Den 21. juni 2021 publiserte Personvernrådet (EDPB) sin reviderte versjon av veilederen for supplerende beskyttelsestiltak («Recommendations on supplementary measures»), som har som uttalt formål å hjelpe virksomheter i å overholde kravene til overføring til tredjeland etter GDPR og Schrems II-avgjørelsen. Utkastet til veilederen var gjenstand for kritikk, mye fordi den av mange i praksis ble tolket som et forbud mot overføring, og fordi den tilsynelatende stengte for mer praktiske vurderinger av risikoen i konkrete overføringssituasjoner. Veilederen kommer kun et par uker etter at EU-Kommisjonen publiserte sine reviderte Standard Contractual Clauses (SCC).
Som omtalt i en «Joint Opinion» fra Personvernrådet og European Data Protection Supervisor («EDPS») i januar 2021, var det uenighet mellom Kommisjonen og Personvernrådet om hva som kunne legges vekt på i en risikobasert tilnærming. Med risikobasert tilnærming menes i denne sammenheng vurderinger av «den reelle risikoen» for at et tredjelands myndigheter vil krenke enkeltpersoners rettigheter ved å skaffe seg tilgang til deres personopplysninger uten hensyn til de rettssikkerhetsgarantier vi har i EU/EØS. Det var derfor knyttet en del spenning til om Personvernrådet kom til å nærme seg EU-Kommisjonens mer risikobaserte tilnærming hvor subjektive faktorer kunne legges vekt på. Den nye veilederen og SCC-ene viser imidlertid at Kommisjonen og Personvernrådet har kommet til en tilnærming som kan betegnes som et kompromiss om hvordan man skal tolke Schrems II-avgjørelsen.
Hva er nytt?
Størsteparten av utkastet til veilederen er uforandret i den endelige versjonen. Det er likevel en del punkter som er verdt å merke seg, spesielt når det kommer til hva som kan tas med i vurderingen ved utformingen av en såkalt «TIA» (Transfer Impact Assessment).
Veilederen åpner nå for at en dataeksportør (for eksempel en norsk bedrift i rollen som behandlingsansvarlig) kan legge vekt på sannsynligheten for at offentlige myndigheter får tilgang til personopplysningene. I dette ligger det en vurdering av praksis og lovgivning i tredjestaten. Dersom det finnes praksis og lovgivning som er i strid med EU-lovgivning og kravene etter overføringsgrunnlagene i GDPR artikkel 46, må supplerende beskyttelsestiltak iverksettes dersom overføringen skal fortsette. For TIA-er kan det legges vekt på tidligere erfaringer med offentlige myndigheters tilgang til personopplysninger, men slik praktisk erfaring må være offentlig tilgjengelig, relevant, mulig å verifisere, objektiv og troverdig. Til tross for kravene som stilles til dokumentasjonen, er dette et punkt som er mer i tråd med de nye SCC-ene enn tidligere.
Risikobasert tilnærming – men den må være grundig
At det åpnes for en slik risikobasert tilnærming, er positivt for virksomheter som ønsker å overføre personopplysninger til tredjeland. For de fleste vil det imidlertid være relativt krevende å foreta adekvate risikovurderinger. Fotnote 54 i veilederen presiserer at en slik TIA-vurdering må inkludere «comprehensive information on the legal assessment of the legislation and practices, and of their application to the specific transfers, the internal procedure to produce the assessment (including information on actors involved in the assessment-e.g. law firms, consultants, or internal departments) and dates of the checks”. Den påpeker også at rapporter skal verifiseres av juridiske representanter for dataeksportøren. På dette punktet er det også en forandring at veilederen i større detalj beskriver mulige kilder for informasjon i relasjon til vurdering av tredjelands lovgivning.
I tillegg er det i fotnote 80-83 gitt ytterligere veiledning for hvordan man skal vurdere styrken på krypteringen, og hvordan krypteringsalgoritmer kan brukes til å pseudonymisere personopplysninger. Pseudonymisering kan særlig være relevant for bedrifter som benytter seg av skyløsninger som krever at opplysningene ikke er krypterte.
Til tross for denne mer praktiske tilnærmingen, er det klart at dersom virksomheter ønsker å overføre personopplysninger til det som i veilederen betegnes som jurisdiksjoner med «problematisk lovgivning» fordi de ikke har noen grunn til å tro at offentlige myndigheter vil få tilgang til opplysningene, i praksis må foreta relativt omfattende undersøkelser for å dokumentere og rettferdiggjøre sine vurderinger.
Hvilke krav er uforandret?
Tekniske tiltak, som kryptering og pseudonymering, er fortsatt de eneste tiltak Personvernrådet anser som tilstrekkelige tiltak der et tredjelands lovgivning eller praksis er «problematic» (les: gir adgang til å innhente personopplysninger eller overvåke uten tilsvarende rettssikkerhetsgarantier som i EU/EØS).
De mye kritiserte «Use Cases» er fortsatt å finne i den endelige veilederen. Det innebærer at Pesonvernrådet fortsatt ikke har sett noen tiltak som vil være tilstrekkelige for situasjoner det personopplysninger overføres til skytjenester som krever «data in the clear».
Hva må virksomheter gjøre nå?
Essensen av det som ble omtalt som sekstrinns-veiledningen er fortsatt inkludert i den endelige veilederen. Dette innebærer at virksomheter som overfører personopplysninger til land utenfor EU/EØS bør følge de følgende stegene:
- Skaffe oversikt over alle overføringer til tredjestater.
- Undersøke hvilket overføringsgrunnlag som tas i bruk for hver enkelt overføring.
- Undersøke tredjestatens lovgivning for å kunne avgjøre om overføringsgrunnlaget gir tilstrekkelig beskyttelsesnivå (om beskyttelsesnivået i det vesentlige tilsvarer det man har i EU). På dette punktet er det nå åpnet for å legge vekt på praktisk erfaring m.m. som beskrevet ovenfor.
- Dersom man etter punkt 3 kommer frem til at det ikke er et tilstrekkelig beskyttelsesnivå, må det vurderes om det kan iverksettes supplerende beskyttelsestiltak som kan kompensere for dette.
- Dokumentere og implementere relevante beskyttelsestiltak.
- Fortløpende vurdere om overføringsgrunnlaget og de supplerende tiltakene gir tilstrekkelig beskyttelse.
-
-
Rent praktisk bør man anlegge den samme prosessen som var anbefalt rett etter at Schrems II ble avsagt. Man må ha oversikt over sine overføringer og gå i dialog med sine leverandører i tredjeland om hvordan trygge overføringer kan sikres. Det nye er at man i denne prosessen både har nye SCC-er å forholde seg til, samt veiledningen fra Personvernrådet. I tillegg er det fornuftig å følge med på eventuell ytterligere veiledning og tilsynspraksis fra datatilsynsmyndigheter, og ikke minst – hvordan skygigantene Microsoft, Amazon, Google osv. innretter seg. Det vil fortsatt være krevende å forholde seg til kravene for overføring til tredjeland, men åpningen for i større grad å basere seg på en risikobasert tilnærming vil være godt nytt for de fleste virksomheter.
Torodd Aastorp, trainee/masterstipendiat
Ane Rode, advokat fullmektig
Kjetil Wick Sætre, advokat
Jostein Ramse, advokat/partner
Øyvind Eidissen Ransedokken, advokat/partner