Den såkalte Schrems II-dommen fra EU-domstolen tydeliggjør hvilke krav som oppstilles etter EUs personvernforordning («GDPR») for å overføre personopplysninger til utenfor EU/EØS («tredjestater»). Et sentralt spørsmål er om risiko bør ha betydning for hvorvidt en overføring er lovlig. Etter vårt skjønn bør også slike faktorer spille en rolle.
Bakgrunnen for Schrems II-saken, var at den østerrikske personvernforkjemperen Max Schrems klaget på Facebook Irlands behandling av personopplysninger, herunder selskapets overføring av personopplysninger til USA. Schrems krevde at Facebook Irlands overføring av personopplysninger måtte opphøre, fordi USA hadde et utilstrekkelig vern av hans personvernrettigheter
Dette er problemet
Endelig lovlige skytjenester?
Hovedproblemstillingen er om personene som personopplysningene gjelder, er sikret et nivå av personvern som i hovedsak er likt som i EU/EØS. Dommen ga imidlertid ikke klare retningslinjer for hva som skal til for å oppfylle kravene for å overføre personopplysninger utenfor EU/EØS.
I etterkant av Schrems II-dommen ga det europeiske Personvernrådet ut anbefalinger om ytterligere tiltak som må iverksettes dersom beskyttelsesnivået i tredjelandet ikke er tilsvarende som i EU/EØS. Slike ytterligere tiltak skal oppveie det manglende beskyttelsesnivå i tredjelandet og sikre et i det vesentlige tilsvarende beskyttelsesnivå i praksis.
Med grunnlag i den såkalte Schrems II-dommen, er det nå en spennende akademisk og praktisk debatt om hva slags tilnærming som skal legges til grunn når det avgjøres om personopplysninger kan overføres. I et interessant og tankevekkende innlegg på digi.no, reflekterer advokat Eva Jarbekk rundt hvordan man skal forholde seg til det europeiske personvernregimet og overføring av personopplysninger til amerikanske skytjenester.
Fornuftige betraktninger
Det er ingen tvil om at Jarbekks oppsummerende vurdering om «at det kan være lurt å vente noen uker dersom man i dag vurderer å inngå en ny avtale om skytjenester – hvis man har mulighet til å vente», er fornuftig. Vi synes også at det er fornuftige betraktninger rundt hvordan dommen skal tolkes.
På ett avgjørende punkt mener vi imidlertid at gode grunner tilsier en noe annen vurdering enn den Jarbekk legger til grunn: Nemlig hvorvidt det kan legges vekt på risiko når spørsmålet om mottakerlandet har tilsvarende personvernlovgivning som EU skal besvares. Jarbekk påpeker at svaret på et slikt spørsmål «er ikke risikobasert, det er i alle fall ikke naturlig å forstå det slik».
Et eksempel på en risikobasert tilnærming av mottakerlandets lovgivning og praksis, er at det vektlegges hvor stor sannsynligheten er for at et myndighetsorgan faktisk griper inn og henter inn personopplysninger. Dette er en bredere vurdering enn kun å svare ja eller nei på om landets personvernlovgivning er tilsvarende EUs lovgivning, slik Jarbekk legger til grunn når hun skriver at det legges opp til en «binær tilnærming» til spørsmålet.
Risikobasert analyse
Se listen: Dette er IT-bransjens mest attraktive selskaper
Det europeiske Personvernrådet anser imidlertid en risikobasert tilnærming for å være en «subjektiv» faktor, som ikke bør vektlegges.
Etter vårt skjønn er en tilnærming der man ser vekk fra en risikobasert analyse med grunnlag blant annet i sannsynlighet, vanskelig å forene med prinsipper og tilnærminger som ellers understøtter GDPR – noe vi har argumenter for i en lengre artikkel i det nyeste Lov & Data.
EU-domstolen legger opp til en helhetlig vurdering av rettssystemet i tredjelandet. Gyldigheten av kontrakter for overværing, vil være avhengig av at det inkorporeres virkningsfulle tiltak «[...] that make it possible, in practice, to ensure compliance with the level of protection required by EU law.»
EU-domstolens uttalelser kan etter vårt syn ikke sies å trekke en grense mot «subjektive» vurderinger av tredjelandet. Tvert imot pålegges dataeksportør en utstrakt plikt til å vurdere alle relevante forhold i et tredjeland før opplysninger kan overføre dit.
Et sentralt element
Fokuset på risiko et av de mest sentrale elementene som skiller forordningen fra det gamle personverndirektivet: Mens det gamle personverndirektivet fra 1995 i stor grad benyttet forhåndskontroll og tilsynsgodkjenning, er det den behandlingsansvarliges risikovurderinger som nå benyttes som den sentrale mekanismen for å etterleve forordningens krav.
I forordningen slås det fast at egnet sikkerhet ved behandling av personopplysninger skal fastsettes ut fra en helhetlig vurdering, hvor blant annet risikoen av varierende sannsynlighets- og alvorlighetsgrad for fysiske personers rettigheter og friheter skal vurderes.
Centre for Information Policy leadership deler vår vurdering, og mener det bør gjennomføres en vurdering av de faktiske forhold, med grunnlag i sannsynligheten for ulemper (som at myndighetene får tak i informasjonen), når opplysninger skal sendes ut av EU/EØS.
Personvernrådets tilnærming er også i strid med hvordan også amerikanske myndigheter oppfatter EU-domstolens avgjørelse. I et White Paper utformet av det amerikanske handelsdepartementet, justisdepartementet og etterretningsdirektøren påpekes det at for mange virksomheter er sjansen for myndighetsinnsyn «[...] unlikely to arise because the data they handle is of no interest to the U.S. intelligence community.»
Problematiske anbefalinger
Anbefalingene er også problematiske å forene med formuleringer i EU-kommisjonens utkast til standardkontrakter for overføring til tredjestater. Det fremgår her at partene ved vurdering av egnet sikkerhetsnivå skal ta hensyn til «[...] the risks involved in the processing, the nature of the personal data and the nature, scope, context and purposes of processing».
Personvernrådet uttaler for øvrig selv at virksomheter kan legge vekt på opplysninger innhentet fra andre kilder, som for eksempel rapporterte hendelser, praksis og rettslige myndigheter. Personvernrådet har listet opp mulige informasjonskilder til vurdering av et tredjeland. Det fremgår her at rapporter fra akademiske institusjoner og samfunnsorganisasjoner, herunder for eksempel ikke-statlige organisasjoner og bransjeorganisasjoner, kan vektlegges.
Også i juridisk teori er det trukket frem at kravene i EU til overføring av opplysninger til tredjeland bør se på den reelle risikoen for at myndighetene får tilgang til opplysningene. Zwillinger, Weisz og Parsons påpeker blant annet at da Snowdens informasjonslekkasjer skjedde, var det rapportert om at færre enn ti selskaper hadde mottatt ordrer om informasjonsutlevering fra amerikanske myndigheter.
Selv om Jarbekks argumenter altså har sterk støtte av bl.a. Personvernrådet, er det ikke opplagt at den risikobaserte tilnærmingen må forkastes når man vurderer vern av grunnleggende rettigheter for de registrerte personene.
For vår del er vi mest enige med professor Theodore Christakis, som påpeker at: «The rejection of the risk-based approach by the EDPB is odd.» Også her bør risiko bety mer enn formelle vurderinger.
EU-domstolen: Meta brøt personvernregler