Kjøp av digitale løsninger innebærer i de aller fleste tilfeller overføring av personopplysninger. Overføring av personopplysninger er et vidt begrep og omfatter alt fra utveksling, lagring og tilgang til personopplysninger. Begrepet har vært gjenstand for både diskusjon og forvirring i kjølvannet av de skjerpede kravene til internasjonale dataoverføringer som følge av den såkalte Schrems II-dommen.
I fjor sommer, omtrent på denne tiden, fattet EU-domstolen en skjellsettende avgjørelse som har fått stor betydning for mange private og offentlige virksomheter. Gjennom dommen ble kravene til internasjonale dataoverføringer betydelig skjerpet.
For eksempel er det ved anskaffelse av skyløsninger fra amerikanske leverandører ikke lenger alltid nok å benytte EU-kommisjonens standard dataoverføringsavtaler. Hvis løsningen innebærer at data føres ut av EØS, må det i tillegg vurderes om det skal på plass ekstra sikkerhetstiltak som sikrer at personvernet til EU-borgere er ivaretatt.
I påvente av endelige retningslinjer fra Personvernrådet har det vært krevende for mange virksomheter å vurdere om potensielle kjøp av digitale løsninger vil være i strid med Schrems II-dommen
Allerede før årsskiftet kom det Europeiske Personvernrådet med forslag til anbefalinger på området. Vurderingen som Personvernrådet foreslo var en seks trinns tilnærming for å kartlegge, avdekke og sikre at personopplysninger er tilstrekkelig beskyttet utenfor EØS. Forslaget ble imidlertid kritisert for å være svært strengt og i liten grad åpne for risikobaserte tilnærminger.
I påvente av endelige retningslinjer fra Personvernrådet har det vært krevende for mange virksomheter å vurdere om potensielle kjøp av digitale løsninger vil være i strid med Schrems II-dommen. I en lengre periode har man dermed stått i en limbosituasjon. Man har vært kjent med at løsningene som har vært brukt ikke har tilfredsstilt kravene fullt ut, men har manglet tilstrekkelig retningslinjer og verktøy for å avdekke hull og sikre etterlevelse.
Nå begynner imidlertid brikkene å falle på plass. Tidligere denne måneden kom en etterlengtet ny standard overføringsavtale på plass fra EU-kommisjonen. Alle som baserer seg på tidligere EU standardavtaler, også kjent som «EU SCC», må over på den nye avtaleversjonen i løpet av de neste 18 månedene. Den nye avtalen er mer fleksibel og dekker fire ulike typetilfeller av overføringer, som også omfatter komplekse kontraktsforhold med flere underleverandører.
Retningslinjene har dermed beveget seg vekk fra den noe firkantede tilnærmingen og gir nå mer spillerom for konkrete vurderinger
Senest kom så Personvernrådet den 17. juni med sin endelige anbefaling for å sikre lovlige dataoverføringer ut av EØS. Personvernrådet fastholder sin seks trinn- tilnærming, men gir klarere retningslinjer for vurderingen som må foretas hva gjelder beskyttelsesnivået i mottakerlandet. Virksomheten som er ansvarlig for dataoverføringene må se på lovgivningen i mottakerlandet men kan også legge vekt på konkret erfaring med myndighetenes overvåkingspraksis. Her gir Personvernrådet nå en pedagogisk fremgangsmåte for hvordan den enkelte virksomheten kan gå fram i sin vurdering. Retningslinjene har dermed beveget seg vekk fra den noe firkantede tilnærmingen og gir nå mer spillerom for konkrete vurderinger.
Personvernrådet trekker også frem helt konkrete eksempler knyttet til amerikansk sikkerhetslovgivning. Dette er trolig både nyttig og etterlengtet for mange virksomheter som i dag bruker, eller planlegger å ta i bruk, digitale løsninger fra amerikanske leverandører eller andre løsninger der det skjer dataoverføring til USA. Dessuten er det lagt ved et eget tillegg med informasjon om kilder som kan tas i bruk for å vurdere lovgivningen i mottakerlandet.
Samtidig er det ikke til å se bort ifra at kartlegging av internasjonale dataoverføringer og vurderingene som må gjøres fortsatt vil være en omfattende prosess underlagt strenge rammer som kan oppleves krevende å gjennomføre i praksis. I tillegg er det verdt å merke seg at kravet til å gjøre en vurdering som sikrer etterlevelse av de skjerpede kravene oppstilt i Schrems II-dommen gjelder selv der man baserer dataoverføringer på den nye EU standardavtalen.
Malin Tønseth
Advokat Simonsen Vogt Wiig