Den 7. oktober publiserte det hvite hus en såkalt «Excecutive Order» (EO) for å styrke sikkerhetstiltakene i USAs etterretningstjenester, med det formål å møte kravene til personvern etter GDPR.
Bakgrunnen for publiseringen er den mye omtalte Schrems II-dommen og ugyldiggjøringen av de eksisterende overføringsgrunnlagene for personopplysninger til USA, Safe Harbour og Privacy Shield. Publiseringen var en oppfølging av den tidligere annonseringen om at det var enighet om et nytt overføringsrammeverk mellom EU og USA.
Vår tidligere artikkel som du kan lese her oppsummerer selve annonseringen av enighet om nytt overføringsrammeverk. Artikkelforfatter Haakon Føyen skrev at «EU-kommisjonen i vår kom til enighet med USA om premissene for å etablere ett nytt overføringsrammeverk kalt «The Trans-Atlantic Data Privacy Framework» for overføringer til USA. Rammeverket som opprinnelig skulle komme i løpet av 2022 har imidlertid latt vente på seg, og mangelen på statusoppdateringer har ført til bekymring om at rammeverket blir forsinket.»
Publiseringen av denne «Excecutive Order» er derfor et kjærkomment steg i riktig retning for å få på plass en overføringsmekanisme mellom EU og USA som sikrer tilstrekkelig beskyttelse av personopplysninger. Det vil fortsatt ta tid før EU eventuelt kan treffe den nødvendige beslutningen som etablerer det nye overføringsgrunnlaget, men det er positivt å se fremgang rundt det nye overføringsgrunnlaget.
Adresserer «Excecutive Order» vurderingstemaene i Schrems II-dommen?
I Schrems II-dommen var to av hovedpunktene at amerikanske myndigheters tilgang til personopplysninger i forbindelse med visse overvåkningsprogrammer ikke var begrenset til det som en proporsjonalt og strengt nødvendig, og at amerikansk rett ikke ga de registrerte noen rettigheter overfor myndighetene som kan prøves for amerikanske domstoler.
Hovedpunkter fra det nokså omfattende EO-dokumentet er at:
- Inngrep i personvernet er bare lov der det er nødvendig for å fremme legitime nasjonale sikkerhetsinteresser, og på en måte som ikke påvirker individets personvern og personvernrettigheter uforholdsmessig.
- Det stilles krav til at amerikanske etterretningsaktiviteter kun utføres innenfor rammen av definerte nasjonale sikkerhetsspørsmål, som spionasje, terrorisme, cybersecurity og lignende.
- Det skal opprettes en ny to-trinns oppreisningsmekanisme som kan benyttes av den registrerte ved inngrep i personvernet, bestående av en klagemekanisme og en uavhengig personverndomstol.
EO adresserer derfor i utgangspunktet Schrems II-dommen direkte ved å a) begrense innsamling og bruk av signaletterretning og b) skape en klagemekanisme og domstol som ikke er begrenset til amerikanske statsborgere.
Det understrekes flere steder at amerikanske myndigheter kun kan få tilgang på Europeiske borgeres personopplysninger dersom det er «nødvendig» og «proporsjonalt». Bruken av disse begrepene søker å samsvare med begrepsbruken i GDPR og EU-domstolens avgjørelse i Schrems II. I teorien bør denne begrepsbruken, sammenholdt med den uavhengige domstolen være et godt grunnlag for EU-kommisjonens eventuelle adekvansbeslutning. En rekke aktører har imidlertid påpekt at begrepene «nødvendig» og «proporsjonalt» har en annen betydning i USA enn i Europa når det kommer til personvern. Det er også påpekt at tilgangen til den uavhengige domstolen for europeiske borgere, i praksis vil være begrenset. Mottagelsen av EO har derfor vært blandet, og det blir spennende å følge utviklingen fremover.
Hva skjer fremover?
Det neste steget er at EU-kommisjonen må utforme en adekvansbeslutning for USA. Dette arbeidet innebærer at en rekke aktører i EU-systemet kommer med sine vurderinger og anbefalinger, blant annet det europeiske Personvernrådet (EDPB). Dersom alt går etter planen er det forventet at en slik prosess kan ferdigstilles i mars/april 2023. I en FAQ publisert som respons til publiseringen av EO, har EU-kommisjonen omtalt endringene som “significant improvements”.
Det er viktig å bemerke seg at EO kun krever at politiske oppdateringer, herunder opprettelsen av uavhengig personverndomstol, må skje i løpet av et år. Dette medfører at en adekvansbeslutning muligens ikke kan tre i kraft før 7. oktober 2023, gitt at den uavhengige personverndomstolen ikke blir opprettet før på dette tidspunktet.
Selv om publiseringen av EO er en god nyhet, medfører den ingen umiddelbar løsning for problematikken rundt overføring fra EU/EØS til USA. For bedrifter som overfører personopplysninger til USA er det fortsatt behov for å benytte et av de nåværende overføringsgrunnlagene, samt eventuelt implementere tilstrekkelige sikkerhetstiltak i samsvar med Schrems II. De fleste bedrifter benytter seg nå av EUs Standard Contractual Clauses (SCC). De nye SCCene ble vedtatt i 2021 og de gamle SCCene må være erstattet av de nye innen 27. desember 2022. Du kan lese mer om de nye SCCene i vår artikkel her.
Det er forventet at Storbritannia kommer med en egen adekvansbeslutning for USA. Dette ble annonsert i en «Joint Statement» samme dag som publiseringen ev EO.
Schrems III på vei?
Max Schrems har allerede uttalt at han ikke mener EO ikke er tilstrekkelig. Først og fremst viser han til at begrepene «nødvendig» og «proporsjonalt» har ulik betydning i USA og EU. Uttalelsen ble publisert hos nettsiden til hans organisasjon NYOB. Det som er nokså sikkert er at NYOB, ledet an av Max Schrems, kommer til å utfordre det nye rammeverket rettslig.
Selv om det fortsatt er mange steg som må på plass i kjølvannet av EO, deriblant adekvansbeslutning fra EU-kommisjonen og implementering av et nytt Data Privacy Framework, vil kanskje denne uttalelsen i en av de siste paragrafene i EO vise seg å bli viktig da det virker som paragrafen gir forrang til den loven som gir høyest beskyttelse av personvern: “In the case of any conflict between this order and other applicable law, the more privacy-protective safeguards shall govern the conduct of signals intelligence activities, to the maximum extent allowed by law.” Hvilke begrensninger som ligger i den siste henvisningen, kan imidlertid være uklart.
Dersom EU-domstolen lander på at regelverket er tilstrekkelig denne gangen, er det håp for en løsning på noe av overføringsproblematikken, i alle fall frem til EU-domstolen eventuelt ugyldiggjør også dette nye overføringsgrunnlaget.
Hva betyr dette for bedrifter?
Per nå er det ingen endring i situasjonen rundt overføringer til tredjeland. Det vil si at dersom man ønsker å benytte seg av tjenester som overfører personopplysninger til USA må man fortsatt:
- Ha er gyldig overføringsgrunnlag etter GDPR kapittel V, eksempelvis EUs Standard Contractual Clauses (SCC)
- Utføre en grundig og dokumentert risikoanalyse (DPIA, Transfer Impact Assessment)
- Iverksette og implementere tilstrekkelige beskyttelsestiltak for å sikre at personopplysningene i prinsippet har samme beskyttelse som under GDPR.