EU-domstolen avsa torsdag 16. juli 2020 en prinsipielt viktig dom om overføring av personopplysninger til USA, også kalt Schrems II-dommen.
EU-US Privacy Shield, avtalen mellom EU og USA som skulle sikre trygg overføring av personopplysninger fra EU til USA, er kjent ugyldig av EU-domstolen. Saken ble nok en gang initiert av Max Schrems, den østerrikske juristen som i sin tid også fikk ugyldiggjort den tidligere «Safe Harbour»-ordningen, Privacy Shields forgjenger.
Etter avgjørelsen i Schrems II, er Privacy Shield ikke lenger et gyldig rettslig grunnlag for overføring av personopplysninger fra EU/EØS til USA. Tusenvis av europeiske bedrifter må nå finne ut om de trygt kan fortsette å bruke IT-tjenester fra amerikanske selskaper uten å risikere bøter fra datatilsynsmyndigheter.
Det overordnede spørsmålet EU-domstolen vurderte i saken er om Facebooks overføring av personopplysninger til USA er tilstrekkelig trygg i henhold til GDPR. Ved overføring av personopplysninger til land utenfor EU/EØS området («tredjeland») er virksomheter forpliktet til å sikre at tredjelandet har et tilstrekkelig beskyttelsesnivå. Dette innebærer at europeiske borgere skal gis et tilsvarende beskyttelsesnivå for sine personopplysninger som overføres til tredjeland som det gis under GDPR. For å sikre et tilstrekkelig beskyttelsesnivå har virksomheter benyttet bl.a. EU-US Privacy Shield og Standard Contractual Clauses («SCC»).
I sin vurdering av om overføring av personopplysninger på grunnlag av Privacy Shield gir et tilstrekkelig beskyttelsesnivå, legger domstolen særlig vekt på to forhold i) hvilken sikkerhet kontrakten mellom «dataeksportøren» i EU og «dataimportøren» i USA gir, og ii) viktigst for denne saken, hvilke tilganger offentlige myndigheter i USA har til slike personopplysninger og hvilke rettslige skranker denne tilgangen er underlagt.
Det springende punkt for domstolen ble at de rettslige skrankene for amerikanske myndigheters tilgang til personopplysninger ikke tilfredsstiller de forutsetninger som Privacy Shield-avtalen hviler på. Domstolen uttrykker at amerikanske myndigheters tilgang til personopplysninger i forbindelse med visse overvåkningsprogrammer ikke er begrenset til det som er proporsjonalt og strengt nødvendig. Amerikansk rett gir heller ikke datasubjektene noen rettigheter overfor myndighetene som kan prøves for amerikanske domstoler. I sammenheng med dette uttrykker domstolen at ombudsmannsordningen etablert under Privacy Shield, i praksis ikke gir datasubjektene tilsvarende rettigheter som under GDPR – slik forutsetningen for Privacy Shield var.
Konsekvensen av dommen er at virksomheter som hittil har basert seg på Privacy Shield som rettslig grunnlag for overføring av personopplysninger fra EU/EØS til US, må nå få på plass et alternativt overføringsgrunnlag. Dommen vil også få betydning for de land som anser Privacy Shield som en nødvendig garanti ved overføring av personopplysninger fra deres land til USA. Disse landene innebærer blant annet Israel, Serbia og Storbritannia (post-Brexit).
En gladnyhet er imidlertid at EU-domstolen uttaler at de såkalte Standard Contractual Clauses fortsetter som gyldig rettslig grunnlag. Dette innebærer at virksomheter som tidligere har basert seg på Privacy Shield-ordningen for å lovlig overføre data til USA, i stedet kan basere seg på SCC. Dette forutsetter imidlertid at «dataimportøren» varsler «dataeksportøren» dersom SCC ikke kan overholdes, og at «dataeksportøren» suspenderer overføringen dersom SCC ikke kan overholdes.
Avgjørelsen har mange implikasjoner også for norske virksomheter. Ikke bare påvirker det dataflyten fra EU innenfor virksomheten, men det påvirker også all dataflyt i distribusjonskjeden. Derfor må virksomheter vurdere hvordan de fortsatt kan bruke leverandører som tidligere har vært sertifisert iht. Privacy Shield, og få på plass et alternativt rettslig grunnlag for overføring. Det er også verdt å både merke seg og å vurdere konsekvensen av dommens hovedpoeng: At EU-domstolen slår fast at data som overføres til USA, ikke er tilstrekkelig beskyttet mot inngrep fra amerikanske myndigheter.
Datatilsynet har uttalt at de vil i samarbeid med andre tilsynsmyndigheter i EØS gi nærmere veiledning til hvordan virksomheter kan innrette seg etter avgjørelsen.