Ny og klargjørende veileder fra Personvernrådet i EU om dataoverføring
I Schrems II-dommen fra 16. juli i år konkluderte EU-domstolen med at «Privacy Shield» som overføringsmekanisme var ugyldig. Dommen etterlot bedrifter over hele Europa usikre på hvordan overføringer av personopplysninger til tredjeland (det vil si utenfor EU/EØS), og spesielt overføringer til USA, nå skulle håndteres.
Denne uken har Personvernrådet i EU («EDPB») kommet med en etterlengtet veileder om dataoverføring, som bidrar til å oppklare flere av punktene i Schrems II-dommen.
Hva nå?
Veilederen skal hjelpe bedrifter med å orientere seg i landskapet for overføringer til tredjeland. EDPB lanserer en vurdering som skal foretas i seks steg. Vurderingen skal gjøres for hver enkelt behandling, og vurderingen må dokumenteres og være tilgjengelig for Datatilsynet ved forespørsel.
Steg 1– Skaff oversikt over alle overføringer til tredjeland
Bedrifter må finne ut om de eller noen av deres databehandlere overfører personopplysninger ut av EU/EØS. Målet er å skaffe seg full oversikt. Merk at EDPB bekrefter at fjerntilgang fra et tredjeland og lagring i skyen utenfor EU/EØS er å anse som en «overføring». Det er dermed ikke nødvendigvis «godt nok» at opplysninger lagres på servere i EU/EØS.
Dette er en krevende øvelse, men den er essensiell for å kunne gjennomføre de nødvendige vurderingene som følger. Øvelsen er også sentral for å kunne sikre at bedriftens behandling av personopplysninger er underlagt tilstrekkelig beskyttelse.
Vår anbefaling (se her) er å kontakte leverandører og underleverandører som behandler personopplysninger på vegne av bedriften. Informasjon bør også fremgå av databehandleravtaler, bedriftens behandlingsprotokoll og eventuelt personvernerklæringer.
Steg 2 – Undersøk hvilket overføringsgrunnlag som er benyttet
Ved overføringer av personopplysninger ut av EU/EØS må det foreligge et rettslig overføringsgrunnlag. EU-domstolen har i Schrems II-dommen akseptert SCC (Standard Contractual Clauses) som et gyldig overføringsgrunnlag. SCC er i dag det mest praktiske overføringsgrunnlaget for de fleste.
EU-kommisjonen har for enkelte land uttalt at beskyttelsesnivået er tilstrekkelig. Dette betyr at det er lov til å overføre personopplysninger til disse landene, uten å gjøre en ytterligere vurdering av beskyttelsesnivået eller iverksette ytterligere tiltak. Dette gjelder Sveits, Andorra, Færøyene, Guernsey, Jersey, Isle of Man, Argentina, Canada, Israel, New Zealand, Japan og Uruguay.
Steg 3 – Vurder mottakerlandets beskyttelsesnivå
EDPB har formulert dette som en vurdering av hvorvidt overføringsgrunnlaget (se steg 2) sikrer den samme beskyttelsen som GDPR (personvernforordningen i EU) gir - også i mottakerlandet. Bedriften må vurdere om mottakerlandets lovgivning eller praksis begrenser eller forhindrer beskyttelsen som GDPR og overføringsgrunnlaget skal gi. Man må altså sørge for at beskyttelsesnivået som vil oppnås i mottakerlandet, i praksis tilsvarer beskyttelsen i EU/EØS.
Beskyttelsesnivået må vurderes konkret for hvert enkelt mottakerland og i lys av alle omstendighetene rundt overføringen. For å kunne gjennomføre en slik vurdering kan bedriften starte med å henvende seg til sin leverandør (databehandler) og be om en redegjørelse for hvilke regler behandlingen er underlagt i mottakerlandet. I praksis vil bedrifter som ønsker å overføre personopplysninger til tredjeland, også måtte innhente juridiske vurderinger fra advokater i det aktuelle mottakerlandet for å vurdere lovverket og beskyttelsesnivået. EDPB har kommet med en egen veileder for nettopp denne vurderingen (se her).
Sentralt her er også at EDPB har uttalt at det i denne vurderingen skal sees på objektive faktorer. For eksempel er det ikke relevant å vurdere sannsynligheten for at offentlige myndigheter i mottakerlandet skaffer seg tilgang til personopplysningene. Relevante objektive faktorer er blant annet:
Antall aktører involvert i behandlingen og forholdet mellom dem (for eksempel der det er flere behandlingsansvarlige og/eller databehandlere).
Formatering av personopplysningene som overføres (pseudonymisering, kryptering).
Sannsynligheten for videreoverføring fra et tredjeland til et annet.
Basert på uttalelser i Schrems II-dommen, er det antakeligvis naturlig å se det slik at USA ikke gir et tilstrekkelig beskyttelsesnivå i henhold til denne vurderingen. Dette innebærer at det må implementeres nødvendige tilleggstiltak for at overføringer til USA skal kunne påbegynnes eller fortsette på lovlig måte. Se mer om dette under steg 4.
Steg 4 – Identifiser og iverksett ytterligere tiltak
Dersom man under steg 3 kommer til at mottakerlandet ikke har et tilstrekkelig beskyttelsesnivå, må det vurderes om det kan iverksettes ytterligere tiltak som sikrer et beskyttelsesnivå tilsvarende det i EU/EØS. Denne vurderingen skal gjøres i samarbeid med en eventuell databehandler (dersom man selv er behandlingsansvarlig).
Momentene nevnt ovenfor under steg 3 er relevante også for denne vurderingen. I tillegg er følgende faktorer relevante:
Arten av opplysningene som behandles.
Varigheten på behandlingstiden og kompleksiteten av overføringene.
Tiltakene kan være kontraktuelle (avtaler), tekniske og/eller organisatoriske. Flere tiltak samlet vil kunne bidra til et styrket beskyttelsesnivå. Der hvor beskyttelsesnivået ikke lever opp til EU/EØS-standard (i henhold til vurderingen under steg 3), er imidlertid kontraktuelle og/eller organisatoriske tiltak alene ikke godt nok. Det må da iverksettes ytterligere tekniske tiltak.
Eksempler på tekniske tiltak kan være «ende-til-ende-kryptering», kryptering med avansert krypteringsnøkkel eller pseudonymisering på nærmere gitte vilkår.
Kontraktuelle tiltak er eksempelvis at en databehandler forplikter seg til å opplyse om hvilke regler man er underlagt, som kan gi offentlige myndigheter i mottakerlandet tilgang til personopplysningene. Det kan også avtales en forpliktelse til å melde fra til behandlingsansvarlig dersom offentlige myndigheter har bedt om tilgang til personopplysningene.
Organisatoriske tiltak kan være interne retningslinjer med tydelig ansvarsfordeling for overføringer, kanaler for å rapportere avvik og standardprosedyrer for å håndtere forespørsler om tilgang fra offentlige myndigheter.
Dersom tilstrekkelige tilleggstiltak er på plass, konstaterer EDPB at overføringer kan fortsette eller settes i gang. Dersom det ikke finnes tilstrekkelige tiltak eller dersom tilstrekkelige tiltak ikke kan iverksettes, må overføringen stanses (eller ikke påbegynnes). Bestemmer du deg for å fortsette med overføringer til tredjeland, til tross for manglende beskyttelsesnivå, skal Datatilsynet varsles om dette.
Steg 5 – Implementeringen av tiltakene
Ved implementeringen av tilleggstiltakene må bedriften sørge for at tiltakene ikke innebærer en redusering av beskyttelsen overføringsgrunnlaget skal gi, for eksempel ved å vedta nye kontraktsvilkår i strid med vilkårene i SCC.
Steg 6– Gjør vurderinger jevnlig
Det siste steget er å sørge for at man jevnlig gjennomfører vurderinger av om beskyttelsesnivået i mottakerlandet er tilstrekkelig (steg 3), eller eventuelt om tiltakene man har iverksatt gir et tilstrekkelig beskyttelsesnivå (steg 4).
Ny veileder, men har det blitt enklere?
Til tross for at EDPB har bidratt til å klargjøre hvordan man skal gå frem ved overføringer av personopplysninger til tredjeland, er det fremdeles et stort rom for konkrete vurderinger og skjønn fra bedriftenes side. Bedriftene er dermed (fremdeles) etterlatt med et stort ansvar og risikerer å bli ilagt høye gebyrer ved feilsteg.
Hvordan skal egentlig bedrifter kunne vurdere om regelverk og praksis i land utenfor EU/EØS, gir et tilstrekkelig beskyttelsesnivå? EDPB har i veileder 02/2020 oppstilt vurderingstemaene, men for den enkelte bedrift vil det nok være utfordrende å få tilstrekkelig innsikt i og forståelse for mottakerlandets regler og praksis.
Det hadde vært en fordel dersom EU kom med tydeligere retningslinjer for hvilke land som ivaretar personvernet på en betryggende måte. Enn så lenge må derimot behandlingsansvarlige og dataansvarlige forholde seg til disse retningslinjene fra EDPB.
Veilederen om overføring av personopplysninger til tredjeland er foreløpig kun sendt på høring og er ikke formelt vedtatt.
Trenger din bedrift bistand vedrørende behandling av personopplysninger?
