Overfører din virksomhet ulovlig data til USA?

Mens resten av verden tok sommerferie, kom EU-domstolen med en dom midt i juli som snudde dataoverføring til USA på hodet. Det er ikke lenger lovlig å overføre personopplysninger til USA basert på at mottakeren i USA er Privacy Shield sertifisert.

IT & Media

Artikkelen er publisert på Finansavisen.no.

Hva er konsekvensene av dommen?

 

Privacy Shield er nå kjent ugyldig. Det innebærer at Privacy Shield ikke lenger kan brukes som en gyldig mekanisme for å overholde EUs strenge personvernregelverk når personopplysninger overføres til databehandlere eller behandlingsansvarlige i USA.

 

Konsekvensen er at mange virksomheter nå må finne en annen måte å overholde EU-regelverket på. Hva må norske bedrifter gjøre for å overføre data som består av personopplysninger til selskap i USA?

 

Privacy Shield

 

Overføring av personopplysninger til land utenfor EU/EØS er kun lovlig dersom mottakeren har gitt nødvendige garantier og under forutsetning av at de registrerte har håndhevbare rettigheter og effektive rettsmidler. Privacy Shield var en mekanisme for å sikre disse garantiene og forutsetningene ved overføringer til USA.

 

Privacy Shield avtalen ble inngått mellom EU og USA for å gjøre det mulig for amerikanske selskaper å sikre at deres behandling av personopplysninger fulgte de viktigste prinsippene i EUs personvernregelverk.

 

Regelverket fungerte slik at amerikanske selskap kunne sertifisere seg selv og dermed garanterer for at de overholdt kravene i Privacy Shield. Hjemmesiden til Privacy Shield inneholder en offentlig tilgjengelig liste som angir alle sertifiserte selskap.

 

Historien gjentar seg

 

Privacy Shield er ikke den første avtalen om overføring av personopplysninger som har eksistert mellom EU og USA. Den forrige avtalen het Safe Harbour. Men i 2015 fant EU-domstolen at Safe Harbour ikke ivaretok EU-borgeres personopplysninger i tilstrekkelig grad. Domstolen erklærte Safe Harbour ugyldig.

 

Dommen var resultatet av en klage fra den østeriske personvernforkjemperen Max Schrems på Facebooks behandling av personopplysninger, herunder overføringen til USA.

 

Kort tid etter ble Privacy Shield introdusert som en forbedring, men i juli fant EU-domstolen at Privacy Shield er ugyldig. Også denne gang er det Max Schrems og Facebooks overføring av personopplysninger til USA som står bak dommen, og dommen kalles derfor Shrems II-dommen.

 

Hvorfor ble Privacy Shield kjent ugyldig?

 

Både EUs ekspertorgan innen personvern (tidligere kalt Artikkel 29-gruppen, nå kalt EDPB) og EUs datatilsyn (EDPS) uttrykte sin bekymring da Privacy Shield ble introdusert i 2016. Artikkel 29-gruppen stilte spørsmål ved Privacy Shields evne til å ivareta personvernet til europeiske borgere. EDPS påpekte muligheten for at EU-domstolen kunne finne at Privacy Shield var ugyldig.

 

Årsaken til at Privacy Shield ble kjent ugyldig var i hovedsak amerikanske myndigheters brede adgang til personopplysninger som overføres fra EU til USA. Denne tilgangen er uten de samme kravene til proporsjonalitet og nødvendighet som kreves etter EU-retten, og uten å ivareta rettighetene til personene som personopplysningene gjelder.

 

Hvorfor trengte vi Privacy Shield?

 

EU har svært strenge regler for behandling av personvern, og gir personer som det behandles personopplysninger om (de registrerte) flere rettigheter enn de fleste land utenfor EU/EØS. Mange ble nok kjent med EUs strenge personvernregelverk gjennom EUs generelle personvernforordning (GDPR) som trådte i kraft i 2018. GDPR skal blant annet sikre at personopplysninger til EU-borgere ikke blir overført utenfor EU/EØS uten at personvernet til borgerne forblir ivaretatt.

 

Derfor følger det av GDPR at personopplysninger kun kan sendes utenfor EU/EØS hvis mottakeren kan garantere at personopplysninger blir behandlet med tilnærmet samme grad av personvern som det som følger av EU-retten. I praksis sendes ofte personopplysninger over landegrenser, for eksempel når serverne som lagrer personopplysningene eller dataanalytikeren som behandler personopplysningene sitter i et annet land.

 

Privacy Shield har vært en enkel og praktisk løsning for overføring av personopplysninger til USA, og er brukt av mange europeiske virksomheter. Hvis mottakerselskapet i USA er sertifisert, har de gitt en garanti på at de oppfyller visse minimumsvilkår når det gjelder personvern.

 

Hva bør din virksomhet nå gjøre?

 

For å overføre personopplysninger utenfor EU/EØS, må virksomheten innhente garantier fra mottakeren og sikre at rettighetene til de registrerte etter GDPR kan håndheves. Privacy Shield var en enkel mekanisme for å sikre dette, men det finnes andre alternativer.

 

Et hjelpemiddel som GDPR åpner for, er å bruke en standardavtale som EU har utarbeidet. Disse kalles gjerne EU Standard Contractual Clauses (SCC), og er tilgjengelig på EU-kommisjonens hjemmeside. Standardavtalene er egne maler fra EU-kommisjonen, disse skal ikke endres, men skal fylles ut av virksomheten og mottakeren.

 

I tillegg til dette kommer kravet til en gyldig databehandleravtale med databehandlere, dvs. at avtalen mellom norsk virksomhet som eksportør og amerikansk virksomhet som importør og databehandler i tillegg må oppfylle kravene til GDPR artikkel 28, som er nødvendig for en gyldig databehandleravtale. Bruk av SCC erstatter ikke en databehandleravtale, og en databehandleravtale alene oppfyller ikke kravene til en SCC.

 

I Shrems II-dommen tok EU-domstolen også stilling til gyldigheten av SCC-ene, men kommer frem til at det ikke er grunn til å kjenne disse ugyldige. EU-domstolen er likevel tydelig på at den som er ansvarlig for behandlingen og overfører personopplysninger ut av EU/EØS, har et selvstendig ansvar for å påse at det er gitt nødvendige garantier og at de registrertes rettighetene er sikret. Dersom man ser at vilkårene som følger av SCC-ene ikke kan overholdes av mottakeren, for eksempel fordi nasjonal rett gjør det umulig eller mottakeren ikke har gode nok tekniske løsninger, holder det ikke å ha inngått en SCC. Da plikter virksomheten å unnlate å overføre personopplysninger til mottakeren.

 

Problemet med overføring av personopplysninger til USA etter EU-domstolens nye avgjørelse, er at amerikanske myndigheter fortsatt vil ha den samme brede tilgangen til personopplysningene, dvs. den samme tilgangen som var årsaken til at Privacy Shield ble kjent ugyldig.

 

Skal en norsk virksomhet overføre personopplysninger til USA, må den norske virksomheten ifølge EDPB iverksette tiltak for å sikre at amerikansk nasjonal rett ikke hemmer EUs personvernregelverk. EDPB sier ikke at det er umulig å overføre personopplysninger til USA, men er tydelige på at det er en høy terskel for når en slik overføring vil være lovlig.

Forfatter

Grete Eline Brunsvig

  • advokatfullmektig