Personvernets nye kjendis, aktivisten Maximillian Schrems, har skapt en bølge av usikkerhet for alle virksomheter som overfører personopplysninger til land utenfor EU/EØS. Den avsagte Schrems II-dommen avgjør at overføringsgrunnlaget Privacy Shield er ugyldig. Nå står virksomheter igjen med en EU-standardavtale og masse spørsmål.
Hva er Privacy Shield?
Overføring av personopplysninger utenfor EU/EØS er ulovlig etter GDPR, med mindre et av lovens unntak kommer til anvendelse. Noen få land har EU-Kommisjonen godkjent som sikre. Dette gjelder per i dag: Andorra, Argentina, Canada (gjelder ikke hvis mottakeren er et offentlig organ), Færøyene, Guernsey, Israel, Isle of Man, Japan, Jersey, New Zealand, Sveits og Uruguay.
I alle andre tilfeller hvor personopplysninger overføres til stater utenfor EU/EØS, «tredjeland», er det et krav at et av overføringsgrunnlagene angitt i kapittel V i GDPR benyttes. Uten å ha et slikt grunnlag på plass, er det ulovlig å overføre personopplysninger utenfor EU/EØS.
Et mye anvendt overføringsgrunnlag mellom EU og USA har frem til sommeren 2020 har vært Privacy Shield. Privacy Shield var en avtale mellom EU og USA som åpnet for at amerikanske selskaper kunne sertifisere seg selv. Selskapene måtte innestå for at de personopplysningene som ble overført til USA, hadde et tilsvarende høyt beskyttelsesnivå som følger av GDPR. Andre alternative overføringsgrunnlag til land utenfor EU/EØS er samtykke, standardavtaler vedtatt av Europakommisjonen (EUs standardklausuler eller «SCC») eller bindende virksomhetsregler for et konsern eller gruppe av foretak (Binding Corporate Rules, eller «BCR»).
En forutsetning for å kunne overføre personopplysninger til et tredjeland, er at overføringen ikke medfører at nivået på personvernet som borgere i EU/EØS har etter GDPR undergraves. For å ikke undergrave personvernet til europeiske borgere inneholder GDPR art. 46 et krav om at de registrerte har håndhevbare og effektive rettsmidler for å sikre sitt personvern.
Tre år med GDPR: Hva kan finansbransjen vente seg fremover?
Hvorfor er Privacy Shield kjent ugyldig?
Den 16. juli 2020 avsa EU-domstolen en prinsipiell dom om overføring av personopplysninger til USA (Schrems II-dommen). Dommen handler om hvorvidt Facebook Irland kunne overføre personopplysninger til Facebook Inc. i USA. I dommen blir Privacy Shield-avtalen kjent ugyldig med den begrunnelse at beskyttelsesnivået for personopplysninger i USA ikke er tilstrekkelig.
EU-domstolen viser til at USA kan gjennomføre masseovervåking av elektronisk kommunikasjon uten samtykke og uten begrensning knyttet til hva som er strengt nødvendig. De amerikanske overvåkingslovene gir heller ikke europeiske borgere adgang til å etterprøve myndighetenes beslutning om overvåking, eller adgang til å rettslig forfølge sine rettigheter som registrerte ovenfor de amerikanske myndighetene.
Det vil videre ikke være mulig å unngå amerikansk adgang til elektronisk kommunikasjon ved å flytte behandlingen til selskapet i EU/EØS som har morselskap eller søsterselskap i USA. Cloud Act gir amerikanske myndigheter tilgang til digital informasjon fra alle bedrifter og organisasjoner som tilbyr eller håndterer elektronisk kommunikasjon innenfor amerikansk jurisdiksjon. Dette inkluderer alle utenlandske selskaper som har hovedkontor eller søsterselskap i USA, i tillegg til utenlandske nettsider som leses av brukere i USA.
Selv om dommen direkte gjelder overføringer til USA, vil den ha betydning også for overføring til andre tredjeland utenfor EU/EØS med tilsvarende etterretningslover som trumfer europeiske borgeres personvern. Dataeksportøren må derfor undersøke nøye om det finnes forhold som gjør at beskyttelsesnivået som overføringsgrunnlaget er ment å sikre, ikke vil kunne realiseres i praksis. Her er det viktig å undersøke om dataimportøren er underlagt lover, regler eller systemer som er i strid med importørens forpliktelser etter overføringsgrunnlaget, eller som på annet vis senker beskyttelsesnivået.
Hva slags overføringsgrunnlag kan benyttes nå?
Bruk av Privacy Shield som overføringsgrunnlag må opphøre umiddelbart. EU-domstolen gir ingen adgang til å benytte overføringsgrunnlaget i en overgangsfase, slik at virksomheter kan få tid til å områ seg. Av den grunn har det rettslige vakuumet som Schrems II-dommen har etterlatt seg, skapt mye frustrasjon og usikkerhet blant virksomheter.
De mest praktiske alternative overføringsgrunnlagene for overføring til USA er EUs standardklausuler, med mindre virksomheten allerede har på plass bindende virksomhetsregler (Binding Corporate Rules). EU-domstolen åpner uttrykkelig for at EUs standardklausuler fortsatt kan være gyldig som overføringsgrunnlag, men stiller krav til at behandlingsansvarlig må gjøre en ekstra vurdering av personvernsikkerheten.
Dersom din virksomhet skal overføre personopplysningene ut av EU/EØS nå, så må virksomheten, i tillegg til å sørge for å ha på plass et gyldig overføringsgrunnlag, oppfylle tilleggskravet EU-domstolen har satt. Virksomheten må sørge for at beskyttelsesnivået for personopplysningene ikke undergraves som følge av overføringen, men i praksis har et tilsvarende beskyttelsesnivå som det som følger av i GDPR. Vurderingen må kartlegge hvorvidt overføringsgrunnlaget som virksomheten velger faktisk gir et effektivt og praktisk gjennomførbart beskyttelsesnivå. I tillegg må det være mulig for europeiske borgere å forfølge sine rettigheter rettslig.
Visma med stor IT-blemme: – Vi tar hendelsen alvorlig
Hvordan kan virksomheter sikre at personvernet ikke undergraves?
Amerikanske myndigheters etterretningsadgang trumfer europeisk personvern uavhengig av hvilket overføringsgrunnlag som er på plass. Dommen viser også spesifikt til at dersom dataeksportøren og dataimportøren inngår EUs standardkontrakt, vil ikke amerikanske myndigheter være bundet av denne fordi myndighetene ikke part i avtalen.
Av den grunn påvirker Schrems II-dommen alle relevante overføringsgrunnlag etter GDPR, ikke bare Privacy Shield.
Det vil av ovennevnte grunner være vanskelig for den som eksporterer data til tredjeland å kunne avtale seg bort fra tredjelandets lover så lenge disse overstyrer eventuelle kontraktuelle forpliktelser mellom den som eksporterer data og mottakeren i tredjelandet.
Videre er det lite trolig at amerikanske myndigheter kommer til å endre lovgivningen med det første.
Hvilke tiltak kan gjennomføres?
Hverken domstolen, det norske Datatilsyn eller Personvernrådet har foreløpig kommet med noen oppskrift eller substansiell veiledning på hvilke tiltak norske virksomheter kan gjøre for å sikre individets rettigheter.
Det er kritikkverdig at det ikke har kommet mer veiledning for denne vurderingen enn det vi har sett hittil. Vi lever i dag i et globalt teknologisk samfunn, hvor nesten alle sentrale funksjoner i samfunnet og økonomien er helt avhengig av at personopplysninger kan flyte over landegrensene. Kombinasjonen av ingen tillatt overgangsfase og ingen veiledning setter i prinsippet hele samfunnet på vent.
Den konkrete vurderingen av kvaliteten på personvernet som Schrems II-dommen legger opp til er dermed overlatt til dataeksportøren og dataimportøren. Dataeksportøren er ansvarlig for å sikre at beskyttelsesnivået ved overføring av personopplysninger til tredjeland kan oppnås i praksis. Dataimportøren er på sin side forpliktet til å bistå dataeksportøren med å hjelpe dataeksportøren å forstå lovene og forholdene i tredjelandet. Videre er dataimportøren ansvarlig for å informere dataeksportøren dersom det ikke vil være mulig å oppfylle kravene som stilles til behandlingen i overføringsgrunnlaget.
Datatilsynet i Berlin, Hamburg og Nederland anbefaler å stoppe all overføring til USA. I tillegg anbefaler datatilsynet i Berlin at alle personopplysninger bør trekkes ut fra USA umiddelbart. Som det første og eneste datatilsynet i EU, har datatilsynet i Baden-Württemberg foreslått tiltak – med følgende fire presiseringer i de europeiske standardklausulene:
- Informasjon til de registrerte om overføringer av alle personopplysninger
- Importør plikt til å informere om eventuelle pålegg om innsyn fra myndigheter
- Importør må prøve innsynsbegjæringen for domstolene
- Rettslige tvister henvises til eksportørens jurisdiksjon
Vi anbefaler at det foretas en konkret og dokumentert risikovurdering for overføringer av personopplysninger til USA og andre tredjeland, samt at det gjennomføres nødvendige tiltak slik at ønsket om å etterleve GDPR dokumenteres. Man må gjøre en konkret vurdering av en rekke ulike faktorer. Det kan dreie seg om rekkevidden av reglene i dataimportørens land, type data, sikringsmekanisme, konsekvenser av brudd mv. Dersom dette blir gjort på en strukturert og grundig måte, er vi av den oppfatning at overføringer til USA og tredjeland fremdeles kan gjøres lovlig.
Datatilsynet refser Norwegian