Publisert 22. nov. 2020 kl. 19.23
Lesetid: 3 minutter
Artikkellengde er 507 ord
VANSKELIGERE FOR SKUSELSKAPENE?: EU-domstolen har slått fast at det gjelder strenge krav for dataoverføringer til USA Foto: NTB
EU-domstolens mye omtalte «Schrems II»-avgjørelse har skapt mye usikkerhet om når det er adgang til å bruke IT-tjenester som leveres fra såkalte tredjeland, altså land utenfor EØS, eksempelvis USA.
Saken er på nytt aktualisert ved at det Europeiske personvernrådet (EDPB) nå har klargjort detaljer i dommen. Noen mener at den nye veiledningen innebærer et absolutt hinder for en del amerikanske skytjenester. Er dette riktig?
EU-domstolen har slått fast at det gjelder strenge krav for dataoverføringer til USA
EU-domstolen har slått fast at det gjelder strenge krav for dataoverføringer til USA. I kjølvannet av blant annet avsløringene til Edward Snowden er det klart at USAs overvåkningsprogrammer strider mot grunnleggende europeiske personvernrettigheter. Det samme gjelder tilsvarende type overvåkningslovgivning i andre tredjeland. Selv ikke med nye versjoner av EU-standardoverføringsavtalene vil det være lov å overføre data uten å få på plass tiltak som sikrer personvernet i praksis. De fleste amerikanske skyleverandørene er underlagt overvåkningslovgivningen i USA, og en del tjenester forutsetter også tilgang til data utenfor EØS. Man må derfor etablere noen ekstra tiltak som beskytter personvernet. Et spørsmål som hittil har vært uklart er imidlertid hvilke tiltak som er egnet til dette.
Og selv om det benyttes servere i EØS, må det etableres et lovlig overføringsgrunnlag hvis dataene er tilgjengelig i et usikkert tredjeland
Virksomheten som velger å ta i bruk, eller fortsette med sine IT-løsninger, er ansvarlig for å sikre etterlevelse. Man må sørge for å sette seg nøye inn i hvor data flyter, hvor de er lagret og hvordan de kan aksesseres. Og selv om det benyttes servere i EØS, må det etableres et lovlig overføringsgrunnlag hvis dataene er tilgjengelig i et usikkert tredjeland. Videre må det som nevnt etableres noen tilleggstiltak.
Malin Tønseth. Foto: SVW
I forrige uke kom den etterlengtede veiledningen fra EDPB som skal bidra til en mer treffsikker vurdering av hva som er lov og hvilke tiltak som er egnede. Vurderingene er imidlertid overordnede og komplekse, samtidig som eksemplene som gis er veldig konkrete. Det ser derfor ut til stadig å oppstå nye spørsmål.
Blant annet beskriver veiledningen et scenario med skytjenester som etter EDPBs syn er ulovlig. Hvis dataene skal behandles i klar tekst i et «usikkert tredjeland», mener EDPB at det ikke finnes egnede tilleggstiltak som kan ivareta personvernet på tilstrekkelig måte.
En del helt vanlige skytjenester forutsetter at leverandøren har tilgang til opplysninger utenfor EØS, i noen tilfeller i klar tekst. Eksempelvis kan leverandøren ha behov for tilgang til påloggingsdata (epostadresse mv) i klar tekst, for å kunne bekrefte rette brukere av løsningen. En utfordring er derfor om veiledningen betyr at man ikke lenger kan benytte helt vanlige skyløsninger fra amerikanske leverandører, som for eksempel Microsoft 365.
Dette er etter vårt syn en veldig streng tolkning av dommen som neppe har vært tilsiktet
Dette er etter vårt syn en veldig streng tolkning av dommen som neppe har vært tilsiktet. Vi oppfatter også at det er rom for tolkning på dette punktet. Håpet er derfor at EDPB eller Datatilsynet snarest kommer med ytterligere avklaringer som blant annet kan fjerne usikkerheten rundt skytjenester.
Malin Tønseth
Assosiert partner i Simonsen Vogt Wiig