Bruker du skytjenester så må du handle nå – Schrems II-dommen på 1-2-3

En overføring av personopplysninger fra land innad i EU/EØS til land utenfor («tredjeland») forekommer ofte ved bruk av globale skytjenester. Dette er eksempelvis tilfellet om personopplysninger lagres på en server som er plassert i et tredjeland, eller dersom supportpersonell via fjernaksess har tilgang til personopplysningene fra et tredjeland. Selv om skytjenesten lagrer personopplysninger i Norge, så kan morselskapet være amerikansk, og morselskapet kan dermed påvirke behandlingen på serveren i Norge.

Slik overføring av personopplysninger, er kun tillatt dersom man kan benytte seg av et godkjent grunnlag for overføringen. De mest aktuelle grunnlagene har lenge vært EUs standard personvernbestemmelser («Standard Contractual Clauses»/«SCC»), eller en beslutning fra EU-kommisjonen som vurderer at et tredjeland har tilsvarende nivå av personvern som i EU/EØS. USA er ikke på listen over godkjente land. For amerikanske virksomheter ble denne utfordringen løst ved at de kunne sertifisere seg etter enigheten mellom EU og USA om det såkalte Privacy Shield-rammeverket.

I juli i år avsa EU-domstolen en viktig dom om overføring av personopplysninger til USA, populært kalt Schrems II. Bakgrunnen for dommen var at aktivisten Max Schrems saksøkte Facebook for ulovlig overføring av personopplysninger til USA. Saken angikk forholdet mellom europeisk personvern og manglende amerikansk personvern ved overgripende overvåkingslovgivning. Dommen resulterte i to viktige endringer fra tidligere tilstand og har betydning for også overføring til andre tredjeland enn USA:

• Privacy Shield ble kjent ugyldig som overføringsgrunnlag med umiddelbar virkning.
• SCC er fortsatt gyldig, men ikke uten videre. Virksomheter som vil overføre personopplysninger til USA eller andre tredjeland må først foreta en selvstendig vurdering av om beskyttelsesnivået personopplysningene vil få i tredjelandet er tilnærmet likt som i EU/EØS. Er ikke beskyttelsesnivået tilstrekkelig, må det iverksettes ytterligere tiltak. Dersom ytterligere tiltak ikke veier opp for manglende beskyttelse, må overføringen i utgangspunktet stanses eller meldes til Datatilsynet.

Det er verdt å nevne at overføring av personopplysninger som ikke er i tråd med personvernregelverket kan sanksjoneres med høye bøter (overtredelsesgebyr) fra Datatilsynet. Til nå har de høyeste bøtene kommet i Frankrike og Tyskland med 50M pund til Google og til H&M med 35M pund for manglende behandlingsgrunnlag. I England har det blitt gitt store bøter med i overkant av 20M pund i bot til både British Airways og Marriott International for manglende sikkerhet. I Norge har Bergen kommune fått en bot på 3M kroner for GDPR-brudd.

Hvordan håndtere Schrems II i din virksomhet?

EUs personvernråd («EDPB») kom nylig med en foreløpig veileder som angir en prosedyre som bør gjennomføres for de som benytter seg av skytjenester som medfører overføring av personopplysninger til tredjeland. Ved å gjennomføre prosedyren vil du kunne dokumentere dine vurderinger og fatte en informert beslutning om å fortsette eller stanse bruken av skytjenesten.

1. Få oversikt over din virksomhets overføringer av personopplysninger til tredjeland

• Husk at man er ansvarlig for overføring til sin leverandør og også for å godta underleverandører. Første steg er dermed å få oversikt over datastrøm og hvorvidt din skytjenesteleverandør eller underleverandører behandler personopplysninger om dine ansatte, kunder eller lignende i tredjeland.
• Et godt sted å starte er å lete etter informasjon i din virksomhets behandlingsprotokoll. Dersom denne ikke er tilstrekkelig oppdatert, er dette en ypperlig anledning for ajourhold.
• Databehandleravtalen med skytjenesteleverandøren skal også inneholde opplysninger om overføring til tredjeland. Dersom informasjonen ikke fremgår her, kan du kontakte din skytjenesteleverandør som plikter å bistå deg.
• Forekommer det ikke overføringer til tredjeland, trenger du ikke å følge prosessen videre.

2. For overføringer til tredjeland – identifiser overføringsgrunnlaget

• EU-kommisjonens beslutning om at visse tredjeland har tilstrekkelig beskyttelsesnivå, gjelder fortsatt. Dersom tredjelandet befinner seg på listen over godkjente land, trenger du ikke å gå videre i prosessen. Se listen over godkjente tredjeland her.
• Dersom din virksomhet overfører til USA på grunnlag av Privacy Shield må du bytte til SCC så fort som mulig og følge prosessen videre.
• Dersom din virksomhet benytter SCC, må du vurdere om beskyttelsesnivået i tredjelandet er tilnærmet likt som i EU/EØS og eventuelt iverksette ytterligere tiltak.

3. Vurder beskyttelsesnivået i tredjelandet

• Du må foreta en objektiv vurdering av om tredjelandet har et tilsvarende beskyttelsesnivå for personopplysninger som i EU/EØS. Dette kan være en kompleks øvelse som krever en viss innsikt i overvåkningslovgivning i det aktuelle tredjelandet. Vurderingen skal også ta i betraktning arten av behandlingen. Dersom du finner at tredjelandet har et tilstrekkelig beskyttelsesnivå, trenger du ikke å gå videre.
• Merk at ved overføring til USA, har EU-domstolen allerede fastslått at beskyttelsesnivået ikke er tilstrekkelig.

4. Identifiser ytterligere tiltak som kan implementeres for å veie opp for manglende beskyttelse i tredjelandet

• Veilederen angir tre typer tiltak som kan være aktuelle, enten alene eller i fellesskap:
  • Kontraktuelle tiltak: Partene kan bli enige om tiltak som f.eks. varsling ved innsyn. Det er imidlertid sjelden tilstrekkelig med kun kontraktuelle tiltak.
  • Tekniske tiltak: De mest aktuelle tiltakene vil være kryptering og pseudonymisering.
  • Organisatoriske tiltak: Eksempelvis interne retningslinjer for håndtering av varsling.
• Hvis tiltakene ikke vil veie opp for utilstrekkelig beskyttelsesnivå, må du slutte å bruke skytjenesten eller varsle Datatilsynet.

5. Iverksett tiltakene

• Tiltakene må iverksettes før tjenesten tas i bruk. Avtaleverk bør også oppdateres for å sikre dokumentasjon etter GDPR.
• Er tjenesten allerede tatt i bruk, må tiltakene iverksettes så fort som mulig.

6. Revurder tiltakene og behandlingen regelmessig

• Regelmessige vurderinger inngår i plikten til å ha oppdatert dokumentasjon etter GDPR. Har du ennå ikke dokumentasjon på plass, er dette en flott anledning til å gjennomføre en revisjon av dine behandlinger etter GDPR.

Til slutt bør du også merke deg at EU-kommisjonen nylig publiserte et utkast til nye standard kontraktsbestemmelser (SCC) som er oppdatert i forhold til begrepsbruken i GDPR. Høringsfristen er satt til 10. desember 2020. I utkastet gis virksomheter som i dag bruker den eldre versjonen av SCC som overføringsgrunnlag en frist på 1 år til å implementere nye versjoner.