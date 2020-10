Ved at EU-domstolen ugyldiggjorde det kanskje mest brukte grunnlaget for å eksportere data fra EØS til USA, Privacy Shield, står vi nå igjen med en EU-standardavtale og noen store spørsmålstegn. Dette vil påvirke flesteparten av norske virksomheter.

Problemet er, i korte trekk, de inngripende etterretningslovene i USA og den måten amerikanske myndigheter kan overvåke ikke-amerikanske selskaper på

GDPR stiller krav til lovlig overføringsgrunnlag for at personopplysninger kan bli sendt ut av Europa. Ett overføringsgrunnlag mellom EU og USA er Privacy Shield, basert på en avtale mellom EU og USA, der amerikanske virksomheter inntil nå har kunnet GDPR-sertifisere seg selv. Under Privacy Shield innestår virksomhetene for at de personopplysningene som behandles har et tilsvarende høyt beskyttelsesnivå som etter GDPR. Andre overføringsgrunnlag er samtykke, standardavtaler vedtatt av Europakommisjonen (SCC) eller såkalte bindende virksomhetsregler (BCR).

Den 16. juli 2020 avsa EU-domstolen en prinsipiell dom om overføring av personopplysninger til USA (Schrems II-dommen). Dommen handler om hvorvidt Facebook Irland kunne overføre personopplysninger til Facebook Inc. i USA. I dommen blir overføringsgrunnlaget «Privacy Shield-avtalen» kjent ugyldig med øyeblikkelig virkning, med den begrunnelse at avtalen ikke klarer å sikre god nok beskyttelse av personopplysninger i USA.

Kristin Haram Førde. Foto: Bull & Co Advokatfirma

Problemet er, i korte trekk, de inngripende etterretningslovene i USA og den måten amerikanske myndigheter kan overvåke ikke-amerikanske selskaper på, uten at europeiske borgere kan rettslig håndheve egne rettigheter ovenfor amerikanske myndigheter. Ved at amerikanske etterretningslover trumfer GDPR og andre personvernregler, kan ikke de som ønsker å overføre personopplysninger til USA besørge et beskyttelsesnivå tilsvarende det som følger av GDPR.

Dommen anerkjenner de alternative overføringsgrunnlagene, men stiller i tillegg krav om at virksomhetene må gjøre en ekstra vurdering av personvernsikkerheten. Det som gjør det hele komplisert, er at domstolen stiller krav om «ytterligere tiltak» for å få beskyttelsesnivået opp på nivå med GDPR.

Christine Stousland. Foto: Bull & Co Advokatfirma

Amerikanske myndigheters etterretningsadgang trumfer europeisk personvern uavhengig av hvilket overføringsgrunnlag som er på plass. Dommen viser også spesifikt til at dersom dataeksportøren og dataimportøren inngår EUs standardkontrakt, vil ikke amerikanske myndigheter være bundet av denne fordi myndighetene ikke part i avtalen.

Hverken EU-domstolen, det norske Datatilsyn eller EUs Personvernråd (EDPB) har foreløpig kommet med noen veiledning på hvilke tiltak europeiske virksomheter kan gjøre for å sikre individets rettigheter.

Datatilsynet i Berlin, Hamburg og Nederland anbefaler å stoppe all overføring til USA. I tillegg anbefaler datatilsynet i Berlin at alle personopplysninger bør trekkes ut fra USA umiddelbart. Som det første og eneste datatilsynet i EU, har datatilsynet i Baden-Württemberg foreslått tiltak – med følgende fire presiseringer i standardavtalene (SCC):

Informasjon til de registrerte om overføringer av alle personopplysninger

Importør plikt til å informere dersom pålegg fra myndigheter om innsyn

Importør må innsynsbegjæringen for domstolene

Rettslige tvister henvises til eksportørens jurisdiksjon

Vi anbefaler at det foretas en konkret og dokumentert risikovurdering for overføringer av personopplysninger til USA, samt at det gjennomføres nødvendige tiltak slik at ønsket om å etterleve GDPR dokumenteres

Datatilsynet i Norge har uttalt at det på nåværende tidspunkt er komplisert å komme med konkrete eksempler på hva de omtalte «ytterligere tiltak» er, og at dette må vurderes i hver enkelt sak. Det tryggeste per dags dato er således å lagre alle data i Europa.

Vi anbefaler at det foretas en konkret og dokumentert risikovurdering for overføringer av personopplysninger til USA, samt at det gjennomføres nødvendige tiltak slik at ønsket om å etterleve GDPR dokumenteres. Man må gjøre en konkret vurdering av en rekke ulike faktorer. Det kan dreie seg om rekkevidden av de amerikanske reglene, type data, sikringsmekanisme, konsekvenser av brudd mv. Dersom dette blir gjort på en strukturert og grundig måte, er vi av den oppfatning at overføringer til USA fremdeles kan gjøres lovlig.

Kristin Haram Førde

Partner i Bull & Co

Christine Stousland

Advokat i Bull & Co