Artikkel
Etterlengtede retningslinjer fra EDPB etter Schrems II
Forenklende eller kompliserende?
Det Europeiske Personvernrådet (EDPB) har sendt sine forslag til retningslinjer på høring. I denne artikkelen gjennomgår vi innholdet i de ulike stegene i de foreslåtte retningslinjene.
Publisert 12.11.2020
Avgjørelsen fra EU-domstolen i «Schrems II»-saken har vært et hyppig omtalt og debattert tema siden i sommer, og problemstillingen behøver knapt en introduksjon. Til dem som ikke har fått med seg saken så kan den kort oppsummeres slik:
- Privacy Shield-avtalen mellom EU/EØS og USA ble kjent ugyldig etter at Max Schrems krevde stansing av overføring av personopplysninger mellom Facebook Irland og Facebook Inc. USA. Privacy-Shield-avtalen ga tidligere overføringsgrunnlag for personopplysninger til USA
- Kjernen i avgjørelsen i Schrems II var at amerikansk lovgivning gir amerikanske myndigheter vide hjemler til å overvåke og behandle personopplysninger i strid med det europeisk personvernregelverket
- Øvrige overføringsgrunnlag, som EU-kommisjonens standardbestemmelser, ble opprettholdt som gyldige overføringsgrunnlag, men med forbehold om at selskapet det overføres til ikke er underlagt lokal lovgivning som undergraver forpliktelsene som følger av overføringsgrunnlagene. EU-domstolen stilte krav til at det må gjennomføres undersøkelser av om beskyttelsesnivået som overføringsgrunnlaget legger opp til også vil realiseres i praksis.
- For det tilfelle at det foreligger forhold som ikke er forenlig med forpliktelsene i overføringsgrunnlaget skal det iverksettes «ytterligere tiltak» for å bøte på dette.
- For ytterligere detaljer om Schrems II-dommen, les vår omtale her.
Det Europeiske Personvernrådet (EDPB) publiserte 11.11.20 sine forslag til retningslinjer i forlengelse av dommen. EDPB har vedtatt én retningslinje for «Recommendations on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data» og én for «Recommendations on the European Essential Guarantees for surveillance measures». Retningslinjene er foreløpig kun sendt på høring og EDPB har bedt om at eventuelle innspill sendes dem innen 30. november.
Retningslinjene kan leses her:
- Recommendations on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data
- Recommendations on the European Essential Guarantees for surveillance measures
Retningslinjene - kort oppsummert
Vår gjennomgang av retningslinjene tilsier at det ikke er noen enkel løsning på utfordringene som følger i kjølvannet av Schrems II-dommen. Retningslinjene er nok et stykke fra det mange har ventet (og håpet) på, og gir i flere situasjoner kanskje like mange, hvis ikke flere, utfordringer. Vår første vurdering av retningslinjene gir inntrykk av at det stilles strenge krav som nødvendiggjør omfattende vurderinger for at personopplysninger skal kunne lovlig overføres til et tredjeland.
EDPB presisere flere ganger at vurderinger for alle tilfeller må nøye dokumenteres, og at de som overfører personopplysninger til tredjeland er ansvarlige og kan ilegges bøter ved brudd.
Leder for EDPB oppsummerer det slik:
«Therefore, there are no quick fixes, nor a one-size-fits-all solution for all transfer».
Vår vurdering av retningslinjene gir grunnlag for å støtte denne uttalelsen.
For å lovlig kunne overføre personopplysninger til tredjeland (ikke bare USA), så stiller EDPB blant annet krav til at man gjør en grundig kartlegging av alle overføringer, differensierer på ulike type behandlinger, gjør undersøkelser av lovgivning i tredjeland, vurdere lovgivning opp mot hva som er nødvendig og forholdsmessig i et demokratisk samfunn, implementerer kontraktuelle, tekniske og organisatoriske tiltak osv.
Vi har gjort en kort analyse av retningslinjene. EDPB har delt de ulike problemstillingen i en stegprosess (Roadmap)). Vi gjennomgår hovedtrekkene i de ulike stegene nedenfor.
Navnene på de ulike stegene er vår egne uoffisielle oversettelser.
Steg 1 – Kartlegging av egne overføringer
Dette er det naturlige første steget som gir grunnlaget for de andre stegene. Det er kun overføringer ut av EU/EØS som er relevante i denne sammenhengen. EDPB minner om at også fjerntilgang og bruk av skylagring utenfor EU/EØS anses som overføring samt at dataminimering tilsier at det kun kan overføres personopplysninger som er adekvate, relevante og begrenset til det som er nødvendige for formålene (art. 5c). Personopplysninger som ikke oppfyller art. 5c skal ikke overføres, og de neste stegene er i så tilfelle ikke nødvendig å gjennomføre.
I tillegg minner EDPB på at dette også omfatter overføringer som eventuelle databehandlere i EU/EØS gjør til sine underdatabehandlere i tredjeland.
Dersom det identifiseres overføringer ut av EU/EØS som er adekvate, relevante og begrenset til det som er nødvendig for formålene, så må man gå videre til steg 2.
Steg 2 – Undersøk overføringsgrunnlaget
Overføringsgrunnlag er regulert i GDPR kapittel 5, hvor aktuelle grunnlag kan være EU-kommisjonens standardbestemmelser, Bindende virksomhetsregler (BCR), forhåndsgodkjent land etc.
Dersom det overføres personopplysninger til et forhåndsgodkjent land presiserer EDPB at det er ikke er nødvendig å gjennomføre flere steg og overføringen er følgelig lovlig. Her bemerker likevel EDPB at selv om dette anses som en lovlig overføring, så er man ikke garantert mot at noen reiser klage/søksmål for å bestride at det forhåndsgodkjente landet faktisk oppfyller kravene til tilstrekkelig beskyttelsesnivå. EDPB eksemplifiserer dette med nettopp Schrems II-dommen, hvor Schrems angrep Privacy-Shield ordningen som opprinnelig var ansett å gi tilstrekkelig beskyttelsesnivå.
Videre omtaler EDPB unntakene i artikkel 49 hvor de tydelig presiserer at dette kun skal benyttes i unntakstilfeller, og i utgangspunktet kun kan benyttes i enkelttilfeller og ikke ved gjentakende overføringer. Schrems II-dommen gir følgelig ikke rom for noen utvidelse av virkeområdet til artikkel 49, som nok mange nå har tatt en ekstra titt på siden i sommer.
Dersom overføringen ikke skjer til et forhåndsgodkjent land eller er omfattet av unntakene i artikkel 49 så må man gå videre til steg 3.
Steg 3 – Vurder om lovgivning eller praksis i tredjeland påvirker beskyttelsesnivået overføringsgrunnlaget er ment å sikre
Utgangspunktet for dette steget er i følge EDPB at man må undersøke om overføringsmekanismen faktisk er effektiv i praksis ved at beskyttelsesnivået i all hovedsak er tilsvarende/likt. Dette er ikke tilfellet dersom den som mottar personopplysningene i et tredjeland ikke kan overholde forpliktelsene som følger av overføringsgrunnlaget på grunn av nasjonal lovgivning eller lignende.
EDPB viser til at det først må analyseres hva slags overføring som skjer, da dette kan ha betydning for hvilke nasjonale lover som kommer til anvendelse. Eksempelvis må det ifølge EDPB skilles mellom:
- Formålet med overføringen (markedsføring, HR, lagring, IT-support)
- Hvilken type virksomhet det gjelder (telekommunikasjon, finans)
- Kategorier av personopplysninger
- Formatet opplysningene blir sendt (originalt, pseudonymisert, kryptert)
- EDPB presiserer her at noen land forbyr import av krypterte data
Videre må alle relevante lover vurderes. Dersom det er lover som gir myndighetene tilgang til personopplysninger hos dataimportøren til for eksempel nasjonale sikkerhetsformål, så må disse tilgangene være begrenset til hva som er nødvendig og forholdsmessig i et demokratisk samfunn. Dette mener EDPB at må vurderes opp mot artikkel 47 og 52 i EU Charter of Fundamental Rights. I tillegg krever EDPB at man også vurderer eventuell manglende lovgivning i et land, og de objektive konsekvenser dette kan medføre. EDPB presiserer at det er objektive forhold som skal vurderes, og ikke en sannsynlighetsvurdering av om myndigheter faktisk får tilgang til personopplysningene.
I tillegg har EDPB gitt egen retningslinje om disse vurderingene, «Recommendations on the European Essential Guarantees for surveillance measures», se lenke innledningsvis.
En bokstavelig tolkning av EDPB knyttet til dette steget tilsier at det må gjennomføres komplekse vurderinger i andre lands rett som for de fleste ikke er lett tilgjengelig.
Dersom det blir identifisert lovgivning eller praksis i tredjeland som påvirker effektiviteten av overføringsgrunnlaget må man gå videre til steg 4.
Steg 4 – Identifiser og innfør ytterligere tiltak for å sikre tilstrekkelig beskyttelsesnivå
Det fremheves at det kan være behov for å implementere flere ytterligere tiltak for samme overføring, samt at det kan være tilfeller hvor ingen tiltak er tilstrekkelige. Dersom ikke tilstrekkelig tiltak kan implementeres må man unngå eller avslutte overføringen.
Videre fremgår det tydelig at det må gjøres en konkret vurdering fra sak til sak, avhengig av type overføring og til hvilket tredjeland det skal overføres til.
Alle tiltak som vurderes må ses opp mot det som er identifisert og vurdert i steg 1-3. Tiltak kan være kontraktuelle, tekniske og organisatorisk, men EDPB presisere at kontraktuelle og organisatoriske som regel ikke alene vil kunne være tilstrekkelig tiltak.
EDPB har utformet et eget vedlegg, «Annex 2», med en omfattende liste over eksempler på tiltak som kan implementeres. Vi henviser til dette vedlegget for mer utfyllende informasjon, men vi trekker frem at EDPB presisere at tiltakene kun er eksempler som i gitte spesifikke tilfeller kan være tilstrekkelige tiltak. EDPB gir følgelig ingen konkret oversikt over tiltak som alltid vil være tilstrekkelig, og samlet stilles det strenge krav til hvert tiltak for at de skal anses tilstrekkelig.
Eksempelvis har EDPB redegjort for følgende tiltak:
- Kryptering
- Pseudonymisering
- Kryptering ved transittering i tredjeland
- Beskyttet mottaker
Hva gjelder kryptering er det verdt å merke seg at EDPB blant annet omtaler krav til at krypteringsalgoritmene må være «state of the art» og at nøklene kun kan være kontrollert av selskaper i EU/EØS eller tredjeland og internasjonale organisasjoner som Kommisjonen har vurdert at sikrer tilstrekkelig beskyttelsesnivå etter artikkel 45.
I tillegg er det interessant å bemerke at EDPB har oppstilt noen situasjoner hvor det ikke kan finnes tilstrekkelige tiltak.
- Overføring til skytjenesteleverandører eller andre databehandlere som for å utføre en aktuell tjeneste må ha tilgang til «data i klartekst». Dette kan for eksempel være aktuelt ved gjennomføring av support-tjenester.
- EDPB tar likevel høyde for at teknologisk utvikling kan endre på dette senere
- Fjerntilgang til data for forretningsformål(eksempelvis i konsern)
- Forutsetter blant annet at det gis tilgang til «data i klartekst»
I tillegg gjennomgår EDPB en rekke eksempler på kontraktuelle og organisatoriske tiltak som må vurderes implementert.
Dersom det identifiseres tilstrekkelig tiltak må man gå videre til steg 5.
Steg 5 – Gjennomfør nødvendige prosessuelle tiltak for å implementere de ytterligere tiltakene
EDPB gjennomgår i dette steget ulike prosessuelle tiltak som må til for at de identifiserte tiltakene i fase 4 skal få tilstrekkelig virkning. Dette omfatter blant annet forslag til kontraktuelle formulering og veiledningen differensieres basert på hvilket overføringsgrunnlag som benyttes.
Dersom det blir gjennomført nødvendige prosessuelle tiltak er overføringen av personopplysninger til tredjeland som et utgangspunkt lovlig, se likevel steg 6.
Steg 6 – Jevnlig evaluering av beskyttelsesnivå for overføringer
Ikke overraskende krever EDPB at det med jevnlige intervaller følges opp at det ikke har skjedd endringer i beskyttelsesnivået for de behandlinger som skjer i tredjeland, samt om tiltak fortsatt anses tilstrekkelig. Her kan blant annet ny lovgivning eller teknologisk utvikling medføre at tiltakene ikke lengre er tilstrekkelig.
Dette innebærer følgelig at steg 3-5 må gjennomgås jevnlig.
Avsluttende kommentarer
For å sikre en konsistent gjennomføring av EUs personvernlovgivning fremhever EDPB at personvernmyndighetene vil fortsette arbeidet med å utvikle retningslinjene.
Retningslinjene fra EDPB er som vår gjennomgang viser svært omfattende og inneholder en rekke nyanser og presiseringer som ikke fremkommer i denne analysen. For konkrete vurderinger kan ytterligere veiledning finnes i retningslinjene, og Deloitte har som internasjonalt selskap et globalt nettverk med kontorer i en rekke land, både i og utenfor Europa, som kan bistå i de konkrete vurderingene.
Tjenester: Personvern og teknologi
Forslag
Ny EU-dom gjør det vanskeligere å overføre personopplysninger
Deloitte Advokatfirma