Flere virksomheter i Norge og resten av EØS gledes over nyhetene som kom fra Brussel 25. mars om at USA og EU-kommisjonen har kommet til enighet om «EU-US Trans-Atlantic Data Privacy Framework». Avtalen skal sikre lovlig overføring av personopplysninger til teknologileverandører i USA. Etter at EU-US Privacy Shield-rammeverket ble kjent ugyldig av EU-domstolen i den såkalte Schrems II-avgjørelsen, anlagt av personvernaktivisten Maximilian Schrems, har det vært svært krevende å lovlig benytte blant annet skyløsninger fra amerikanske leverandører. Den nye overføringsavtalen skal sikre at personopplysninger som overføres til USA har samme vern som etter GDPR. Avtalen adresserer derfor manglene ved tidligere Privacy Shield-rammeverk som førte til Schrems II-avgjørelsen.
En rekke detaljer må fremdeles på plass før den nye overføringsavtalen kan tas i bruk. Vi mangler fortsatt en konkret avtaletekst og EU-kommisjonen må fatte en formell avgjørelse om at avtalen gir et tilstrekkelig beskyttelsesnivå for å oppfylle kravene etter GDPR. Videre må den amerikanske presidenten vedta en såkalt «Executive Order» som sikrer at europeiske borgere sine personvernrettigheter ivaretas i tråd med GDPR, og samtidig er det mye som tyder på at disse detaljene skal komme raskt på plass.
En sentral grunn til at Privacy Shield ble underkjent var bekymringen for at tredjelands etterforskningsmyndigheter kan skaffe seg tilgang til opplysninger i strid med prinsippene etter GDPR
Et spørsmål mange stiller seg er derfor om man fremover vil slippe flere Schrems II-vurderinger ved bruk av skytjenester og lignende løsninger som involverer overføringer til amerikanske leverandører. Dessverre er ikke dette gitt. Det nye rammeverket vil, i likhet med Privacy Shield-ordningen, kreve at amerikanske leverandører først har sertifisert seg under den nye ordningen. Mange av de store og seriøse leverandørene vil helt sikkert raskt gjøre dette, men USA skal altså ikke som sådan bli et såkalt «forhåndsgodkjent» land. Videre er det en kjensgjerning at skyløsninger gjerne innebærer at data deles med flere underleverandører. Det er ikke avklart hvordan EU-US overføringsavtalen vil ta høyde for bruk av usertifiserte underleverandører i USA. Videre, fordi løsningene leveres «around-the-clock», er det ofte også underleverandører i helt andre land som for eksempel India, Kina eller Russland som er involvert. Her er det viktig å huske at en sentral grunn til at Privacy Shield ble underkjent var bekymringen for at tredjelands etterforskningsmyndigheter kan skaffe seg tilgang til opplysninger i strid med prinsippene etter GDPR. Bekymringen er neppe blitt mindre i lys av seneste tids sikkerhetsutforinger på makronivå. Man skal heller ikke se bort fra at vi vil se forsøk på å få en «Schrems III-avgjørelse» som kan utfordre «EU-US Trans-Atlantic Data Privacy Framework».
Arbeidet med Schrems II-vurderinger har gitt mange bedrifter overraskelser når de ser hvor mange land deres opplysninger faktisk overføres til
Selv om en overføringsavtale mellom EU og USA altså etter alt å dømme snart kommer på plass, er det fortsatt mange gode grunner til nøye å vurdere risikoen ved bruk av løsninger som innebærer globale dataoverføringer. Arbeidet med Schrems II-vurderinger har gitt mange bedrifter overraskelser når de ser hvor mange land deres opplysninger faktisk overføres til. Det er høyst uklart hvordan garantiene fra amerikanske myndigheter skal kunne sikre mot innsyn fra myndigheter i andre tredjeland enn USA. Videre kan man ha samme bekymring også for andre bedriftssensitive opplysninger som man absolutt trenger å ha god kontroll på. Vi tror derfor ikke at vi er ferdig med Schrems på en stund enda.
Malin Tønseth
Partner i Simonsen Vogt Wiig
Sarah Renså Skogesal
Advokatfullmektig i Simonsen Vogt Wiig
