Schrems II-dommen: Hva er det egentlig og hva betyr det for din bedrift?

Dette får du vite om Schrems II:

• Hva er Schrems II-dommen?
• GDPR og terminologi
• Overføring til land utenfor EU/EØS
• Noen land er ok
• Usa og schrems II
• Godkjent overføringsgrunnlag
• Overføringsgrunnlag er ikke alltid nok
• Risikoen må vurderes fra sak til sak
• Overføring til amerikanske selskaper
• Sjekkliste for trygg overføring [7 punkter]
• Hva gjør våre advokater for deg?

Hva er Schrems II-dommen?

EUs personvernforordning, GDPR, gjelder også for norske bedrifter gjennom personopplysningsloven som trådte i kraft i juli 2018. GDPR skjerpet kravene til håndtering av personopplysninger, og mange virksomheter har lagt ned betydelig arbeid for å tilpasse seg det nye regelverket.

Fra tid til annen kommer presiseringer fra myndigheter og domstoler som klargjør hvordan personvernreglene skal forstås og praktiseres. Dette får noen ganger direkte og inngripende konsekvenser for norske bedrifter, som for eksempel en dom avsagt av EU-domstolen den 16. juli 2020 (C-311/18). Denne omtales som Schrems II-dommen etter navnet på saksøker, den østerrikske advokaten og personvernaktivisten Maximilian Schrems.

Schrems II-dommen rev bort teppet under det som hadde vært et behagelig og hyppig brukt grunnlag for å kunne overføre personopplysninger til USA. Dommen har betydning for overføring også til andre land utenfor EU/EØS.

Vi kommer tilbake til denne dommen, men la oss først friske opp noen grunnleggende begreper på personvernområdet.

GDPR og terminologi

GDPR bestemmer at en personopplysning er enhver opplysning som kan knyttes til en fysisk person. Dette kan være alt fra navn og telefonnummer til sensitive opplysninger om for eksempel helse eller politisk oppfatning. Bedrifter håndterer personopplysninger om ansatte, kunder, leverandører, andre samarbeidspartnere osv. All tenkelig håndtering av slike opplysninger omfattes av det som regelverket omtaler som behandling av personopplysninger, også ren lagring uten at opplysningene brukes aktivt.

Behandling av personopplysninger må ha et rettslig grunnlag for å være lovlig, et såkalt behandlingsgrunnlag. Dette kan for eksempel være samtykke, eller at behandlingen er nødvendig for å oppfylle en avtale eller en lovpålagt plikt.

I noen tilfeller deles personopplysningene med andre, for eksempel når man legger inn opplysninger om ansatte i et personalhåndteringssystem eller kundeopplysninger i et regnskapssystem som driftes av eksterne leverandører. I slike tilfeller er virksomheten behandlingsansvarlig og leverandøren av systemet databehandler. Land utenfor EØS-området kalles tredjeland, og dersom personopplysninger går ut fra EØS til tredjeland snakker man om at det skjer en overføring.

En virksomhet er ansvarlig for at personopplysningene man er behandlingsansvarlig for håndteres på betryggende måte også hos databehandler. Det innebærer at den behandlingsansvarlige må gjøre en konkret risikovurdering ved valg av leverandører og andre databehandlere for å være trygg på at sikkerheten rundt personopplysningene er ivaretatt. Dette gjelder også ved bruk av skytjenester og andre digitale tjenester.

• Les mer om: Personvern / GDPR: Dette er reglene
• Les mer om: Databehandleravtale [Guide]

Hva kreves ved overføring av personopplysninger til land utenfor EU/EØS?

Mottakerlandet kan ha andre regler for hvordan personopplysninger skal behandles enn det som følger av GDPR, og derfor gjelder særskilte regler for overføring av personopplysninger til tredjeland. Det er ikke tilstrekkelig at det foreligger et behandlingsgrunnlag, det kreves i tillegg et godkjent overføringsgrunnlag.

Man ønsker på denne måten å sikre at personopplysninger håndteres trygt og sikkert selv om opplysningene forlater EØS. Det skal for eksempel ikke være slik at reglene enkelt kan omgås bare ved å flytte hovedkontor eller servere ut av EØS-området.

Man må videre være oppmerksom på at ikke alle land utenfor EØS behandles likt. Det er derfor viktig å avklare hvilke land det er aktuelt å overføre personopplysninger til.

Noen land er det ok å overføre personopplysninger til

Enkelte tredjeland har fått godkjent-stempel av EU-kommisjonen, for eksempel:

• Storbritannia
• Israel
• New Zealand

Det vil si at det er fattet en beslutning om at disse statene har et beskyttelsesnivå for personopplysninger som er likeverdig med det som følger av GDPR. Overføring til disse landene krever ikke noe mer enn en overføring innenfor EØS. Hvilke stater som er godkjent av EU-kommisjonen, fremgår av Datatilsynets oversikt.

• Les mer på datatilsynet.no: Overføring av personopplysninger ut av EØS (ekstern lenke)

Hva med USA og Schrems II?

Frem til sommeren 2020 sto også USA på «godkjent»-listen. I Schrems II-dommen opphevet EU-domstolen den vurderingen som tidligere var gjort når det gjaldt beskyttelsesnivået i USA. Avtalen fra 2016 mellom EU-kommisjonen og USA, kjent som «Privacy Shield», ble av domstolen ikke lenger ansett som gyldig grunnlag for overføring av personopplysninger til USA. Dermed forsvant USA ut av det gode selskap.

EU-kommisjonen og amerikanske myndigheter har i lengre tid forhandlet om et juridisk rammeverk som skal erstatte Privacy Shield og gjøre det lettere å overføre personopplysninger mellom EU og USA igjen. Man er enige om prinsippene, og det nye rammeverket omtales som Trans-Atlantic Data Privacy Framework. I oktober 2022 undertegnet president Joe Biden en viktig presidentordre, som etter intensjonen skal føre til at beskyttelsesnivået bringes opp på et tilfredsstillende nivå sett i lys av manglene som ble påpekt blant annet i Schrems II-dommen. Likevel er det fortsatt åpent om, og i tilfelle når, EU-kommisjonen vil fatte et vedtak på at beskyttelsesnivået i USA anses tilstrekkelig.

Les mer på Codex.no: GDPR – Nytt rammeverk for overføring av personopplysninger til USA

Hva menes med godkjent overføringsgrunnlag?

Overføring av personopplysninger til USA og andre land som ikke står på listen over områder med tilstrekkelig beskyttelsesnivå, krever altså et særskilt grunnlag.

Det vanligste overføringsgrunnlaget er EU-kommisjonens standard personvernbestemmelser, Standard Contractual Clauses (SCC). Multinasjonale konsern kan også få godkjent bindende virksomhetsregler, såkalte Binding Corporate Rules (BCR) for overføring mellom land innenfor konsernet.

Ved bruk av SCCs garanterer dataimportøren at opplysningene er underlagt et tilstrekkelig beskyttelsesnivå også utenfor EØS. Men selv om databehandler gir de nødvendige garantier, gjorde Schrems II-dommen det klart at det må det foretas en konkret vurdering av hvilken praktisk risiko som er forbundet med å sende opplysningene ut av EØS. Bakgrunnen for dette er at tredjelandets myndigheter ikke er bundet av kontraktsbestemmelsene og de garantier som er gitt av databehandler. Lover i tredjelandet kan også gå foran SCC.

• Les mer om: Kontrakter og avtaler for næringsdrivende

Særskilt overføringsgrunnlag er ikke alltid nok

I Schrems II-dommen var det Facebook Irlands angivelige overføring av personopplysninger til Facebook Inc. i USA som var tema. EU-domstolen konkluderte som nevnt med at europeiske borgeres personopplysninger ikke er godt nok beskyttet i USA.

Begrunnelsen er å finne i amerikanske overvåkningslover. Med hjemmel i Foreign Intelligence Surveillance Act (FISA) Section 702 kan amerikanske myndigheter kreve at amerikanske virksomheter utleverer informasjon om bestemte personer. Dette selv om serverne deres befinner seg utenfor USA. Det samme gjelder den såkalte Cloud Act signert av president Trump i 2018, som kan pålegge amerikanske skyleverandører å utlevere data til landets myndigheter. Loven gjelder også data som lagres i Norge eller EU, så lenge skyleverandørens morselskap befinner seg i USA.

Kjente aktører som Microsoft og Google og andre amerikanske leverandører av elektroniske kommunikasjonstjenester merker konsekvensene av Schrems II-dommen hos sine europeiske brukere. For eksempel har Stockholm kommune besluttet å ikke bruke Microsoft365 fordi innbyggernes personopplysninger ikke anses betryggende ivaretatt med denne plattformen.

Datatilsynet i flere europeiske land har uttalt at bruken av Google Analytics på de nettsidene som var klaget inn er ulovlig i forhold til GDPR. Landene det gjelder er:

• Frankrike
• Østerrike
• Italia
• Danmark

Datatilsynet her hjemme forhåndsvarslet i mars 2023 at bruk av Google Analytics anses for å være i strid med GDPRs overføringsregler. Det er nettstedet telenor.com som er klaget inn, og et endelig vedtak i saken vil bli fattet tidligst i slutten av april 2023. Vi må regne med at Datatilsynet legger seg på linje med de øvrige europeiske tilsynsmyndighetene, og det anbefales at man vurderer alternativer til Google Analytics.

Risikoen ved overføring av personopplysninger må vurderes fra sak til sak

Det er ikke slik at det er helt utelukket å benytte skytjenester levert av selskaper som ikke står på EU-kommisjonens godkjent-liste, men etter Schrems II-dommen må det vurderes konkret i hvert enkelt tilfelle om personopplysningene vil være godt nok beskyttet.

Dette innebærer at virksomhetene må foreta kompliserte og komplekse kartlegginger og risikovurderinger før slike tjenester tas i bruk. Overføring av personopplysninger forutsetter et tilfredsstillende beskyttelsesnivå i mottakerlandet.

Hva med overføring til amerikanske selskaper?

Når det gjelder USA, har EU-domstolen i Schrems II gjort det klart at amerikanske overvåkningslover innebærer at det ikke er tilstrekkelig med et godkjent overføringsgrunnlag. Det må derfor iverksettes «ytterligere tiltak» som sikrer tilfredsstillende vern for personopplysninger før man tar i bruk tjenester som medfører at personopplysninger overføres til USA.

Det kan være vanskelig å forstå hva som menes med «ytterligere tiltak». Datatilsynet har utarbeidet en veiledning om tilleggskrav som skal gjøre det enklere å håndtere den praktiske siden av dette.

• Les mer på datatilsynet.no: Overføring av personopplysninger ut av EØS

Videre har Det europeiske personvernrådet (EDPB) praktiske anbefalinger som ligger tilgjengelig på EDPBs nettsider.

• Les mer på edpb.europa.eu: Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data

Versjon 2.0 av EDPBs veiledning inneholder et bilag 2 med eksempler på ytterligere tiltak som kan være aktuelle. Veilederen beskriver for det første ulike former for tekniske tiltak som kan utgjøre et effektivt supplement til overføringsgrunnlaget. Blant annet kan kryptering, anonymisering og pseudonymisering være tiltak som kan fungere, gitt at de er tilpasset lovgivning og praksis i det aktuelle landet. Videre nevnes muligheten for å supplere med kontraktsregulering og organisatoriske tiltak ut over det som allerede følger av overføringsgrunnlaget.

Hvordan sikre trygg og lovlig overføring?

Vurderer din bedrift å ta i bruk en ny skytjeneste eller en ny applikasjon, og er du usikker på om det innebærer ulovlig overføring av personopplysninger? Sjekklisten nedenfor oppsummerer gjennomgangen over og kan brukes som et verktøy for å avklare om overføringen er lovlig:

1. Kartlegging

Kartlegg først hvilke overføringer til land utenfor EU og EØS som kan være aktuelle, både hos deg selv og hos dine databehandlere og eventuelt underdatabehandlere.

2. Godkjent av EU-kommisjonen

Er beskyttelsesnivået i det eller de land opplysninger kan bli overført til godkjent av EU-kommisjonen? Lenke til Datatilsynets liste over godkjente stater finnes lenger opp i artikkelen. Da trenger man ikke foreta seg noe ytterligere, bortsett fra å følge med på at ikke landet tas ut av listen, og selvsagt følge de alminnelige krav etter GDPR.

3. Godkjent overføringsgrunnlag

Hvis landet ikke er godkjent av EU-kommisjonen, foreligger det et godkjent overføringsgrunnlag? Dette kan være EU-kommisjonens standard personvernbestemmelser (Standard Contractual Clauses, SCC), bindende virksomhetsregler (BCR) eller godkjente atferdsnormer eller sertifiseringsnormer.

4. Tilfredsstillende beskyttelsesnivå

Gir overføringsgrunnlaget tilfredsstillende beskyttelsesnivå, det vil si er det like effektivt som GDPR?

Her må det foretas en konkret risikovurdering. Eksempel på relevante vurderingsmomenter:

• Hva slags personopplysninger skal overføres?
• Fremstår leverandøren som en seriøs og profesjonell kontraktspart?
• Er det noe i tredjelandets lovgiving som uthuler den beskyttelsen som følger av SCC eller annet overføringsgrunnlag?
• Hvordan er offentlige myndigheters praksis i det aktuelle landet, respekteres og følges lokal personvernlovgivning?

Når det gjelder USA har Schrems II-dommen slått fast at beskyttelsesnivået ikke er godt nok på grunn av landets overvåkningslover.

5. Ytterligere tiltak

Dersom beskyttelsesnivået ikke er tilfredsstillende eller effektivt selv om det brukes et godkjent overføringsgrunnlag (eksempelvis USA), må det iverksettes ytterligere tiltak for å beskytte personopplysningene.

6. Forhindre eller avslutte overførsel

Dersom det ikke er noen passende supplerende tiltak som sikrer et tilfredsstillende beskyttelsesnivå, plikter virksomheten å forhindre eller avslutte overførsel av personopplysninger for å ivareta hensynet til personvern.

7. Evaluering

Ved overføring av personopplysninger til tredjeland må det med jevne mellomrom foretas en evaluering av om vilkårene fortsatt er til stede og om leverandøren i praksis overholder sine forpliktelser etter avtalen.

Hva gjør våre advokater for deg og din bedrift?

Schrems II-dommen pålegger bedrifter å gjennomføre vanskelige og komplekse vurderinger før man kan ta i bruk alminnelig brukte digitale tjenester, når disse innebærer at personopplysninger overføres til land utenfor EØS-området.

Våre advokater har erfaring med å veilede bedrifter gjennom slike prosesser. Vi kan også bistå med avklaringer og vurderinger når det gjelder behov og risiko knyttet til overføringsgrunnlag, beskyttelsesnivå og ytterligere tiltak.

Ta gjerne kontakt med oss for en uforpliktende prat!

Bli kjent med våre advokater i dag