Struper overføring av personopplysninger til USA

Tirsdagens avgjørelse fra EU-domstolen i den såkalte «Safe Harbour-saken», var god for europeeres grunnleggende rettigheter. Men den fjernet samtidig et effektivt verktøy for overføring av europeiske personopplysninger til USA. Igjen står tre upraktiske og kortsiktige alternativ.

Artikkel av: advokat (H) Jon Wessel-Aas og advokatfullmektig Svein Dale Soleng i Bing Hodneland advokatselskap DA.What did the Court say?I sin dom avgjorde EU-domstolen at det generelle, formelle grunnlaget for overføring av personopplysningene til europeiske borgere til USA, EU-kommisjonens Safe Harbour-beslutning fra 2000, er ugyldig. Konsekvensen er at blant andre flere tusen amerikanske selskaper nå undersøker alternative grunnlag for å kunne fortsette overføringene som skjer når de yter tjenester som sosiale medier, skytjenester, personaladministrasjon og serverdrift til europeiske selskaper og forbrukere. Men også andre overføringer av personopplysninger fra Europa til USA rammes.Hva skyldes dette, og hva betyr dette for berørte virksomheter nå? Safe Harbour-avtalen – et verktøy for overføring av personopplysningerUtgangspunktet etter EUs personverndirektiv av 1995 er at personopplysninger kun kan overføres til stater som i tilstrekkelig grad har garantert for tilsvarende behandling og rettsbeskyttelse som innenfor EØS-området. Overføring har kunnet skje internt i EØS-området, samt til enkeltland som har blitt forhåndsgodkjent av EUs arbeidsgruppe for personvern, artikkel 29-gruppen. Andre, ikke-godkjente land har vært omtalt som «tredjeland». Overføring til slike tredjeland har krevd særlig godkjennelse for hver enkelt tilfelle. USA var i utgangspunktet et slikt tredjeland, men overføring dit ble forenklet i 2000 via fellesavtalen Safe Harbour. Avtalen ble gjort mellom EU og det amerikanske handelsdepartementet, og sistnevnte forsikret i avtalen at personvernet til europeiske borgere i tilstrekkelig grad vil ivaretas. Gjennom EU-kommisjonens Safe Harbour-beslutning i 2000, ble denne avtalen gjort til et generelt grunnlag for lovlig overføring av personopplysninger til USA.Avtalen bygget på at selskaper som ønsket å motta personopplysninger fra Europa måtte sertifiseres – og når det var gjort, ble de ansett for å være i «trygge havner» for europeiske personopplysninger. Siden denne sertifiseringen i praksis kunne gjøres av virksomheten selv, har mange vært skeptiske til ordningen. Tomme garantier og masseovervåkningI sin avgjørelse, la domstolen til grunn at personvern er en grunnleggende rettighet for borgere av EU, og fant at amerikanske myndigheter i praksis er avskåret fra innfrielse av garantien gitt i Safe Harbour-avtalen. De tre hensynene nasjonal sikkerhet, det offentliges interesse, og utøvelse av politimyndighet går foran garantiene gitt i avtalen. Enhver konflikt mellom disse hensynene og europeiske borgeres personvern ender da med tap for personvernet. Sett i lys av de senere års avdekking av masseovervåkning av elektronisk kommunikasjon, som skjer uten noen individuell vurdering av forholdsmessighet eller andre begrensninger, ble situasjonen ansett å være i grunnleggende strid med europeiske krav til personvern, kommunikasjonsfrihet og rettssikkerhet. Et skjerpende moment var at overvåkningen skjer uten noen form for ettersyn av nasjonale kontrollorgan, og at den enkelte europeer heller ikke har noen rettsmidler tilgjengelig i USA mot misbruk av deres personopplysninger. Resultatet er altså at Safe Harbour-beslutningen er erklært ugyldig – og et 15 år gammelt overføringsgrunnlag er dermed borte. Det gjenstår per i dag tre mulige hovedalternativer klare for de som ønsker å, eller må, fortsette overføring av europeiske personopplysninger til USA. Disse er imidlertid enten upraktiske og/eller beheftet med de samme svakheter som påpekes med hensyn til Safe Harbour-systemet i EU-domstolens avgjørelse. EUs standardavtalerDatatilsynet har foreløpig pekt på EUs-standardavtaler for dataoverføringer som et alternativ for å fortsette overførslene. Disse avtalene er forhåndsgodkjente av tilsynsmyndigheten, og krever kun mindre tilpasninger før signering. Avtalene pålegger begge parter spesifikke plikter for sikring av personopplysningene, i tråd med europeisk lovgivning.  For mindre virksomheter med mindre «portefølje» av overføringer, er dette en praktisk løsning. For større virksomheter vil det ofte medføre en større papirmølle å gjennomføre dette for alle eksisterende forhold som hittil har basert overføringene på Safe Harbour-systemet. Det er imidlertid fare for at løsningen kun er kortsiktig. Disse standardavtalene binder nemlig bare avtalepartene – sender og mottaker. Avtalene gir dermed ikke noe mer vern mot den type statlig masseovervåkning som EU-domstolen viste til som begrunnelse for å underkjenne Safe Harbour-beslutningen som overføringsgrunnlag. Bruk av standardavtalene som grunnlag for overføring kan dermed komme til å lide samme skjebne som Safe Harbour-systemet. Dette problemet gjelder for så vidt ikke bare overføring til USA – all overføring som skjer til tredjeland basert på disse avtalene lider i prinsippet av samme svakhet. Bindende konsern-reglerEt annet alternativ er å etablere bindende konsern-regler. Ved å innføre strenge interne regler for behandling av personopplysninger, og få disse godkjent av Datatilsynet, kan personopplysningene overføres internt i konsernet, på tvers av landegrenser.Godkjenningsprosessen av regelverket er imidlertid tidkrevende, og løsningen i praksis kun gjennomførbar for større virksomheter. Samtidig lider dette alternativet av samme svakhet som EUs-standardavtaler – den binder kun partene, ikke myndighetene i den staten opplysningene overføres til. Samtykke fra den registrerteDet tredje generelle alternativet, er samtykke fra den enkelte registrerte, datasubjektet. Dette byr imidlertid på en rekke praktiske utfordringer. Kravet til at samtykke må være informert medfører at brukerne må vite hva de har samtykket til. Brukerne må akseptere eksplisitt at personopplysningene deres kan overføres til tredjeland. Dersom forhåndsinformasjonen er uklar, anses samtykke som ikke tilstrekkelig. Dommen – og kommentarene om masseovervåkning – kan sette tidligere innhentede samtykker i ett nytt lys. Dersom gyldig samtykke ikke lenger anses å foreligge, må det innhentes på nytt. I mange tilfeller vil det være en tidkrevende prosess.For å kunne overføre opplysningene må det føres register over hvem som har avgitt samtykke, samt om det fortsatt er gjeldende. Brukerne kan nemlig som hovedregel når som helst trekke det tilbake, med den effekt at overføringen må stanses. Et siste, teoretisk mulighet er en nasjonal godkjennelse av USA som et land med tilstrekkelige personverngarantier. Denne godkjennelsen kan i teorien gjøres av ethvert nasjonalt datatilsynsorgan i EU/EØS. Det er imidlertid tvilsomt at en slik godkjennelse vil komme, basert på begrunnelsen for EU-domstolens dom. Her venter nok de enkelte tilsyn på en uttalelse fra artikkel 29-gruppen. Det finnes også to praktiske alternativ. Tilfredsstillende kryptering kan tilsynelatende gi sikkerhet mot overvåkning, men er en svak løsning om mottakeren sitter på nøkkelen til å dekryptere informasjonen. Nøkkelen kan da kreves utlevert av amerikanske myndigheter. Det andre alternativet er etablering en ny infrastruktur, der behandling av personopplysningene skjer i Europa – gjennom etablering av eller bruk av eksisterende datasentre her.OppsummeringEU-domstolens avgjørelse er etter vår vurdering en korrekt og naturlig konsekvens av den manglende rettslige beskyttelsen av personvernet i USA, sett opp mot de standardene som gjelder i Europa i henhold til både EUs Charter om grunnleggende rettigheter og Den europeiske menneskerettskonvensjon. Den skaper imidlertid store praktiske problemer for alle som har behov for å overføre personopplysninger til USA (og, som vi har pekt på, i prinsippet alle tredjeland som ikke uttrykkelig er godkjent som enkeltland). Noen fullgod løsning på problemet er det vanskelig å se for seg, med mindre USA inngår en avtale med EU, som garanterer at overførte personopplysninger vil behandles med tilsvarende beskyttelse som etter europeisk rett.Artikkelen er skrevet av advokat (H) Jon Wessel-Aas og advokatfullmektig Svein Dale Soleng i Bing Hodneland advokatselskap DA