Publisert: 22. oktober 2015 Skrevet av: Advokat og partner, Eva Jarbekk og Arve Føyen

Da personvern ble storpolitikk

Når Safe Harbour ikke kan brukes, må data som skal overføres til USA, baseres på et annet hjemmelsgrunnlag. Mange datatilsyn i Europa mener det ikke bare gjelder overføring av data.

 

Overføringer av personopplysninger til USA basert på Safe Harbour er ikke lenger lovlig på grunn av Max Schrems-dommen i EU. Schrems utfordret Facebooks overføringer til USA, men konsekvensene omfatter langt mer enn sosiale medier, fordi domstolen la vekt på det amerikanske etterretningsorganets NSAs generelle og omfattende overvåkning av data.

 

Når Safe Harbour ikke kan brukes, må data som skal overføres til USA, baseres på et annet hjemmelsgrunnlag. Mange datatilsyn i Europa mener det ikke bare gjelder overføring av data. De mener det også gjelder når foreksempel servicepersonell driver kundesupport eller yter annen bistand fra USA. Det siste betyr at cloud-leverandører selger inn sine tjenester som «europeiske nettskyer», må følge reglene om overføring av personopplysninger til utlandet – når tjenesten kan betjenes fra USA eller servicepersonell i andre land. I lys av den oppmerksomhet nettskytjenester har fått i både privat og offentlig virksomhet, er dette viktig. Men hva betyr det i praksis?

 

Etter EU-dommen om Safe Harbour, kom de europeiske datatilsynene med en felles uttalelse fredag ettermiddag i forrige uke. Uttalelsen gjør det klart at et mulig overføringsgrunnlag (til USA og andre land utenfor EU/EØS) fremdeles kan være de såkalte modellavtalene fra EU. Det er en pragmatisk løsning og ikke en prinsipiell løsning. Det er neppe mindre overvåkning i USA frem mot jul enn det var tidligere. For å få til en reell endring hos USA, setter de derfor en tidsfrist ut januar 2016, for at EU og USA kommer til enighet om nye overføringsregime. Et Safe Harbour 2.0. For at datatilsynene skal kunne akseptere et slikt nytt regime må de ha sikkerhet for at det ikke foregår det de benevner som «massiv overvåkning». Dette vil antakelig bli en ikke helt ubetydelig politisk utfordring i USA der mange mener at NSA gjør fornuftige ting. I dette bildet kan kanskje en løsning bli at USA ikke vil aksessere kryptert informasjon. Den siste uken har Obama kommet med uttalelser om dette som er i tråd med hva EU ønsker, dog ganske annerledes enn hva han selv har uttalt tidligere i år. Bakgrunnen er nok at både politiske og økonomiske verdier står på spill. Dersom USA og EU ikke finner noen ny løsning, varsler tilsynene at de kan måtte foreta koordinerte tilsyn. I klartekst betyr dette at overføringer kan bli stoppet og økonomiske sanksjoner ilagt. I realiteten er mye av det transatlantiske handelssamarbeidet truet. Hvis det blir vanskelig å dele personopplysninger, vil effekten bli stor. Amerikanske arbeidsplasser er truet, men flere europeiske leverandører ser det som en ny mulighet for europeiske tjenester.

 

Inntil vi vet hva det storpolitiske spillet resulterer i, kan overføringer fortsette som før så lenge man bruker standardavtalene. Standardavtalene foreligger i tre varianter. Den mest vanlige gjelder overføring til en databehandler, typisk en driftsleverandør eller nettskyleverandør. Fordelen med denne avtalen er at man bare trenger å sende den inn til Datatilsynet for å gjøre den gyldig, men da kan man ikke gjøre endringer i standardteksten. Avtalen har blant annet bestemmelser om at den registrerte skal informeres om overføringen og om bruk av underleverandører. Dette må virksomhetene regne med vil bli håndhevet strengt fremover. Det har stor praktisk betydning for alle som tilbyr tjenester «på toppen av» en skytjeneste. For bruk av de andre to modellavtalene, må man faktisk ha godkjenning fra Datatilsynet. Datatilsynet må også godkjenne avtaler hvor man benytter tjenester fra leverandører som har såkalt «forhåndsgodkjente» modellavtaler, men hvor disse er formulert ut på leverandørens egne kontrakter. Safe Harbour var praktisk fordi det var så få formalkrav knyttet til ordningen. Nå må alle overholde en rekke administrative krav og kostnadene vil bli merkbare.

 

For å komplisere det ytterligere, er tilsynenes praksis rundt modellavtalene litt ulike i ulike EU-land. Det betyr at offentlige virksomheter som kun forholder seg til norsk rett slipper litt lettere unna enn internasjonale selskaper som har kunder i mange land. Det er å håpe at USA og EU kommer til enighet om en ny ordning over jul. Det er egentlig vanskelig å tenke seg at så ikke skal skje.

google maps
Dette nettstedet bruker informasjonskapsler (cookies) slik at vi kan yte deg bedre service. Informasjonskapslene blir hovedsakelig benyttet for trafikkmåling og optimalisering av tjenesten. Du kan også lese mer om vår bruk av informasjonskapsler.