Artikkel
Ny EU-dom gjør det vanskeligere å overføre personopplysninger
Deloitte Advokatfirma
Overfører du personopplysninger til land utenfor EU/EØS? I lys av en ny avgjørelse fra EU-domstolen, endres nå betingelsene for når du kan overføre data til land utenfor EU/EØS.
Publisert 10.08.2020
EU-domstolen har nylig kommet med en ny dom, den såkalte Schrems II-dommen, hvor Privacy Shield-avtalen mellom EU/EØS og USA kjennes ugyldig. Det betyr at avtalen ikke lenger er tilstrekkelig som overføringsgrunnlag for overføring av personopplysninger fra EU/EØS-land til USA. Avgjørelsen har også betydning for andre overføringsgrunnlag, slik som EU-kommisjonens standardbestemmelser eller bindende konsernregler (BCR).
Privacy Shield-avtalen ikke lenger gyldig
Som hovedregel er det ikke tillatt å overføre personopplysninger til land utenfor EU/EØS. I dette ligger ikke bare det å overføre personopplysninger, men også behandle personopplysninger. Det finnes likevel unntak fra hovedregelen, der mottaker av personopplysninger påtar seg særlige plikter som ivaretar europeernes personvern. Et slikt unntak omtales som regel som et overføringsgrunnlag og skal sørge for at de registrertes personvern blir like godt ivaretatt i det landet som personopplysninger overføres til, som i EU/EØS.
Privacy Shield-avtalen mellom EU/EØS og USA har tidligere vært ansett for å utgjøre et tilstrekkelig overføringsgrunnlag, men EU-domstolen har nå kommet til at avtalen ikke lenger kan anses gyldig. Kjernen i avgjørelsen er at amerikansk sikkerhetslovgivning blant annet gir amerikansk sikkerhetstjeneste vide hjemler til overvåking uten at europeiske borgere får en god nok mulighet til å overprøve beslutningene om overvåking.
Praktiske konsekvenser av dommen
For å overføre personopplysninger til tredjeland må man fortsatt ha et overføringsgrunnlag, typisk EU-kommisjonens standardbestemmelser eller bindende konsernregler (BCR). Dommen ugyldiggjør ikke bare Privacy Shield, men har store konsekvenser også for overføring til andre tredjeland. Ved bruk av disse overføringsgrunnlagene stiller EU – domstolen nå opp et tilleggskrav om at dataeksportøren, eksempelvis det norske selskapet, må undersøke om importøren av personopplysningene er underlagt lokal lovgivning som undergraver forpliktelsene som følger av overføringsgrunnlaget. Det kan for eksempel være lovgivning som i stor utstrekning gir lokale myndigheter adgang til dataene. I tillegg til å undersøke lokal lovgivning, er det relevant å se om det er andre omstendigheter, slik som dataimportørens infrastruktur, systemer eller lokale underleverandører, som senker beskyttelsesnivået i strid med overføringsgrunnlagets bestemmelser. Det sentrale er å undersøke om det beskyttelsesnivået som overføringsgrunnlaget legger opp til, også vil realiseres i praksis.
Dersom det etter en slik undersøkelse viser seg at det foreligger forhold som ikke er forenlig med forpliktelsene i overføringsgrunnlaget, vil dataeksportør være forpliktet til å iverksette «ytterligere tiltak» for å bøte på dette forholdet. Det kan ikke overføres personopplysninger hvis det ikke er mulig å iverksette tiltak for å veie opp for slike omstendigheter.
På nåværende tidspunkt er det imidlertid ikke konkretisert fra hverken EU-domstolen, det europeiske Personvernrådet (EDPB) eller Datatilsynet hva «ytterligere tiltak» er ment å innebære. Datatilsynet trekker imidlertid frem at dette er noe som må vurderes konkret i hver enkelt sak og at det kan være snakk om juridiske, tekniske og/eller organisatoriske tiltak. Inntil det kommer en nærmere redegjørelse for hva som ligger i «ytterligere tiltak» er det knyttet stor usikkerhet til lovligheten av overføring av personopplysninger til tredjeland.
Du kan imidlertid overføre personopplysninger til tredjeland uten ytterligere tiltak hvis du er sikker på beskyttelsesnivået i landet i praksis er på lik linje som i EU/EØS.
Ikke alle overføringer av personopplysninger krever overføringsgrunnlag
Det kan være greit å presisere at ikke alle overføringer av personopplysninger krever et overføringsgrunnlag. Dette gjelder landende innad i EU/EØS, men også land som er godkjent av EU-kommisjonen. På Datatilsynets nettsider finner du en liste over hvilke land som er godkjent.
Vi merker oss at dette er andre gang på forholdsvis kort tid at en avtale inngått mellom EU/EØS og USA hva gjelder overføring av data fra EU/EØS til USA settes til side som følge av forhold i USA. I oktober 2016 var det Safe Harbour – ordningen som ble satt til side, og som da ble erstattet av Privacy Shield. Nå ser vi altså at EU-domstolen finner at Privacy Shield-ordningen ikke er god nok.
Deloitte har som internasjonalt selskap et globalt nettverk med kontorer i en rekke land, både i og utenfor Europa, som kan bistå i konkrete vurderinger knyttet til overføring av personopplysninger ut av EU/EØS. Eksempelvis kan vi bistå med å avklare hvorvidt det er lokal særlovgivning eller andre forhold i mottakerlandet som i praksis undergraver det beskyttelsesnivået som overføringsgrunnlaget er ment å gi.
Tjenester: Personvern og teknologi