I 2020 avsa EU-domstolen den prinsipielle og mye omtalte Schrems II-dommen om overføring av personopplysninger til land utenfor EU/EØS. Dommen har skapt en rekke praktiske utfordringer for både små og store virksomheter over hele verden. I realiteten innebærer dommen at personopplysninger vanskelig kan overføres lovlig til USA og at behandlingsansvarlige må foreta konkrete vurderinger av hvorvidt destinasjonslandets lokale regelverk og praksis kan undergrave det beskyttelsesnivået som følger av GDPR.
Det har i lys at dette også oppstått et spørsmål om det er tillatt å overlate behandling til et europeisk selskap som utfører all behandling av personopplysninger i EU/EØS når dette selskapet har en eier («morselskap») som er lokalisert i et ikke-godkjent tredjeland og dermed er underlagt lovgivning som kan medføre at også det europeiske selskapet kan bli pålagt å utlevere personopplysninger til tredjelandets myndigheter.
Særregler
All overføring av personopplysninger til et land utenfor EU/EØS, som GDPR omtaler som «tredjestater», forutsetter at vilkårene i GDPR kapittel V er oppfylt. Innenfor EU/EØS er alle medlemslandene forpliktet til å følge GDPR, slik at personopplysninger fritt kan flyte innenfor EU/EØS uten krav til overføringsgrunnlag. Overføring av personopplysninger ut av EU/EØS krever imidlertid et overføringsgrunnlag for å være lovlig og for å sikre at personvernet i GDPR ikke undergraves.
EU-kommisjonen har gjennom såkalte adekvansbeslutninger anerkjent at noen tredjeland har et tilstrekkelig nivå for vern av personopplysninger. Overføringer til et slikt forhåndsgodkjent land er sammenlignbart med overføringer til land innenfor EU/EØS, og det vil da ikke være krav om et særskilt overføringsgrunnlag, plikt til å foreta egne vurderinger om beskyttelsesnivået eller å få godkjennelse fra Datatilsynet. Per i dag har 14 land fått en beslutning om tilstrekkelig beskyttelsesnivå.
Morselskap i ikke-godkjente tredjeland
Etter Schrems II har det vært hyppig diskutert hvilken betydning det har at et europeisk selskap som utelukkende skal behandle personopplysninger i EU/EØS, har et morselskap som er lokalisert i et ikke-godkjent tredjeland og som er underlagt lovgivning som kan bety at det europeiske datterselskapet kan bli pålagt å utlevere personopplysninger. En slik utlevering fra et europeisk selskap kan være i strid med både GDPR og eventuell inngått databehandleravtale.
Hvilken betydning har dette i praksis? Må man avslutte alle slike databehandleroppdrag selv om kontrakt og databehandleravtale stadfester at det ikke skal skje en overføring av personopplysninger? Eller åpner personvernregelverket for en risikobasert tilnærming på dette området?
Grunnleggende forpliktelser
Det er en forutsetning etter GDPR at en databehandler bare skal behandle personopplysningene på dokumenterte instrukser fra den behandlingsansvarlige. Dette betyr i praksis at dersom man som behandlingsansvarlig ikke uttrykkelig har gitt databehandleren tillatelse til å overføre personopplysninger til tredjeland, skal databehandleren ikke gjennomføre slik overføring. Utfordringen oppstår imidlertid dersom databehandleren blir pålagt å utlevere personopplysninger i henhold til lovgivning i ikke-godkjente tredjeland og blir stilt overfor dilemmaet med å velge hvorvidt en slik forespørsel skal etterkommes eller om databehandleren skal innrette seg etter GDPR, kontrakt og databehandleravtale.
GDPR legger til grunn at en databehandler som handler i strid med instruksjoner fra den behandlingsansvarlige, selv vil bli ansett som behandlingsansvarlig for en overføring i strid med instrukser som er gitt. Slik sett kunne man tenkt at det vil være databehandlerens problem å sikre at utleveringen og overføringen ut av EU/EØS er lovlig.
Så enkelt er det likevel ikke, da den behandlingsansvarlige har en grunnleggende forpliktelse til å sørge for at regelverket følges når personopplysninger behandles. Etterlevelse skal kunne «påvises» og dokumenteres. Den behandlingsansvarlige skal kun ta i bruk databehandlere som gir tilstrekkelige garantier for egnede tekniske og organisatoriske tiltak som sikrer at behandlingen oppfyller kravene i GDPR.
Dette ansvaret innebærer blant annet at både databehandleren og den aktuelle behandlingen må risikovurderes for å sikre at personopplysningene blir tilstrekkelig beskyttet. Dette må skje før kontrakt inngås og før behandlingen starter. Det må blant annet vurderes om det er risiko for at personopplysningene kan bli gjort tilgjengelige for uvedkommende. Dette betyr i praksis at behandlingsansvarlig ikke kan se bort fra risiko ved at databehandlerens morselskap er underlagt lovgivning som kan medføre at databehandleren kan bli pålagt av mor å utlevere personopplysninger.
Risikovurdering ved morselskapsproblematikk
GDPR har en risikobasert tilnærming. Ved avgjørelsen av hvilken risiko som foreligger og hvilke tekniske og organisatoriske tiltak som er egnet til å ta ned risikoen, skal den behandlingsansvarlige ta utgangspunkt i behandlingens art, omfang, formål og sammenhengen den utføres i. Ved vurderingen av hva som er riktig beskyttelses- og sikkerhetsnivå, skal det særlig tas hensyn til risikoene forbundet med ikke-autorisert utlevering av eller tilgang til de aktuelle personopplysningene. Den behandlingsansvarliges vurdering av om en databehandlers garantier er tilstrekkelige, er en risikovurdering som vil avhenge av typen behandling som er betrodd databehandleren.
Risikovurderinger er helhetsvurderinger hvor en rekke ulike elementer veies mot hverandre. Det er ved eierskapsproblematikk naturlig å starte med å undersøke hvorvidt morselskapet faktisk kan være bundet av inngripende lovgivning. Her kan man be om databehandlerens egne vurderinger, men disse bør ikke være avgjørende alene. Dersom man kommer til at databehandleren kan bli pålagt å utlevere personopplysninger på bakgrunn av inngripende lovgivning i tredjelandet hvor morselskapet er etablert, må den behandlingsansvarlige også risikovurdere dette aspektet. Relevante momenter vil blant annet være hvilke personopplysninger det er tale om, formålet med behandlingen og tjenesten, hvilken risiko en utlevering vil medføre for de registrerte og hvilke tekniske, organisatoriske og kontraktuelle tiltak som vil iverksettes for å forhindre utlevering og redusere risiko.
Schrems II-dommen er kritisert for at den ikke åpner for en risikobasert tilnærming. Det er viktig å være oppmerksom på at når det gjelder eierskapsproblematikk, stiller dette seg annerledes. Det at regelverket åpner for en risikobasert tilnærming i denne sammenheng, ble tydeliggjort i en avgjørelse fra den franske forvaltningsdomstolen Conseil d’Etat i mars 2021. Saken gjaldt om personopplysninger som ble behandlet ved booking av Covid-19-vaksinasjoner, var tilstrekkelig beskyttet på plattformen som ble driftet av AWS Sarl, et datterselskap av amerikanske Amazon Web Services (AWS). Klageren, fagforeninger i helsesektoren, hevdet at det ble behandlet sensitive personopplysninger og at det innebar et brudd på personvernrettighetene at personopplysninger ble behandlet i et system driftet av et datterselskap av det amerikanskbaserte AWS.
For det første påpekte Conseil d’Etat at det i dette tilfellet ikke skjedde en overføring av personopplysninger slik overføringsbegrepet skal forstås etter GDPR kapittel V. Dette fordi behandlingen skjedde i Europa av et europeisk selskap. De anså det imidlertid som en risiko at amerikanske myndigheter kunne få tilgang til personopplysninger på bakgrunn av det amerikanske eierskapet.
Domstolen kom likevel frem til at personopplysningene ikke var sensitive under begrunnelse av dette kun gjaldt navn på personer og deres tidspunkt for vaksinering, og at beskyttelsesnivået var tilstrekkelig på bakgrunn av iverksatte tiltak. Av iverksatte tiltak ble det vist til at personopplysningene ville bli slettet etter tre måneder, det fantes sikkerhetsmekanismer (kryptering) som ville forhindre tredjeparter i å kunne lese data og at partene hadde avtalt en egen prosess som skulle følges dersom AWS Sarl skulle få innsynsbegjæringer fra utenlandske myndigheter. Her skulle alle forespørsler som ikke var i tråd med europeisk regelverk, bestrides.
Selv om dommen ikke kan gis generell rekkevidde, underbygger den likevel forståelsen av at der databehandler har avgrenset behandlingen til EU/EØS, vil betydningen av eierskap og muligheter for utlevering til offentlige myndigheter på bakgrunn av dette, kunne avgjøres gjennom en risikovurdering av den konkrete databehandleren. Som del av disse vurderingene har det vært tatt til orde for at det bør undersøkes i hvilken grad databehandler og morselskapet tidligere har mottatt begjæring om utlevering av personopplysninger, hvilke personopplysninger som ble etterspurt og i hvilken grad personopplysningene ble utlevert. Videre bør det vurderes hva databehandler selv uttrykker om hvordan pålegg om utleveringer håndteres. Det må også vurderes om databehandler har iverksatt organisatoriske og tekniske tiltak for å hindre at myndigheter i ikke-godkjente tredjeland kan få tilgang.
Man bør imidlertid være oppmerksom på at det også er avsagt en avgjørelse som gir utrykk for at det at databehandler kan bli pålagt å utlevere personopplysninger, er å anse som en overføring. I desember 2021 kom den tyske forvaltningsdomstolen Wiesbaden Administrative Court til at Rhine-Main University of Applied Sciences måtte slutte å bruke et cookie-samtykkeverktøy fordi det overfører personopplysninger til et selskap som har eiere i USA. Opplysningene ble opplyst å være lagret i EU, og avtalen skal ha vært inngått med det europeiske tilknyttede selskapet.
Domstolen skal ifølge IAPP aldri ha vurdert hvorvidt en overføring faktisk finner sted, men de formidler at domstolen går langt i å si at så lenge mottaker av personopplysningene formelt kan bli forespurt om utlevering av personopplysninger fra myndigheter utenfor EU, må det regnes som en overføring. Denne tilnærmingen er annerledes enn European Data Protection Board (EDPB) sin definisjon av hva en «overføring» er. Her viser ingen av eksemplene til EDPB som er knyttet til overføring, at personopplysningene fysisk fortsatt forblir i EU.
Dersom eksisterende tiltak gjør behandlingsansvarlig trygg på at risikoen for at myndigheter i ikke-godkjente tredjeland får tilgang til personopplysningene, er liten – sammenlignet med den nytten behandlingsansvarlig får av den aktuelle behandlingen, taler dette for at risikoen ved å bruke en databehandler med morselskap i et ikke-godkjent tredjeland kan aksepteres.
Det vil være særlig viktig at alle risikovurderinger knyttet til databehandleren og behandlingen dokumenteres. Slike vurderinger er ikke en engangsøvelse som er lett å gjennomføre. Her må det ofte benyttes flere ressurser med ulike kompetanser, og vurderingene som gjelder lokal lovgivning i ikke-godkjente tredjeland, kan være spesielt krevende.
Kontraktsvilkår som tillater overføring
Som nevnt skal databehandleren bare behandle personopplysningene basert på dokumenterte instrukser fra den behandlingsansvarlige, og slik kan det settes forbud mot overføring til ikke-godkjente tredjeland i partenes databehandleravtale. Imidlertid blir behandlingsansvarlig ofte møtt med standardvilkår som tar forbehold om at nettopp slik overføring kan skje, og hvor det oppleves å være lite forhandlingsrom.
For slike tilfeller vil det allerede ved kontraktsinngåelse være stadfestet at overføring er en reell mulighet som behandlingsansvarlig også har samtykket til på forhånd. Dette reiser både behovet for å fastslå hvem av partene som vil være behandlingsansvarlig for en slik overføring og – dersom databehandleren skal anses som behandlingsansvarlig for overføringen – hvilket behandlingsgrunnlag den behandlingsansvarlige kunden har for å tillate dette ettersom utlevering av personopplysninger også krever et gyldig behandlingsgrunnlag. I praksis betyr dette at den behandlingsansvarlige kunden må identifisere det gyldige behandlingsgrunnlaget for at kontraktsinngåelse og benyttelse av databehandleren skal være i tråd med personvernregelverket.
Dersom det er særlige kategorier av personopplysninger som behandles, kan dette bli særlig utfordrende fordi behandlingen da også vil kreve at tilleggsvilkår for å behandle slike personopplysninger er oppfylt, og disse er betraktelig snevrere.
Hva kan vi oppsummere med?
Det innebærer en risiko for en ulovlig utlevering å benytte en databehandler som utelukkende skal behandle personopplysninger i EU/EØS, dersom morselskapet er etablert i et ikke-godkjent tredjeland og underlagt lovgivning som kan innebære pålegg om utlevering av personopplysninger.
Det må i slike tilfeller foretas en dokumentert risikovurdering som tar hensyn til typen personopplysninger som behandles, risiko for personvernet, formålet med tjenesten, hvilke tekniske og organisatoriske tiltak som vil bli innført, hvordan forholdet skal kontraktreguleres mellom partene og hvordan databehandleren håndterer henvendelser fra myndigheter. Særlig varsomhet bør utvises dersom man som behandlingsansvarlig i kontrakt samtykker til at slik utlevering kan skje uten at roller, ansvar og behandlingsgrunnlag er vurdert.