Privacy Shield-avtalen mellom USA og EU/EØS kan ikke lenger brukes som følge av Schrems 2 – dommen i sommer. Over tid vil nok USA og Europa forhandle frem en forbedret overføringsavtale, men inntil dette skjer, må både offentlig og privat sektor finne lovlige løsninger. EU har vært tydelige på at det ikke kommer noe moratorium inntil en ny løsning er på plass, og i Finland har Datatilsynet skriftlig spurt flere bedrifter om hvordan de nå forholder seg til overføringer til USA. Det har vært skrevet mange artikler om at overføringer til USA nå må stoppes, men er det riktig?
Vår opplevelse er ikke at mange «tar tilbake» sine data fra amerikanske leverandører. En del leverandører har ønsket å løse situasjonen ved å endre vilkårene sine fra å basere seg på Privacy Shield til å basere seg på de såkalte modellavtalene (oftest kalt «SCC»), men det er ikke en helhetlig løsning. SCC har nemlig prinsipielt akkurat de samme svakhetene som Privacy Shield.
Forskjellen mellom Privacy Shield og SCC er at svakhetene til SCC i stor utstrekning kan rettes på. For at SCC skal være et lovlig alternativ for overføring, vil avtalepartene måtte bli enige om tilleggsklausuler og tekniske tiltak.
River seg løs fra Android
Forslag til løsninger
Det har vært stor usikkerhet knyttet til hvordan dette skal utformes i praksis. Under er noen forslag til løsninger bestående av tekniske tiltak og tilleggsklausuler. Det er tre sentrale momenter i Schrems 2-dommen som man må ta hensyn til når man vurderer hva som kreves:
- § 702 i Foreign Intelligence Surveillance Act (FISA §702) åpner for en uforholdsmessig stor grad av overvåkning fordi loven ikke har begrensninger på når myndighetene kan samle inn utenlandsk informasjon.
- Både nevnte § 702 og overvåking i henhold til Executive Order 12333 (EO 12333) tillater innsamling av data utover hva som anses «strengt nødvendig» etter europeisk personvernrett.
- Ikke-amerikanske borgere gis ikke tilstrekkelige juridiske virkemidler i USA til å kunne forsvare seg mot amerikansk overvåkning.
EO 12333 gjelder bulkinnsamling for data som fraktes til USA, typisk via undersjøiske kabler. Det interessante er at amerikanske regler ikke pålegger dataimportøren å bistå myndighetene med datainnsamlingen. For å begrense amerikanske myndigheters tilgang etter EO 12333, kan man bruke en kombinasjon av tekniske og avtalemessige tiltak. Man kan avtale at importøren ikke frivillig skal hjelpe amerikanske myndigheter med innhenting hjemlet i EO 12333 og at opplysningene krypteres (med tilstrekkelig styrke), samt at importøren ikke skal gi nøkkelen til myndighetene. Hva slags kryptering som er nødvendig, må vurderes i hvert enkelt tilfelle.
Gjelder ikke alle
I tillegg er det viktig å forstå at FISA §702 kun gjelder enkelte dataimportører, nemlig de som er såkalt «electonic communication service provider» («ECSP»). Dette omfatter tilbydere av ekomtjenester slik vi kjenner det fra europeiske ekomregler, men går lenger ved at skyleverandører og visse leverandører av innholdstjenester også omfattes. De som ikke regnes som ECSP etter definisjonen, kan derfor avtale at utlevering etter FISA §702 ikke skal skje. Også her kan kryptering være aktuelt.
For dataimportører som regnes som ECSP, er situasjonen mer komplisert. I amerikanske medier opplyses dog at myndighetene benytter § 702, der det ønskes omfattende og gjentatt innsyn i data uten å gå via andre og mer tungvinte juridiske løsninger (typisk ved å bruke FISA-domstolen). I skrivende stund vet vi ikke hvor mange aktører som er ilagt slike innsynsordre, men på tidspunktet for Snowden-avsløringene ble det rapportert at færre enn ti selskaper mottok pålegg etter FISA §702.
Dette gjelder altså kun tilbydere av tradisjonelle ekomtjenester (internett, telekom, osv.) og enkelte sky- og innholdstjenester. Selv om dette tallet skulle være flerdoblet, vil det uansett være en liten andel av de mer enn 5300 selskapene som kan flytte fra Privacy Shield til SCC, og enda mindre for alle de som baserer seg på SCC. Dette innebærer at mange importører kan avtale og love at de rent faktisk ikke har vært ilagt innsynsbeslutning etter FISA §702, og de kan fortsette å love dette inntil de får en slik begjæring.
Washington Post: Kinesiske hackere har avlyttet telefonsamtalene til amerikanske politikere
Nye avtaler
Det er også mulig å avtalefeste at dataimportøren skal offentliggjøre hvor mange av deres brukere som underlegges et slikt innsynskrav i en såkalt «transparency report». Hvis en risikovurdering kan vise til at sannsynligheten for innsamling etter FISA §702 er meget lav, og opplysningene må anses lite interessante for amerikanske myndigheter, vil dataeksportøren kunne anta at risikoen er akseptabel.
Det er også viktig å avtale hva som skal skje hvis dataimportøren faktisk mottar en innsynsbegjæring etter FISA §702. Dels kan dette løses gjennom klausul 5 i SCC (controller to processor-avtalen) der det står at dataimportøren skal varsle dataeksportøren om manglende evne til å overholde vilkårene, slik at dataeksportøren kan stanse overføringen og si opp kontrakten. Dels er det lurt å avtalefeste dette i en tilleggsklausul, slik at dataimportøren minnes på at de både kan, og må, varsle dataeksportøren dersom dataimportøren ikke lenger kan holde alle sine løfter.
Dette kan gjøres uten at dataimportøren gir dataeksportøren beskjed om hvilket spesifikt løfte dataimportøren ikke lenger kan holde. Selv om dataimportøren ikke kan varsle konkret om at de har mottatt en FISA §702-begjæring, så kan de varsle om at de ikke lenger er i stand til å oppfylle gitte løfter. Ettersom krav etter FISA §702 krever at dataimportøren samarbeider med amerikanske myndigheter, bør det også avtales at dataimportøren varsler så raskt som overhodet mulig, slik at overføringen kan stanses før innsyn skjer.
For dataimportørens bruk av underleverandører i USA (og andre steder), skal dataimportøren være avtalemessig forpliktet til å sørge for at tilsvarende bestemmelser tas inn for dem. Dette vil nok ikke alltid være enkelt eller mulig, særlig når underleverandøren er en ESCP, men dette er noe man må ta opp med leverandøren for å undersøke hvilket handlingsrom som finnes.
Oppsummering og forskjellen fra lagring i Europa
Overføring av data til utlandet skal risikovurderes. Samtidig må man huske at GDPR er såkalt «risikobasert». Det er ikke et krav om absolutt sikkerhet i risikovurderinger, men et krav om at tiltakene står i forhold til risiko. Hvis sannsynligheten for at amerikanske myndigheter skal kunne få tak i opplysninger er lav og opplysningene antakelig ikke er interessante, så er disse forholdene relevante.
Dette innebærer at overføring til USA på ulike sektorer kan få ulike svar på sine risikovurderinger, selv om tiltakene er de samme. Det vil også telle med hvilken informasjon som gis til de registrerte, og om de har mulighet til å reservere seg mot overføringen. Selv om ovenstående forslag til kontraktstiltak og valgte krypteringsmekanismer ikke er perfekte, skisserer de hvilket mulighetsrom som finnes under SCC.
Man skal samtidig huske at amerikanske myndigheter også har en viss tilgang til data som lagres i Europa, også i Norge eller Irland, gjennom det som ofte kalles Cloud Act. Disse reglene gir ikke amerikanske politimyndigheter fri tilgang til data lagret i skyen, men har klare vilkår for tilgang til data som kan knyttes til spesifikke kriminelle handlinger, og det forutsettes en gjennomgang og godkjenning av en uavhengig dommer. Elektronisk lagring av data vil alltid innebære risiko for at myndigheter kan skaffe seg lovlig tilgang til opplysninger.
Behandlingsansvarlige må foreta dokumenterbare tiltak og risikovurderinger før overføring av data til utlandet. Konklusjonen kan være at overføring er helt OK, også til USA, men det er helt nødvendig å ha gode avtaler og vurderinger rundt dette.
Fem råd for bedre leverandørsikkerhet