Den første anbefalingen, kalt «Deleger problemet», gir følgende anvisning på å omgå problemet med manglende tilleggssikringer ved dataeksport til USA: «Et motmiddel mot denne svakheten er å la Googles irske datterselskap være avtalemotpart. Dermed vil den norske behandlingsansvarlige ikke overføre data ut av EØS, og problemet med overføringsgrunnlag delegeres til Google Irland.»
Vi mener at det å velge en annen avtalepart, slik Bull anbefaler, er en for enkel tilnærming og ikke vil fjerne problemet. Den norske behandlingsansvarlige vil kunne være ansvarlig både for sin databehandler (Googles irske datterselskap) og dennes eventuelle deling av personopplysninger med sin under-databehandler (Google LLC eller lignende Google-enheter i USA). Den norske behandlingsansvarlige vil med andre ord kunne være ansvarlig for overføringen av data ut av EU/EØS, selv om overføringen skjer lenger ned i verdikjeden (her: mellom Googles irske datterselskap og Google LLC).
Fare for omgåelser
Svaret på hvem som er behandlingsansvarlig for selve overføringen til tredjeland, forutsetter en konkret vurdering og avhenger av en rekke faktorer. Noe annet ville etter vårt syn åpnet for omfattende omgåelser når en er klar over at overføringer kan eller vil skje i senere ledd. Datatilsynet har spesifikt adressert dette teamet i sin oppdaterte veiledning om tredjelandsoverføringer, se her.
Det er grunn til å minne om at EDPB/Personvernrådet den 14. februar i år kom med en mye omtalt ny guideline om «the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V» (se EDPB Guidelines 05/2021). De skriver blant annet at hvis en behandlingsansvarlig basert i EU er en databehandler som også er basert i EU, men som er et datterselskap av et selskap basert i et tredjeland, må særskilte vurderinger gjøres.
I seg selv er ikke dette en overføring til tredjeland. Men det blir en overføring om databehandleren, som datterselskap av – for eksempelet amerikansk morselskap – er underlagt lovene i landet der mor er etablert og kan pålegges å overføre opplysninger til tredjelandet i samsvar med lokale lover.
Dersom databehandleren overholder dette og overfører dataene til myndigheter i tredjelandet, anser EDPB dette som en tredjelandsoverføring. Dersom den behandlingsansvarlige har forbudt en slik overføring i databehandleravtalen, handler databehandleren i strid med instruksjonene fra den behandlingsansvarlige og anses selv å være behandlingsansvarlig for denne behandlingsoperasjonen i henhold til Art 28 (10) GDPR.
Og det aller viktigste (og vanskeligste) er kanskje dette: Den behandlingsansvarlige plikter på forhånd å kontrollere om leverandørene er underlagt slike tilgangsrettigheter fra utenlandske myndigheter og om nødvendig treffe passende tekniske og organisatoriske tiltak for å sikre at dette ikke skjer. Akkurat på dette punktet er det mange som må se nøye på hvordan skytjenestene deres er satt sammen og hvilken tilgang leverandøren har. Og å delegere ansvaret er ikke så enkelt.
Kort om nytt Data Privacy Framework
Den fjerde anbefalingen fra Kristian Foss og Tara Årøe, kalt «Ta en pause», er formulert slik: «I løpet av året vil trolig det nye EU-US Data Privacy Framework bli godkjent som overføringsgrunnlag. Dermed hvitlistes USA av EU-kommisjonen. En hvitlisting av amerikanske selskaper er imidlertid ikke nødvendigvis løsningen på alle problemer. Det fremgår av varselet om vedtak mot Telenor at Google ikke selv opplyser fra hvilke land tilgang til dataene blir gitt»
Det er ikke riktig at USA som sådan hvitlistes av EU-kommisjonen. Det er kun selskaper som har registrert seg under ordningen med EU-US Data Privacy Framework (DPF), slik det var under Safe Harbour og Privacy Shield, som vil være omfattet av hvitlistingen.
Selskap som var oppført under Privacy Shield, og som ønsker å etterleve DPF-krav, må innen tre måneder fra iverksetting av DPF gjennomføre endringer i sine interne rutiner for å bevare sin status. Selskap blant disse som ikke vil kunne etterleve DPF-krav, må melde seg ut (og blir da på en måte «svartelistet»).
Nye selskap som ønsker å bli del av DPF, må gjennomføre selvsertifisering i henhold til DPF. Overføring av personopplysninger fra Norge til selskap i USA som ikke er del av DPF, må anses som overføring til selskap i tredjeland uten adekvat beskyttelsesnivå og uten forhåndsgodkjenning av EU-kommisjonen. Google vil nok dekkes av rammeverket. Men på generell basis er det all grunn til å vurdere hver enkelt overføring til USA konkret, også etter at et eventuelt DPF er på plass.
Pasientopplysninger fra Helse Sør-Øst var ikke på avveie