Personvern | Ny veiledning om overføring av personopplysninger til USA

Bakgrunn

Europadomstolen (The Court of Justice of the European Union) avsa 16. juli 2020 en prinsipiell dom om overføring av personopplysninger til USA (Schrems II). Domstolen konkluderte med at Privacy Shield er ugyldig som grunnlag for overføring av personopplysninger til USA etter GDPR. Les vårt nyhetsbrev om saken her. Europadomstolen la også viktige føringer for bruk av EUs standard personvernbestemmelser (Standard Contractual Clauses) og andre grunnlag for fremtidig overføring av personopplysninger til land utenfor EØS-området.

EU-domstolen uttalte i Schrems II at EUs standard personvernbestemmelser fortsatt er et gyldig grunnlag for å overføre personopplysninger til land utenfor EØS-området, men at dette forutsetter at rettssystemet i mottakerlandet gjør det mulig å følge EUs standard personvernbestemmelser i praksis.

Dette innebærer at virksomheter innenfor EØS-området som overfører personopplysninger til land utenfor EØS-området (dataeksportør) er ansvarlige for å vurdere om det finnes omstendigheter som gjør at beskyttelsesnivået i EUs standard personvernbestemmelser ikke vil oppnås i praksis, typisk om virksomheten utenfor EØS-området som skal motta personopplysningene (dataimportør) eller dennes underleverandører er underlagt overvåkningslover som gir et lavere beskyttelsesnivå enn det som gjelder innenfor EØS-området.

Personvernrådet (European Data Protection Board) har nå publisert forslag til to veiledninger som skal hjelpe virksomheter med å etterleve reglene. Veiledningene er på høring til 30. november 2020, men gjelder allerede fra publisering.

I tillegg har EU-kommisjonen publisert utkast til ny standardavtale for overføring til land utenfor EØS-området som er på høring til 10. desember 2020. Den nye avtalen er modulbasert og vil derfor være mer fleksibel og praktisk. I tillegg er den tilpasset domstolens uttalelser i Schrems II, blant annet ved at avtalen regulerer vurdering av relevante overvåkningslover i det landet personopplysningene skal overføres til, og meldeplikt for dataimportøren ved forespørsler fra overvåkningsmyndigheter.

Vurdering i seks trinn

I den første veiledningen «Recommendations on Measures that Supplement Transfer Tools to ensure Compliance with the EU level of Protection of Personal Data» oppstiller Personvernrådet seks trinn for å vurdere overføring av personopplysninger til land utenfor EØS-området:

• Kartlegge overføringer av personopplysninger til land utenfor EØS-området
• Identifisere overføringsgrunnlagene som brukes
• Vurdere om overføringsgrunnlagene er effektive i lys av omstendighetene ved overføringen
• Implementere ytterligere tiltak for å sikre tilstrekkelig beskyttelse
• Gjennomføre eventuelle prosessuelle tiltak
• Jevnlig revurdere beskyttelsesnivået

Vurdering av om overføringsgrunnlaget er effektivt

Når en dataeksportør bruker EUs standard personvernbestemmelser eller bindende konsernregler som overføringsgrunnlag, må dataeksportøren vurdere om det aktuelle overføringsgrunnlaget er effektivt. Kjernen i dette er å avgjøre om personopplysningene vil få et beskyttelsesnivå i det landet de eksporteres til som er tilsvarende beskyttelsesnivået innenfor EØS-området. Dette innebærer at hver enkelt dataeksportør må vurdere om dataimportøren er underlagt lov eller praksis, typisk overvåkningslover, som gjør det mulig for dataimportøren å overholde sine forpliktelser etter det aktuelle overføringsgrunnlaget.

Personvernrådet understreker at vurderingen skal være objektiv og ikke basert på subjektive faktorer, som for eksempel sannsynligheten for at offentlige myndigheter får tilgang til personopplysningene i strid med EU-retten.

Ytterligere veiledning for denne vurderingen finnes i den andre veiledningen «Recommendations on the European Essential Guarantees for Surveillance Measures». Her identifiseres fire essensielle garantier som bør finnes i det landet utenfor EØS-området som personopplysninger skal eksporters til:

• Behandling skal baseres på klare, presise og tilgjengelige regler
• Nødvendighet og proporsjonalitet med hensyn til de berettigede formålene som forfølges må kunne dokumenteres
• Et uavhengig tilsyn skal eksistere
• Effektive rettsmidler må være tilgjengelig for den registrerte

Dersom man konkluderer med at dataimportøren som følge av lovgivning eller praksis i det aktuelle landet ikke er i stand til å overholde sine forpliktelser etter overføringsgrunnlaget, er det dataeksportørens ansvar å implementere «ytterligere tiltak» eller stanse overføringen av personopplysninger.

Ytterligere tiltak

Når vurderingen over viser at overføringsgrunnlaget alene ikke er tilstrekkelig til å gi personopplysningene et tilsvarende beskyttelsesnivå som innenfor EØS-området, må det vurderes om det finnes ytterligere tiltak som kan sikre at det oppnås et tilstrekkelig beskyttelsesnivå. Dette må vurderes konkret og beror blant annet på format og type personopplysninger som overføres og hvordan de skal behandles.
Personvernrådet gir en rekke eksempler på tekniske, kontraktsmessige og organisatoriske tiltak som kan iverksettes, og veiledning knyttet til når disse kan anses effektive. Det gis også eksempler på situasjoner der det ikke finnes tiltak som kan anses tilstrekkelige. Det understrekes at kontraktsmessige og organisatoriske tiltak sjeldent vil være tilstrekkelig alene, og at i noen tilfeller er tekniske tiltak, som kryptering og pseudonymisering nødvendig.

Særlig om overføring av personopplysninger til USA

Bakgrunnen for Personvernrådets retningslinjer er blant annet EU-domstolens vurdering i Schrems II av to amerikanske overvåkningslover som domstolen mente i praksis gjør det umulig for en dataimportør i USA å følge EUs standardpersonvernbestemmelser.

Personvernrådet nevner den amerikanske overvåkningsloven FISA Section 702 som eksempel, og skriver at dersom dataimportøren omfattes av denne, kan dataeksportøren kun bruke EUs standard personvernbestemmelser og andre overføringsgrunnlag dersom ytterligere tekniske tiltak gjør det umulig eller ineffektivt å få tilgang til dataene.

Mange norske virksomheter bruker leverandører av skytjenester etablert i USA. Personvernrådet uttaler at de ikke kan se at det er mulig å treffe slike tekniske tiltak som gjør det lovlig å overføre data fra EØS-området til amerikanske leverandører av skytjenester som trenger tilgang til dataene i ukryptert form. Lagring av data i USA vil derfor som hovedregel kreve kryptering for å oppfylle Personvernrådets retningslinjer.

BAHR mener

Domstolens beslutning om at Privacy Shield er ugyldig, og vurderingene av beskyttelsesnivået i USA har skapt stor usikkerhet for mange eksportører av personopplysninger. Det er positivt at tilsynsmyndighetene kommer med veiledning og avklaringer, men de vurderinger dataeksportørene må gjøre er krevende og forutsetter inngående kjennskap til regelverket både i Norge og det aktuelle landet opplysningene skal overføres til.

Virksomheter som overfører personopplysninger til USA og andre land utenfor EØS-området, må sørge for en fornyet vurdering av om grunnlagene for overføring er tilstrekkelige og om det er behov for ytterligere tiltak. Det er viktig at vurderingene dokumenteres. Dersom ytterligere tiltak ikke kan sikre et tilstrekkelig beskyttelsesnivå, må databehandlingen flyttes til et land innenfor EØS-området eller til et annet land med tilstrekkelig beskyttelsesnivå. Det kan innebære at det er nødvendig å bytte tjenesteleverandør. Personvernrådets uttalelser vil trolig få betydning for hvordan tjenesteleverandører i land utenfor EØS-området innretter sine tjenester, slik at dataeksportører blir trygge på at den aktuelle tjenesteleverandør oppfyller slike krav at de lovlig kan motta personopplysninger fra kunder i EØS-området.