Norske foretak i søkelyset for dataoverføring til USA

I oktober rev EU-domstolen vekk grunnlaget for overføring av personopplysninger til USA etter den såkalte Safe Harbour-avtalen.

• Les saken: Personvern-avtalen med USA kjent ugyldig

Beslutningen har skapt et juridisk vakuum og mye usikkerhet. I kortform er rådet fra Datatilsynet at de berørte heretter må benytte seg av EUs standardkontrakter, som rettslig grunnlag for å eksportere persondata, lovlig.

Datatilsynet sendte i slutten av oktober et varselbrev til 110 virksomheter med informasjon om hva de må gjøre for å unngå at det som tidligere var å anse som formaliteter nå utgjør et lovbrudd.

Tilsynet antar det er langt flere dette gjelder, men mottakerne av brev er virksomheter som de siste tre årene har meldt ifra til dem at de overfører data til USA, med basis i den nå skrotede Safe Harbour-ordningen.

«Kommisjonsbeslutningen som Safe Harbour-ordningen hviler på er kjent ugyldig, og EU-domstolens avgjørelse får virkning også for norsk lovgivning», heter det blant annet i varslet.

Ikke så mange har svart

Over seks uker senere har færre enn halvparten foretatt seg noe.

– Vi har så lang fått inn 30-40 søknader om forhåndstillatelse. Det er ikke så mange når man ser på antallet brev som ble sendt ut, men det kan være mange årsaker til det. Vi har ikke gjort noen grundig analyse, men mulige årsaker er at firmaet ikke lenger overfører opplysninger til utlandet og derfor ikke trenger å forholde seg til brevet, at firmaet ikke lenger eksisterer etc, opplyser tilsynets kommunikasjonsrådgiver Ida Sodia Vaa til digi.no.

Vi har bedt om og fått innsyn i hvem de drøyt hundre som fikk brev er. Der var det en god del dobbeltoppføringer. Etter at digi.no har vasket og sortert oversikten sitter vi igjen med rundt 80 virksomheter, men det er mulig det fortsatt gjenstår noen dubletter.

Saken fortsetter under listen.

Artikkelen fortsetter etter annonsen

annonsørinnhold

– Vi har vår egen ChatPwC som kjører lokalt. Vi deler derfor ingen informasjon ut av huset

1. ADI Alarmsystems AS
2. Advokatfirmaet Sverdrup DA
3. Astrazeneca AS
4. Avanade Norway AS
5. Axakta Coating Systems Norway AS
6. Bergen Holdingselskap AS
7. Bioventus Coöperatief Norway
8. BP Norge AS
9. Brightstar Corporation
10. Cognizant Technology Solutions Norway
11. Combisafe Norge as
12. Copper Crouse-Hinds AS
13. Cummins Norway AS
14. Danisco Norway as
15. Danske Bank
16. Dentsply IH AS
17. Deutsche Bank AG, Oslo Branch
18. DinDeler A/S
19. Direktoratet for nødkommunikasjon
20. DNO International ASA
21. Dresser-Rand AS
22. DuPont Norge AS
23. DuPont Norge AS - c/o Simonsen Advokatfirma DA
24. Eltek ASA
25. Esprit AS Norway
26. Esso Energi AS
27. Falck Redning AS
28. Federal Express Corporation, Norway Branch, NUF
29. Ford Motor Norge AS
30. Fossil Norway A/S
31. GlaxoSmithKline As
32. Google Inc
33. Harsco Metals Norway AS
34. Hernis Scan Systems AS
35. Honeywell AS
36. Honeywell Hearing Technology AS
37. Honeywell Life Safeta AS
38. Institutt for Medskapende Ledelse AS
39. International SOS Norge AS
40. Iron Mountain Norge as
41. ITL Intermec Technologies as
42. Janssen-Cilag AS
43. Johnson & Johnson AB
44. KCI Medical AS
45. Landis + Gyr AS
46. Legelisten.no AS
47. Lego Norge AS
48. Marine Power International Limited filial av utenlandsk aksjeselskap
49. Medtronic Norge AS
50. Microenta AS
51. Mondelez Europe Procurement - norsk filial
52. Mondelez Europe Services - norsk filial
53. Mondelez Norge AS
54. Mondelez Norge Production AS
55. Motorola Solutions Norway AS
56. mPayment AS
57. Nigel Wright Consultancy Norway AS
58. Nordic Sales Group AS
59. Nordisk Aviation Products
60. Ontario Institute for Studies in Education (University of Toronto)
61. Philips Norge AS
62. Psykolog Espen Johnsen
63. Psykologisk institutt, Universitetet i Oslo
64. Pulse Health, LLC
65. PVH Corp.
66. PVH Norge AS
67. Raytheon Professional Services GmbH
68. SAS Institute AS
69. Schneider Electric Norge AS
70. Stiftelsen Handelshøyskolen BI
71. Tesla Motors Norway AS
72. Toyota Material Handling Norway AS
73. Travelport Norway AS
74. Troms Offshore Managment AS
75. Tyco Electronics Norway AS
76. UNINETT AS
77. Univar AB
78. UPS Norway AS
79. UTC Fire & Security Norge AS
80. Utlendingsdirektoratet
81. Vesterålens Naturprodukter AS
82. Warner Bros. Entertainment Norge AS
83. Warner Bros. International Television Production Norge AS
84. Zimmer Norway AS

Datatilsynet lagrer bare meldinger i tre år, slik at det kan være flere enn virksomhetene på denne listen som har meldt inn at de benytter Safe Harbour for dataoverføring. Fordi disse opplysningene er slettet er det ikke mulig å oppdrive en slik oversikt.

Vurderer kontroll

Datatilsynet vurderer å følge opp med kontroller, men det blir først aktuelt til neste år.

Årsaken er at Artikkel 29-gruppen, EU-kommisjonens ekspertgruppe og rådgivende organ i personvernspørsmål, der også det norske Datatilsynet deltar med observasjonsstatus, har gitt EU og USA en frist til 31. januar 2016 med å komme fram til en ny avtale, en slags Safe Harbour 2.0. Datatilsynet vil vente med kontroll til de vet hva disse forhandlingene munner ut i.

• Les denne: Må løse Safe Harbour-problemene innen februar

I brevet fra Datatilsynet, som du kan lese her, fremgår det at de berørte virksomhetene som overfører personopplysninger til USA i realiteten nå har to valg: Enten å stanse overføringen uten ugrunnet opphold, eller å snarest ta i bruk «et av de øvrige dataoverføringsgrunnlagene» som i realiteten er EUs standardkontrakter med tilhørende vilkår, inkludert søknad.

Kan bli dyrt

Dersom berørt virksomhet ved kontroll ikke har foretatt seg noe kan det vanke straffereaksjoner i form av høye gebyrer.

Artikkelen fortsetter etter annonsen

annonse

Store muligheter for norsk design i USA

Nivået vil blant annet avhenge av hva slags personopplysninger det er snakk om.

– Generelt ser vi alvorlig på den type overtredelser og har i sammenlignbare saker gitt overtredelsesgebyr på alt fra 100 000 til 600 000 kroner, sier kommunikasjonsrådgiver Vaa.

• Les kommentar: Streng informasjonsplikt i EUs modellavtaler