Veiledning for overføring av personopplysninger til USA etter Schrems II-dommen
I sommer satte EU-domstolen spikeren i kista for Privacy Shield. For mer bakgrunnsinnformasjon, se her.
Privacy Shield har hittil vært den mest anvendte mekanismen for å overføre personopplysninger til USA, og avgjørelsen vil få stor betydning for mange. Det europeiske personvernrådet («EDPB») har uttalt at det ikke er noen «grace period» etter domsslutningen. Det innebærer at virksomheter bør iverksette og dokumentere nødvendige tiltak så snart som mulig, enten ved å sikre et annet lovlig overføringsgrunnlag eller ved å stanse dataoverføringen. I kjølvannet av dommen er allerede flere virksomheter innklaget for brudd på GDPR, herunder f.eks. den norske Sbanken, Coop Sverige og Tele2 Sverige for bruk av Facebook til innlogging eller Google Analytics-cookies.
Vi vil i denne artikkelen se nærmere på hvordan man bør gå frem for å sikre et tilstrekkelig behandlingsgrunnlag. Vi forventer at Datatilsynet etter hvert vil komme med flere uttalelser som vil lette veien mot etterlevelse av EU-domstolens avgjørelse.
EUs standardvilkår og bindende virksomhetsregler som overføringsgrunnlag
Ett lovlig grunnlag for overføring av personopplysninger til tredjeland (inkl. USA) er å inngå avtale basert på EUs standardvilkår («SCC»). SCC kan etter EU-domstolens vurdering fortsatt være et gyldig overføringsgrunnlag, dersom det brukes riktig.
EU kommisjonen har arbeidet med modernisering av SCC-en fra 2010, men har avventet arbeidet inntil dom i Schrems II-saken. Vi kan derfor nå forvente oppdateringer.
Et annet alternativ for overføring av persondata til USA, er å etablere bindende virksomhetsregler («BCR»). EDPB gir uttrykk for at de samme retningslinjer som for SCC også gjør seg gjeldende for BCR.
Etter Schrems II er det imidlertid en forutsetning for bruk av SCC eller BCR at mottakerlandets regelverk gir tilstrekkelig beskyttelse av personopplysningene. Dersom SCC eller BCR benyttes som grunnlag for overføring, må disse gjennomgås og det må vurderes om disse faktisk sikrer grunnleggende personvernrettigheter.
Hvordan vurdere om regelverket gir tilstrekkelig beskyttelse?
Det blir opp til den enkelte virksomhet å vurdere fra sak til sak om det aktuelle tredjelandet har tilstrekkelig regelverk for å beskytte personopplysningene.
Følgende minimumskrav gjelder:
a) Databehandling skal ha grunnlag i klare, presise og tilgjengelige regler.
b) Databehandlingen skal være nødvendig og forholdsmessig.
c) Et uavhengig kontrollorgan skal sikre etterfølgelse av reglene.
d) Det skal være muligheter for effektiv håndheving av regelverket for enkeltindividene.
Det fremkommer av Schrems II-dommen at enkelte av de amerikanske overvåkingslovene ikke gir tilstrekkelig beskyttelse, herunder Foreign Intelligence Surveillance Act (FISA) Section 702 og Executive Order 12.333 (E.O. 12.333).
For å vurdere om regelverket gir tilstrekkelig beskyttelse, må man gå konkret til verks og undersøke hvilken lovgivning som gjelder i det landet eller staten personopplysningene behandles. Det vil være naturlig at databehandler fremskaffer slik informasjon. Det kan være stor forskjell i beskyttelsesnivået mellom statene i USA.
Når man har kartlagt hvilken lovgivning som gjelder, må det foretas en vurdering av om lovgivningen gir tilstrekkelig beskyttelse. Slike vurderinger kan være svært vanskelig uten bistand, tilstrekkelig informasjon og ytterligere veiledninger fra personvernmyndighetene. Virksomhetene gis et visst rom for skjønn ved vurderingen av beskyttelsesnivået. Vurderingene vil uansett kunne være gjenstand for gjennomgang av tilsynsmyndighetene. Sørg derfor for å dokumentere vurderingene.
Hva er videre steg dersom konklusjonen er at regelverket ikke gir tilstrekkelig beskyttelse?
Hvis regelverket i det landet personopplysningene behandles, ikke gir tilstrekkelig beskyttelse, må det iverksettes særlige tiltak eller overføring av personopplysninger må opphøre. Tekniske metoder for å hindre tilgang til persondata kan være en mulig løsning.
EDPB vil komme med nærmere retningslinjer angående konkrete tiltak som kan iverksettes.
Hva bør virksomheter gjøre nå?
1. Få oversikt over virksomhetens dataoverføring og om overføring fortsatt kan gjøres på lovlig måte
i) Har du leverandører (også underleverandører) som overfører data til USA eller andre tredjeland?
ii) Hva omfatter overføringen? Enkelte data, data subjekter og bransjer er av større interesse for nasjonale myndigheter og mer risikoutsatte og vil følgelig kunne tale for mer rigide tiltak.
iii) Hva er det rettslige grunnlaget for dataoverføringen? Dersom grunnlaget er Privacy Shield, må det avklares om det er mulig å overføre på annet lovlig grunnlag, som SSC og BCR.
iv) Dersom grunnlaget for overføringen er SSC eller BCR, eller man ønsker å erstatte Privacy Shield med SSC eller BCR, må du vurdere om det er et tilstrekkelig beskyttelsesnivå for personopplysningene i det landet/staten personopplysningene overføres til.
v) Dersom det ikke er et tilstrekkelig beskyttelsesnivå; bør og kan andre tiltak iverksettes for å ivareta beskyttelsesnivået?
2. Gå i dialog med leverandøren
Det er den behandlingsansvarlige som er ansvarlig for at dataene er tilstrekkelig sikret, men databehandler må samarbeide for å vurdere om nivået av beskyttelse er tilstrekkelig for å ivareta enkeltindividers personvernrettigheter. Du bør kontakte leverandøren og be om informasjon du trenger for å gjøre vurderingene.
En nærmere redegjørelse fra leverandøren som gjennomgår følgende spørsmål bør innhentes: Er minimumskravene oppfylt? Hvilket regelverk er leverandøren underlagt? Hvordan ivaretas personvernet i landet/staten personopplysningene overføres til? De fleste store leverandører har nok allerede begynt å jobbe med en slik redegjørelse.
3. Vurder om bytte av leverandør er nødvendig
Dersom du kommer til et negativt resultat ved vurderingen av beskyttelsesnivået og alternative tiltak, bør du vurdere å bytte ut leverandøren med en som kan levere tilsvarende tjeneste og som i tilstrekkelig grad ivaretar personvernrettighetene, eventuelt innenfor EU/EØS.
4. Følg med på oppdateringer fra myndighetene
