Privacy Shield ugyldiggjort – overføring fortsatt mulig

16. juli 2020 behandlet den øverste instans i Den europeiske unions domstol (ECJ) sak C-311/18 også omtalt som «Schrems II» dommen. Dommen er prinsipielt viktig for overføring av personopplysninger til USA og andre tredjeland under GDPR.

Alle europeiske bedrifter som benytter seg av IT-tjenester fra USA eller som overfører personopplysninger til USA, må nå finne et trygt behandlingsgrunnlag for å sikre videre overføring uten å risikere bøter fra tilsynsmyndigheter eller erstatningskrav fra privatpersoner.

Under har vi omtalt viktige presiseringer og avgjørelser som fremkommer av Schrems II dommen.

Avklaring vedrørende virkeområdet til personvernforordningen (GDPR)

GDPR gjelder for overføring av personopplysninger til et tredjeland også i tilfeller der slik overføring er av hensyn til rikets sikkerhet og for hemmelige tjenester.

Unntakene fra lovens saklige virkeområde i GDPR gjelder bare for medlemsland[1].

Privacy Shield ugyldiggjort

Selskaper som benyttet Privacy Shield[2] som overføringsmekanisme for overføring av personopplysninger til USA, kan ikke lenger benytte dette grunnlaget. Overføringer som bruker Privacy Shield er ulovlige og kan føre til bøter og erstatningskrav.

Bakgrunn for ugyldiggjøringen av Privacy Shield

Domstolen fant at myndigheten til de amerikanske etterretningstjenestene og den juridiske usikkerheten knyttet til deres virksomhetsutøvelse, særlig fremstår problematisk. Det påpekes at USA ikke kan garantere for et tilstrekkelig beskyttelsesnivå bl.a. på bakgrunn av USAs nasjonale lovgivning;

• Foreign Intelligence Surveillance Act (FISA) s. 702 gir etterretningstjenester bred hjemmel til å foreta overvåkningstiltak og fastsetter ingen garantier for ikke-amerikanske innbyggere.

• Presidential Policy Directive 28 (PPD-28) er et direktiv utstedt av presidenten og fastsetter krav for hele det amerikanske etterretningssamfunnet. Domstolen fant at direktivet ikke gir effektive tiltak mot inngripen fra amerikanske myndigheter ved at det ikke foreligger tydelig krav til proporsjonalitet.

• Executive Order 12333 (E.O. 12333) gir hjemmel til å overvåke privat kommunikasjon uten samtykke gjennom innhenting av data fra leverandører av kommunikasjonstjenester og gjennom tilgang til de transatlantiske kablene for dataoverføring som forbinder Europa til Nord-Amerika.

• Ombudsmannen for Privacy Shield er ikke tilstrekkelig uavhengighet og kan ikke fatte bindende avgjørelser ovenfor etterretningstjenester.

Bruk av standardkontraktklausuler (SCC) for overføring til USA

Domstolen vurderte i Schrems II også gyldigheten av standardkontraktklausuler[3] og fant denne fortsatt gyldig. Standardkontraktklausuler er en kontraktsrettslig overføringsmekanisme og binder således ikke myndigheter i tredjelandet der data overføres. På dette punkt påpeker domstolen at gyldigheten til slike standardkontrakter avhenger av om de inkluderer effektive mekanismer som i praksis gjør det mulig å overholde beskyttelsesnivået som garanteres i GDPR.

Dataeksportører må følgelig foreta en vurdering av om beskyttelsesnivået kan oppnås i praksis og dersom beskyttelsesnivået ikke er tilsvarende, undersøke ytterligere risikoreduserende tiltak. En slik analyse kan være nokså utfordrende for virksomheter å foreta på egen hånd. Under har vi derfor oppsummert noen slike tilleggstiltak som kan bidra til at din virksomhet kan fortsette å overføre personopplysninger til USA ved bruk av standardkontraktklausuler:

• Dataimportører kan kontraktsmessig forplikte seg til å ikke frivillig bistå regjeringen med å gjennomføre operasjoner under E.O. 12333, da den ikke inneholder mekanismer som tvinger dataimportører til å foreta operasjoner på vegne av myndighetene.

• Tilgang til avlytting av personopplysninger kan reduseres gjennom krav til bruk av sterk krypteringsteknologi ved overføring («data-in-transit»).

• Tilgang til personopplysinger kan reduseres ved bruk av sterk krypteringsteknologi («data-at-rest»).

• Dataimportøren kan gi garantier for at de ikke har mottatt pålegg om utlevering under FISA s. 702 og fortsette med dette til et slikt pålegg foreligger.

• Dataeksportører kan settes i stand til å stanse og opphøre kontrakter dersom dataimportøren pålegges en varslingsplikt ved manglende evne til å overholde avtalen (SCCs).

I Move følger vi nøye med på rettsutviklingen både i Norge og Europa – for å sikre at vi løpende gir praktisk og oppdatert rådgivning til våre kunder.

Kontakt vår compliance funksjon for mer informasjon eller se nærmere våre GRC tjenester på våre nettsider.

[1] GDPR artikkel 2 (2) bokstav a-d [2] Kommisjonsbeslutning (EU) 2016/1250 av 12 Juli 2016 [3] Kommisjonsbeslutning (EU) 2010/87 av 5 Februar 2010