Rett før nyttår publiserte Det europeiske personvernrådet (EDPB) en studie om myndigheters tilgang til personopplysninger i tredjeland, med særlig fokus på personvern i Kina, India og Russland. Utredningen har fått forbausende lite oppmerksomhet i Norge.
Vurderingene i studien følger i stor grad resonnementet i Schrems II-avgjørelsen. Schrems II gjelder imidlertid nokså spesifikt for overføring av personopplysninger til USA, og mange synes det er vanskelig å gjøre tilsvarende vurderinger av beskyttelsesnivået i andre tredjeland.
Studien er gjort av en ekstern aktør på oppdrag for EDPB. Den er ikke rettslig bindende, men er likevel nyttig for virksomheter som ønsker å benytte seg av leverandører i Kina, India eller Russland. Studien gjelder ikke bare lovgivningen i tredjelandet, men tar også for seg sannsynligheten for at myndighetene krever innsyn i praksis.
Datatilsynet refser Norwegian
Retten til privatliv nylig anerkjent i India
Når det gjelder vurderingen av India, trekker studien frem at retten til privatliv ikke har blitt anerkjent av Indias høyesterett før ganske nylig. I tillegg har personvernrett fått mer oppmerksomhet i India generelt. Studien legger likevel til grunn at indiske myndigheter har krenket disse rettighetene en rekke ganger. Her vises det også til at vilkårene for myndighetenes tilgang til personopplysninger er nokså vage og vidt formulerte. Myndighetene kan få tilgang til personopplysninger dersom det er et behov av hensyn til «national security». Dette gjelder for alle personopplysninger som oppbevares på indisk territorium og kan derfor omfatte opplysninger om europeiske borgere.
Studien presiserer at det riktignok er flere vilkår som må oppfylles for at myndighetene kan kreve tilgang begrunnet i «national security». Men uansett er ikke denne vurderingen særlig transparent, og dermed er det vanskelig å kunne kontrollere at vilkårene faktisk er oppfylt. Dette vurderes som en bekymringsverdig mangel, da indiske myndigheter ofte viser til «national security» uten å si noe om hva som faktisk nødvendiggjør tilgang til personopplysningene.
Studien konkluderer derfor med at individenes rettigheter og friheter i stor grad kan begrenses og at beskyttelsesnivået dermed er for svakt.
Begrenset rett til personvern i Russland
I vurderingen av Russland vises det til at russisk personvernlovgivning er komplisert. Selv om det formelle regelverket fremstår som svært bra, er det en rekke mangler og betenkeligheter knyttet til anvendelsen og håndhevelsen av reglene, ifølge studien. I tillegg trekkes det frem at Russland har fått mye oppmerksomhet for gjentatte brudd på menneskerettighetene, som ytringsfriheten. Ifølge rapporten er særlig retten til personvern og privatliv begrenset når det hevdes å være begrunnet i nasjonale sikkerhetsinteresser. Dette har også blitt trukket frem av menneskerettighetsdomstolen i saker mot Russland. På grunn av den nære sammenhengen i EU-rettssystemet bør derfor overføring av personopplysninger til Russland vurderes nøye.
Ifølge rapporten er det noen forskere som argumenterer med at digitaliseringen har ført til nye typer overvåkning og muligheter for sensur og informasjonskontroll. Dette gjenspeiles også i rapportens viktigste poeng angående Russland, nemlig at myndighetene har en tendens til å anvende personvernlovgivning til å håndheve politisk vilje, kontrollere internettet og beskytte myndighetenes interesser. Rapporten konkluderer følgelig med at russiske myndigheter har en betydelig mer negativ tilnærming til det å balansere grunnleggende rettigheter i den digitale verden, og at statens beskyttelsesbehov settes foran de registrertes interesser og rettigheter.
Overføring av personopplysninger til Russland er med andre ord forbundet med en betydelig risiko.
Studie: Energiforbruket for populære programmeringsspråk er skyhøyt
Kinesiske myndigheter har ubegrenset tilgang
I analysen av Kina tar studien utgangspunkt i landets grunnlov. Det vises til at det fremgår klart at Kina er et diktatur og at all makt er hos kommunistpartiet. I tillegg viser grunnloven at myndighetenes tilgang til personopplysninger ikke er innskrenket på noen måte. Studien legger til grunn at dette alene illustrerer at Kina ikke har et rettssystem som legger til rette for et reelt personvern og tilstrekkelig beskyttelse av europeiske borgeres personopplysninger.
Analysen av den øvrige lovgivningen tilsier videre at myndighetene har et stort spillerom når det gjelder å få tilgang til personopplysninger. Myndighetene er gitt brede fullmakter til å gjøre unntak fra personvernlovgivningen dersom nasjonal sikkerhet eller hensynet til den alminnelige orden tilsier det. Studien legger til at nasjonal sikkerhet og alminnelig orden tolkes betydelig videre i Kina kontra Europa og at disse hensynene er sterkt prioritert i Kinas politiske system.
Rapporten konkluderer derfor med at kinesisk personvernlovgivning gir myndighetene nærmest ubegrenset tilgang til personopplysninger og at den ikke gir nødvendige garantier for å sikre individets rettigheter og friheter etter GDPR.
Klargjørende veileder
Oppsummert kan det vel sies at dette ikke var særlig overraskende – og kanskje ikke spesielt oppløftende for virksomheter som ønsker å bruke leverandører i Kina, India eller Russland.
Studien er nyttig når en dataeksportør i EU/EØS skal vurdere den konkrete overføringen opp mot beskyttelsesnivået i det aktuelle tredjelandet. Det er tross alt nødvendig å kjenne til forholdene i det aktuelle tredjelandet for best å kunne avgjøre hvilke tilleggstiltak som må fattes i tråd med føringene fra Schrems II-avgjørelsen. Slik sett er studien både klargjørende og en hjelp.
Selv om datatilsynsmyndigheten EDPB ikke har sagt at de stiller seg bak vurderingen, ville den neppe blitt publisert om EDPB mente den var grunnleggende feil.
Relevante tilleggstiltak som kryptering vil være sentrale ved overføringer til Kina, India og Russland fremover. Virksomhetene bør bruke så sterk kryptering som mulig uten at dette svekker formålet med selve overføringen. Så langt det er mulig bør altså opplysningene krypteres både «i transitt» ved lagring og sikres når de er i bruk. Videre må krypteringsnøkkelen håndteres på en slik måte at tiltaket fungerer effektivt mot innsynsbegjæringer fra myndighetene.
Som alltid er det sentralt at virksomheten er proaktiv og etablerer alle nødvendige tiltak for å sikre at regelverket etterleves i tråd med ansvarlighetsprinsippet i GDPR artikkel 5.
Politiets nettverk usikret i syv år – blottla sensitive persondata