Den 4. juni i år publiserte EDPB en ny avtale, en såkalt SCC, som kan brukes når man skal overføre personopplysninger til land utenfor EØS. Dette er svært relevant for bruk av mange skytjenester.
Slike overføringer til land utenfor EØS, krever et nærmere angitt personvernnivå i mottakerlandet. Mange har vært opptatt av om den nye SCC'en nå åpner for en risikobasert tilnærming til hva som skal anses som tilstrekkelig personvernnivå. Mye tyder på at det er tilfelle, men dette vil snart utdypes fra EUs personvernråd som ventes å komme med nye retningslinjer for overføring av personopplysninger. Personvernrådet har møte i morgen og dette er noe av det de har på agendaen.
Samtidig er det et annet, meget viktig aspekt ved den nye SCC'en, som enda ikke har fått mye oppmerksomhet i Norge. Det kan nemlig tenkes at man ikke trenger en SCC for overføring av personopplysninger til tredjeland i det hele tatt. Om det stemmer, så ville mye av diskusjonene om lovlig bruk av skytjenester måtte bli helt annerledes.
Endelig lovlige skytjenester?
Bakgrunnen er at da EU besluttet den nye SCC'en, så skjedde det gjennom en såkalt "Implementing decision" fra Kommisjonen. En slik decision har en rekke "recitals", som sier noe om hvordan SCC'en skal forstås. I recital 7 presiserer EU at SCC’en kun kan benyttes om behandlingen i tredjelandet ikke er underlagt GDPR. Ordlyden er som under:
« ... The standard contractual clauses may be used for such transfers only to the extent that the processing by the importer does not fall within the scope of the Regulation (EU) 2016/679.»
Eller sagt på en annen måte: dersom den som behandler opplysningene i tredjelandet er underlagt GDPR, så kan man ikke bruke SCC'en. Det er faktisk tilstrekkelig med en helt vanlig databehandleravtale.
Begrunnelsen er at de aktuelle opplysningene allerede "er beskyttet" ettersom bestemmelsene i GDPR må respekteres. Samtidig har GDPR i svært stor grad såkalt ekstraterritoriell virkning. Artikkel 3 slår nemlig fast at behandlinger av opplysninger om europeere skal overholde GDPR, uavhengig av om behandlingen skjer innenfor EU eller ikke. Det samme gjelder om en aktør utenfor EU tilbyr tjenester til europeere.
Dette får store konsekvenser. I de fleste scenarioer hvor en europeisk behandleransvarlig overfører personopplysninger til en ikke-europeisk databehandler så vil da ikke SCC’en kunne brukes. Et helt enkelt eksempel er at en norsk nettbutikk vil benytte en underleverandør i USA for kommunikasjon med kundene sine og drift av nettsidene. På grunn av GDPR artikkel 3, vil alle behandlingene som nettbutikken er ansvarlig for, være underlagt bestemmelsene i GDPR. Og man trenger ingen SCC for overføringen.
Men recital 7 stopper ikke med dette. Den fortsetter som følger:
«This also includes the transfer of personal data by a controller or processor not established in the Union, to the extent that the processing is subject to Regulation ..»
Suksess for norsk KI-film
Dette innebærer at fordi den amerikanske databehandlerens behandlinger er underlagt GDPR, så må SCC’en anvendes for eventuelle videre overføringer fra det amerikanske selskapet til en ny tredjepart som ikke er innenfor EUs grenser. Et eksempel kan være at det amerikanske selskapet tilbyr en funksjon som lar kundene lagre sin kortinformasjon til neste gang de skal kjøpe noe, og den informasjonen blir lagret i servere som driftes av et annet amerikansk selskap.
En slik restriktiv bruk av SCC'en fremstår ikke umiddelbart logisk når tidligere SCC'er jo nettopp har blitt brukt på overføringer til land utenfor EØS. På mange måter er det nesten vanskelig å tro at EU har ment at bruken av SCC'ene skal være så begrenset. Formuleringene og forståelsen er ikke ukontroversiell og har ført til omfattende diskusjon blant personverneksperter. Den gjengse oppfatningen er at dette må avklares nærmere av EU. Det sies også at Directorate-General for Justice and Consumers snart skal komme med en avklaring om hvordan dette var ment, samt om en del andre uavklarte forhold. Det trengs også en avklaring av om partene i en SCC kan avtale avvikende bestemmelser om ansvarsfrihet – heller ikke dette er entydig avklart i ordlyden.
Dersom recital 7 skal forstås helt bokstavelig, kommer det til å bli en komplisert fremtid der virksomheter som sender personopplysninger frem og tilbake over landegrenser må ha kontroll over hvilke av deres underleverandører som er underlagt GDPR og hvilke som ikke er det. Det er forsiktig sagt at det blir spennende å se hvordan dette utvikler seg fremover. Det er spennende tider for personvernet og det er virkelig å håpe at EU nå forenkler det rettslige rammeverket og ikke kompliserer det enda mer.
Varsler nytt digitalt regelverk