I artikler på digi.no den 17. august og 9. september 2020 omtales den såkalte Schrems II-avgjørelsen. Det hevdes blant annet at “flertallet av norske virksomheter er berørt, og de er nødt til å foreta seg noe”, og artiklene kan gi inntrykk av at alle amerikanskeide skytjenester berøres av Schrems II avgjørelsen. Dette er etter vårt syn unyansert.
Schrems II avgjørelsen gjelder overføring av data til såkalte tredjeland, altså land utenfor EU/EØS, der GDPR ikke gjelder direkte. Den gjelder imidlertid ikke overføring av data innen EU/EØS, og slik overføring er også tillatt etter GDPR.
Vurderingen av hvor overføringen skjer, beror først og fremst på hvor dataene fysisk sett lagres (behandles), og ikke hvem som drifter lagringstjenesten. I alminnelighet må formodningen være at man i tilfeller der personopplysningene lagres innenfor EU/EØS, er innenfor GDPR og utenfor Schrems II.
Tre år med GDPR: Hva kan finansbransjen vente seg fremover?
Vil skape hodebry for mange
Det er åpenbart at Schrems II-avgjørelsen får betydning for mange norske virksomheter, og at avgjørelsen vil skape hodebry for mange fremover. Selv om avgjørelsen skaper utfordringer ved overføring av personopplysninger til USA og andre tredjeland, er det imidlertid ikke slik at enhver avtale med en amerikansk leverandør innebærer at data overføres til USA, eller at amerikanske leverandører per definisjon er ulovlige.
Som tidligere kommentatorer har bemerket er det antakeligvis også mulig – også etter Schrems II – å overføre personopplysninger fra EØS til USA under nærmere forutsetninger.
Mange skytjenesteleverandører tilbyr i dag geografisk begrenset lagring innenfor EU/EØS, hvor GDPR gjelder direkte også for leverandører med røtter i tredjeland. I utgangspunktet må det da også være rimelig å anta at disse tjenestene da ikke reiser Schrems II-utfordringer, selv om det er et amerikansk selskap som står bak.
Så fremt behandlingen av personopplysninger rent faktisk er geografisk begrenset til EU/EØS bør også dette være uproblematisk. Ellers ville jo Schrems II gjelde enhver behandling av personopplysninger hvor tredjelands selskaper er involvert, også innenfor EU/EØS, og så langt kan avgjørelsen neppe strekkes.
Relevant problemstilling
Så kan man stille spørsmål ved om tredjelands myndigheters rett til å overvåke og innhente data som lagres innen EU/EØS, og særlig fra "egne" selskaper, kan utgjøre en selvstendig trussel mot personvernet. Amerikanske myndigheter har eksempelvis omfattende rettigheter overfor amerikanske selskaper, som ikke er geografisk begrenset til USA, og problemstillingen er slikt sett relevant.
Man kan også tenke seg at personopplysninger som følge av etterretningsaktivitet eller lignende blir «utlevert» til tredjeland, eller at leverandøren i strid med sine løfter ikke tilbyr en EU/EØS begrenset tjeneste. Prinsipielt sett blir imidlertid dette mer en diskusjon om informasjonssikkerhet og risikovurderinger, eventuelt om databehandleren bryter sine forpliktelser ved å overføre til tredjeland, enn om man som behandlingsansvarlig har gyldig grunnlag for overføring av data til skytjenesteleverandør som lagrer dataene i EU/EØS.
Det er også stilt spørsmål ved lovligheten av enkelte tjenester i lys av Schrems II, slik som Google Analytics og Facebook Connect, på bakgrunn av at disse overfører personopplysninger til USA. Slik overføring kan ikke lenger skje på bakgrunn av Privacy Shield, og det er usikkert om den kan skje på annet grunnlag.
Norske virksomheter som ønsker å benytte slike tjenester må i lys av Schrems II gjøre vurderinger og tiltak på bakgrunn av dette. Imidlertid blir dette i første rekke et spørsmål om hvor personopplysningene faktisk overføres, og om leverandøren eventuelt har gyldig grunnlag for overføringen til tredjeland, og ikke om leverandøren er et amerikansk selskap eller ikke.
Oppdaterte modellavtaler kommer
Siste utvikling er ellers at det europeiske Personvernrådet (EDPB) i et møte 3. september 2020 varslet at de holder på med å utarbeide nye anbefalinger og oppdaterte modellavtaler. Dette vil forhåpentligvis gjøre det enklere for både norske kunder og amerikanske leverandører å finne ordninger som gjør det praktisk mulig å overføre personopplysninger til USA på lovlig måte.
Videre arbeides det med en erstatning for Privacy Shield, men det er ingen «quick fix» i sikte. Følgelig vil det i overskuelig fremtid være nødvendig for norske virksomheter å bruke en del tid og ressurser på dette dersom man overfører data til tredjeland, herunder at man kanskje må innfinne seg med at noen tjenester ikke kan brukes lovlig uten endringer i leverandørens vilkår og lignende.
Eivind Grimsø Moe og Øivind K. Foss
Krangler om fiber: Møter Bane Nor både i retten og hos Esa