Haken er at også disse med tiden kan bli kjent ugyldige.

- Noen land er aggressive på å få teste ut om standardkontraktene holder juridisk. Vi har valgt ikke å pushe dette. Uansett tror vi at en ny "Safe Harbour"-avtale kommer på plass før denne saken ferdigbehandles i rettsystemet, sier Thon.

Totalt sett rammer dette minst de 110 bedriftene som har meldt inn til Datatilsynet at de benytter "Safe Harbour"-reglene. Disse har fått brev fra tilsynet om at de nå må finne nytt lovgrunnlag for data.

Per i dag er 7-8 bedrifter i gang med å inngå konsernavtaler, noe som ofte tar ett år å gjennomføre.

De andre bør bruke standardavtaler, mener Datatilsynet.

Ny personvernforordning

Thon erkjenner at dagens usikkerhet legger en ekstra byrde på bedriftene, men poengterer at det å følge loven ofte kan være en byrde.  

I sitt innlegg gikk Thon også gjennom hovedtrekkene i den nye personvernforordningen, som kan bli stemt gjennom i EU allerede før jul.

Den vil blant annet:

  • Ansvar: Ansvaret for personvern løftes opp i styrerommet

  • Sletting: Brukerne kan kreve sletting, og dette omfatter også tredje, fjerde og femteparter etc. Dette vil kreve bedre kontroll med spredning av dataene.

  • Portabilitet: Brukerne får rett til å kunne ta med seg dataene sine fra en tjeneste til en annen.

  • Personvern "by design": Systemer skal bygges med personvern i tankene, f.eks med automatisk sletting av data.  

  • Avvik: Skal fortsatt rapporteres, og heretter automatisk publiseres på Datatilsynets nettside.

  • Personvernombud: Alle virksomheter skal ha en ansatt som skal følge opp personvernarbeidet.

  • Enighet: Nye mekanismer skal sørge for at regelverket praktiseres likt i alle EU/EØS-landene.