Den nylig avsagte avgjørelsen fra EU-domstolen – Schrems II – har store konsekvenser for alle virksomheter som benytter seg av cloud-tjenester eller har outsourcet driften av IT-løsninger.
Outsourcing eller bruk av slike tjenester innebærer ofte overføring av personopplysninger til land utenfor EU/EØS uten tilstrekkelig beskyttelsesnivå («tredjeland»). Overføring av personopplysninger kan også skje ved at en person lokalisert i et tredjeland har tilgang til personopplysninger som ligger innenfor EU/EØS området, eksempelvis supportpersonell som sitter i USA.
Dersom en virksomhet har basert grunnlaget for overføringen til USA på EU-US Privacy Shield, avtalen mellom EU og USA som skulle sikre trygg overføring av personopplysninger fra EU til USA, er overføringen nå ulovlig. Dette skyldes at lovgivningen i USA ikke sikrer at personopplysninger som overføres blir underlagt det beskyttelsesnivået man har i EU/EØS-området – på grunn av USAs omfattende overvåkningslovgivning.
Avgjørelsen berører også andre eksisterende overføringsmekanismer til tredjeland. Bruk av EU-kommisjonens standardbestemmelser («Standard Contractual Clauses»/ «SCC») for overføring til tredjeland er fortsatt i prinsippet tillatt. Det samme gjelder såkalte Binding Corporate Rules («BCR»). Imidlertid innebærer domstolens avgjørelse at det stilles krav til bruk av SCC eller BCR som det kan være svært vanskelig å oppfylle. Ved overføring av personopplysninger basert på SCC eller BCR til tredjeland må det foretas en risikovurdering av om vedkommende lands lovgivning gir tilsvarende sikkerhet for behandlingen av personopplysninger som innenfor EU/EØS, samt at lovgivningen og mekanismene i SCC blir respektert i landet.
Eksempelvis, dersom virksomheten benytter en amerikansk mottaker som er en «electronic communication provider» underlagt FISA 702 og/eller EO 12.333 (amerikanske etterretningslover) vil det i skrivende stund være problematisk å bruke SCC som rettslig grunnlag ved overføring av personopplysninger til USA. Det vil også være problematisk å overføre personopplysninger basert på SCC til f.eks. India og Kina. Dette vil også gjelde for Storbritannia hvis det ikke – i forbindelse med Brexit – kommer i stand en særskilt avtale mellom EU og Storbritannia innen nyttår, som sikrer lovligheten av slik overføring.
Det er særlig to spørsmål knyttet til anvendelse av SCC og BCR som overføringsgrunnlag som er verdt å nevne i etterkant av Schrems II avgjørelsen:
1) Er virksomheter i stand til å foreta en adekvat landrisikovurdering?
I risikovurderingen må virksomheten – før overføring av personopplysninger til et tredjeland – vurdere mottakerlandets rettssystem, herunder politi- og etterretningsmyndigheters tilgang til opplysningene som overføres. Denne risikovurderingen vil være svært vanskelig og utenfor rekkevidden til mange virksomheter å kunne vurdere. Som et utgangspunkt, vil det kunne være mulig å trekke en grov grensedragning mellom rettssystemer som pålegger domstolsprøving av hver enkelt forespørsel fra politi- og etterretningsmyndigheter, mot rettssystemer hvor politi- og etterretningsmyndigheter har hjemler som åpner for nærmest ukritisk innhenting av data.
2) Hvilke ytterligere tiltak kan man gjøre for å oppnå et tilstrekkelig beskyttelsesnivå?
Dersom det fremgår av risikovurderingen at beskyttelsesnivået i landet til mottakeren ikke vil være tilsvarende som i EU/EØS, må det iverksettes ytterligere tiltak (eng. supplementary measures) som går ut over det som reguleres av SCC. Hvilke ytterligere tiltak som eventuelt er mulig både kontraktuelt og rent faktisk må vurderes av virksomheten selv. Domstolen avklarer ikke hva som regnes som ytterligere tiltak, og verken EDPB eller Datatilsynet har foreløpig kommet med noen avklaringer i etterkant av dommen.
Hva må din virksomhet gjøre?
1) Få oversikt over hvordan denne avgjørelsen berører virksomheten.
Det må undersøkes i hvilken grad virksomheten benytter tjenesteleverandører eller underleverandører i USA og tredjeland, og hvilket overføringsgrunnlag overføringen baseres på.
2) Overføringer til USA som kun er basert på Privacy Shield må stanses omgående.
Personvernrådet (EDPB) har uttalt at det ikke foreligger noen overgangsperiode og overføring av personopplysninger basert på Privacy Shield må stanses omgående, eller overføringen må endres fra å baseres på Privacy Shield til SCC eller BCR.
3) Vurdere om SCC eller BCR kan benyttes videre.
I alle relasjoner hvor grunnlaget er SCC, må det gjøres en vurdering av vedkommende lands sikkerhetsnivå og hvilke tilleggstiltak som eventuelt er mulig både kontraktuelt og rent faktisk. Hvis det ikke er mulig å få etablert en slik vurdering, eventuelt at det ikke kan iverksettes ytterlige tiltak, er overføringen ulovlig og må i prinsippet stanses. Også dette gjelder i prinsippet uten noen form for overgangsordning.
I praksis har kanskje virksomheter – som enten allerede baserer overføringer på SCC eller som har endret til SCC eller BCR fra Privacy Shield – adgang til å avvente inntil det foreligger ytterligere avklaringer fra EU eller Datatilsynet om hva som regnes som tilstrekkelige tiltak. Imidlertid må det presiseres at virksomheten i prinsippet nå har risikoen for lovligheten og sanksjoner.