Schrems II-avgjørelsen får mye oppmerksomhet for tiden, også på digi.no. I en artikkel fra 11. september, hevder forfatterne at vurderingen av hvor overføringen skjer, beror først og fremst på hvor dataene fysisk sett lagres (behandles), og ikke hvem som drifter lagringstjenesten.
Fra dette premisset utledes at lagring av personopplysninger ved amerikanske skytjenesteleverandørers europeiske datasentre, neppe innebærer en «overføring» i regelverkets forstand av personopplysninger til USA og derfor at det vil være «rimelig å anta at disse tjenestene ikke reiser Schrems II-utfordringer».
Det er grunn til å problematisere resonnementet over, fordi fysisk lagringssted ikke alene er avgjørende for vurderingen av om det har skjedd en «overføring» til tredjeland i juridisk forstand.
«Overføring» er ikke definert
EUs utforming av et felleseuropeisk regelverk om personvern sprang opprinnelig ut av behovet for å adressere utfordringene ved økende datatrafikk på tvers av landegrensene. Man skulle kanskje derfor tro at det helt sentrale begrepet «overføring» er definert i GDPR, men det er det faktisk ikke. Det var det heller ikke i det tidligere regelverket. EUs eget datatilsyn (EDPS) skrev i et posisjonsnotat 14. juli 2014 at begrepet «transfer of personal data» burde defineres i den da kommende GDPR, og videre at begrepet normalt vil bestå av følgende elementer:
Communication, disclosure or otherwise making available of personal data, conducted with the knowledge or intention of a sender subject to the Regulation that the recipient(s) will have access to it.
I de norske forarbeidene til den nyeste personopplysningsloven (inklusive GDPR) står det i punkt 19.1: «Verken personopplysningsloven eller direktivet gir noen definisjon av overføring, men i praksis dreier det seg om flytting av eller tilgang til personopplysninger på tvers av landegrenser».
Tilgang er overføring
Sitatene viser at overføring ikke bare skjer ved flytting av store datamengder for lagring på en fysisk server. Overføring kan også skje gjennom tilgang til personopplysningene. Tilgang kan bety fysisk tilgang på lagringsstedet, men det kan også bety tilgang over nett. Dette kalles ofte fjernaksess, og kan skje både innenlands og på tvers av landegrenser.
23. juli i år, like etter at Schrems II-avgjørelsen falt, utga European Data Protection Board (EDPB) et FAQ-dokument om avgjørelsen. Punkt 11 er illustrerende:
«11) I am using a processor that processes data for which I am responsible as controller, how can I know if this processor transfers data to the U.S. or to another third country?
- The contract you have concluded with your processor in accordance with Article 28.3 GDPR must provide whether transfers are authorised or not (it should be borne in mind that even providing access to data from a third country, for instance for administration purposes, also amounts to a transfer).
- Authorization has also to be provided concerning processors to entrust sub-processors to transfer data to third countries. You should pay attention and be careful, because a large variety of computing solutions may imply the transfer of personal data to a third country (e.g., for storage or maintenance purposes).»
Personopplysninger
Det danske Datatilsynet bruker et praktisk eksempel på overføring til tredjeland gjennom fjernaksess på følgende måte i sin veileder om «Overførsel af personopplysninger til tredjelande» fra 2019, punkt 1.1:
«Eksempel 1: En virksomhed etablert i Danmark ønsker at benytte en virksomhed i Indien til IT-support. De indiske medarbejdere har ikke teknisk adgang til at lagre eller printe personoplysninger, men har alene adgang til at se oplysningerne.»
Så fortsetter Datatilsynet med følgende vurdering av eksempelet:
«Der er tale om en overførsel til et tredjeland, da personoplysninger i Danmark gøres tilgængelige for medarbejderne i den indiske virksomhed. Det gør ingen forskel, at oplysningerne alene kan ses i Indien eller, at medarbejderne ikke forstår dansk.»
Lagringsstedet får for stor oppmerksomhet
Etter vårt syn får selve lagringsstedet uforholdsmessig stor oppmerksomhet ikke bare i nevnte artikkel i digi.no, men også av kunder og i leverandørenes markedsføring. For skytjenester stilles det normalt krav til høy tilgjengelighet, ofte «24/7/365». Mange leverandører tilbyr dette, men for at det skal være praktisk mulig, vil teknisk personell måtte ha tilgang fra forskjellige tidssoner.
Dette kan omfatte tilganger til databasen med personopplysninger – som er og blir personopplysninger enten de er krypterte eller ikke – gjennom slik fjernaksess. Man står altså overfor en «overføring» dersom en konsulent eller operatør i USA kan aksessere personopplysninger på en europeisk server, for eksempel i forbindelse med support av et ERP-system.
Mange skytjenesteleverandører har også eksplisitt forbeholdt seg rett til å gi slik fjernaksess i standardavtaleformularene som benyttes med kunden. Andre leverandører nevner det bare vagt eller ikke i det hele tatt – og det hender vi opplever at noen blir unnvikende i sine svar når man stiller spørsmålet direkte.
Det er flere faktorer som peker i retning av at Schrems II vil få konsekvenser for service og support på skytjenester basert på global fjernaksess. Det at leverandøren eksplisitt begrenser lagringsstedet til en europeisk lokasjon, medfører ikke at Schrems II automatisk kan avskrives. Selv om dommen stiller strengere krav til overføringer, kan man fortsatt overføre til USA og andre tredjeland med utgangspunkt i EUs Standard Contractual Clauses og nødvendige tilleggsmekanismer. Det finnes et mulighetsrom der, slik vi beskrev i vår forrige artikkel.