Schrems II-oppdatering: EUs personvernråd avklarer - Hjort
Hva leter du etter?

Schrems II-oppdatering: EUs personvernråd avklarer

EUs personvernråd (EDPB) har nå kommet med en ny anbefaling om hvordan man skal forholde seg til overføringer av personopplysninger til tredjeland i lys av Schrems II-dommen. Anbefalingene gir nyttige klargjøringer rundt forhold som har vært problematisert den senere tid.

I kjølvannet av den såkalte Schrems II-dommen har det vært mye usikkerhet og debatt overføring av personopplysninger utenfor EØS. Det har særlig vært diskutert hvilken betydning dommen har for overføring av personopplysninger til USA og bruk av skytjenester hvor datasentre og supporttjenester kan være plassert i mange ulike land. EUs personvernråd (EDPB)har nå kommet med en ny anbefaling om hvordan man skal forholde seg til overføringer av personopplysninger til tredjeland i lys av Schrems II-dommen. Anbefalingene er formelt sett bare på høringsstadiet, men det er grunn til å anta at de langt på vei gir uttrykk for hva som vil bli gjeldene rett fremover.

De som hadde håpet på enkle ja- eller nei-svar (og trolig helst ja) for overføringer av personopplysninger til USA blir nok skuffet, for det legges opp til at de som ønsker å overføre personopplysninger til tredjeland må gjøre relativt kompliserte vurderinger, men anbefalingen inneholder i det minste noen avklaringer rundt noe av det som har vært diskutert i etterkant av Schrems II.

Veikart

Anbefalingen fra EDPB understreker at behandlingsansvarlig (som før) må ha kontroll på sine personopplysninger, og at man må kunne dokumenter sine vurderinger og tiltak. Ved overføring til tredjeland, må man også gjøre vurderinger av lovgivningen i mottakerlandet og eventuelt iverksette tiltak for å avhjelpe «mangler» ved lovgivningen i mottakerlandet slik at det kommer på nivå med beskyttelsen under GDPR.

Vurderingene forutsetter i utgangspunktet en kjennskap til mottakerlandets rettssystem som nok vil være vanskelig å gjøre for aktører som er lokalisert utenfor mottakerlandet, men det er etter vårt syn sannsynlig at analyser som gjør vurderingen mer overkommelig etter hvert vil bli tilgjengelig. Vurderingene må rutinemessig gjentas med jevne mellomrom.

Berørte norske virksomheter kan særlig merke seg “veikartet” i anbefalingen med hvilke steg virksomheter bør ta i lys av Schrems II-dommen, her kort oppsummert:

  1. Få oversikt over alle overføringer av personopplysninger til utlandet, inkludert hvilke opplysninger som overføres og til hvem. Husk å ta med underleverandører.
  2. Identifiser hvilket overføringsgrunnlag som benyttes – merk at Privacy Shield uansett ikke lenger er gyldig. Det er også lansert utkast til nye standard personvernbestemmelser (SCC) i lys av Schems II dommen.
  3. Gjør en vurdering av om overføringsgrunnlaget gir tilstrekkelig beskyttelsesnivå i mottakerlandet, særlig i lys av mottakerlandets etterretningslovgivning.
  4. Identifiser og iverksett eventuelle nødvendige tiltak for å sikre tilstrekkelig beskyttelse.
  5. Overvåk og revurder situasjonen i mottakerlandet og behovet for tiltak på jevnlig basis.

Praktiske avklaringer

Av praktiske avklaringer knyttet til Schrems II-premissene fremkommer også følgende:

  • Både standard personvernbestemmelser vedtatt av Europakommisjonen (Standard Contractual Clauses eller SCC) og bindende virksomhetsregler (Binding Corporate Rules eller BCR) anses som gyldige overføringsgrunnlag, men man må gjøre vurderinger av om mottakerlandet gir tilstrekkelig beskyttelse for personopplysningene i hvert tilfelle.
  • Det er ikke nødvendig å vurdere mottakerlandets lovgivning dersom dette er et såkalt «godkjent tredjeland». Dette må da også gjelde tilsvarende for andre land innen EU/EØS, selv om disse kan ha forskjellig etterretningslovgivning. Dette gjelder også selv om tjenesteleverandøren er av «tredjelands» opprinnelse.
  • For ikke-godkjente tredjeland (som USA), må man gjøre en konkret vurdering der særlig mottakerlandets etterretningslovgivning vil være sentral. Vurderingen må være basert på relevante og objektive forhold, og i første omgang på lovgivning som er offentlig tilgjengelig. Her vil det særlig være relevant, og vanskelig forenelig med GDPR, om mottakerlandet tillater masseovervåkning, eller om myndighetene har mulighet til å innhente opplysningene uten at mottakeren vet om dette. Samtidig presiseres det at subjektive antakelser om hvorvidt de konkrete personopplysningene som overføres vil være av interesse for utenlandske myndigheter ikke vil være relevante.
  • Det er mulig å reparere «mangler» ved mottakerlandets lovgivning ved ulike ytterligere tiltak, som kan være både av teknisk, organisatorisk og kontraktuell art. Dette gjør man i stor grad på egen risiko, og EDPB bemerker at kontraktuelle og organisatoriske tiltak i alminnelighet ikke vil være tilstrekkelige tiltak i seg selv, man må altså ha tekniske tiltak i tillegg. Samtidig fremgår det at sterk kryptering eller pseudonymisering, på gitte forutsetninger og vilkår, vil kunne være et tilstrekkelig teknisk tiltak i denne forbindelse.

Bruk av skyløsninger

Når det gjelder den utfordringen som ofte har blitt nevnt i forbindelse med bruk av skytjenester, nemlig at supportpersonell i ikke-godkjente tredjeland kan ha tilgang til informasjonen selv om personopplysningene lagres innen EU/EØS, så fremgår det av anbefalingen at det vil være forskjell på tilfeller der personopplysningene lagres i et tredjeland og tilfeller der man har fjerntilgang til personopplysningene fra et tredjeland.

Av anbefalingen fremkommer det blant annet at kryptering, på gitte forutsetninger og vilkår, vil kunne være et gyldig tiltak for å sikre nødvendig personopplysningssikkerhet i slike tilfeller. Dette kan også (med fordel) kombineres med kontraktsklausuler i form av varslingsbestemmelser, plikt for mottaker til å assistere den registrerte i mottakerlandet, forbud mot å aksessere personopplysningene uten etter eksplisitt samtykke, eller lignende. Samtidig fremkommer det at overføring av personopplysninger «i klartekst» til tredjeland vil være problematisk og trolig ikke forenelig med kravene i GDPR, men det åpnes for at teknologisk utvikling kan endre dette.

Det er ellers verdt å nevne at man tilsynelatende ikke behøver å gjøre ytterligere undersøkelser om hvorvidt skytjenesteleverandøren faktisk begrenser lagringen til EU/EØS, dersom en slik begrensning fremkommer tydelig av tjenestevilkårene.

Oppsummering

Det gjenstår som sagt å se hva som endelig blir vedtatt, men foreløpig fremstår dette i hvert fall som en nyttig klargjøring og som et visst «lys i tunnelen». Det vil åpenbart også kunne være krevende for virksomhetene å gjøre de nødvendige analyser mv., og i praksis vil det nok fortsatt være tilrådelig å søke å unngå slike overføringer.

For virksomheter som er avhengig av å eksportere personopplysninger til USA og andre ikke-godkjente tredjeland, fremstår det også som at overføring av personopplysninger i hvert fall i noen grad vil være mulig, på gitte forutsetninger og vilkår, selv om det i fravær av mer praksis og avklaring fra myndighetene nok vil være en regulatorisk risiko forbundet med dette.

Virksomheter som lagrer sine personopplysninger innen EU/EØS eller i godkjente tredjeland, og heller ikke har fjerntilgang fra ikke-godkjente tredjeland, trenger ikke å gjøre slike vurderinger.

Avslutningsvis nevner vi at EU-kommisjonen har sendt utkast til nye SCC på høring. Utkastet er spesifikt innrettet for post Schrems II-overføringer, herunder at partene skal garantere at personopplysningene vernes i mottakerlandet i like stor grad som under GPDR, i lys av blant annet tekniske og organisatoriske tiltak for å verne opplysningene (f.eks. kryptering). En praktisk nyhet er at nye SCC kommer i ett dokument med ulike moduler, fremfor slik det er i någjeldende SCC, med ulike dokumenter avhengig av om mottaker er behandlingsansvarlig eller databehandler. SCC vil i overskuelig fremtid være det mest aktuelle grunnlaget for overføring av personopplysninger til ikke-godkjente tredjeland som USA, forutsatt at man på bakgrunn av vurderingene beskrevet ovenfor kan konkludere at det er tilstrekkelig beskyttelse for personopplysningene. Virksomheter må påse at eventuelle overføringer med grunnlag i SCC skjer under nye SCC så snart de er vedtatt. Høringsfristen går ut 10. desember 2020.