Gjennom vårt arbeid som juridiske rådgivere for Link Utvikling ble vi som rettsanvendere for første gang introdusert til det spørsmålet som har plaget enhver bedrift som skal behandle datainformasjon som en del av sitt arbeid: "Er dette lovlig?"
Svaret på dette spørsmålet var langt vanskeligere enn vi hadde sett for oss, og fikk oss til å grave oss inn i problemstillinger som ikke kunne løses med et simpelt ja-nei-svar, men som også hadde et overordnet rettspolitisk, global og internasjonalt aspekt ved seg. Umiddelbart var dette skremmende for oss som aldri hadde vært innom problematikken gjennom studiet vårt, men det viste seg å også ha juridisk interessante og uavklarte aspekter ved seg som inviterte til dypdykk og læring.
Mens problemstillingene som reiste seg er behandlet i det andre innlegget, er det noen erfaringer og refleksjoner som har gitt grunnlag for ettertanke hos oss. Særlig hvordan vi tenker hvordan retten på dette feltet bør være. I det følgende vil det dermed redegjøres for enkelte problemer og forbedringspotensialer, som vi tenker kan gjøre det enklere for enhver som må orientere seg i den EU-rettslige jungelen som er Personvernforordningen.
Det første problemet var tilgjengeligheten. Personvernforordningen var vanskelig å navigere seg rundt, og hadde uklare bestemmelser for hva en bør gjøre og hva en må gjøre. Hvor forordningen faktisk ilegger deg plikter som databehandler, er det videre usikkert for hva som må gjøres for at en er i tråd med regelverket. Et eksempel på det sistnevnte er GDPR artikkel 28, hvor det stilles krav at en behandlingsansvarlig som tar i bruk en databehandler, må sørge for at det foreligger “tilstrekkelige garantier” for at forordningens krav ivaretas.
Hva som utgjør “tilstrekkelige garantier” er derimot ikke definert. Mens Datatilsynet gir generelle retningslinjer for hva som kan være relevant i en slik vurdering, blir det likevel understreket at ansvaret “til syvende og sist” faller på den behandlingsansvarlige.
Den største kvalen oppstod imidlertid ved spørsmålet om det var adgang til å benytte seg av en databehandler som var underlagt utenlandsk lovgivning – i vårt tilfelle amerikansk. I lys av Schrems II (C-311/18) dommen ble det i Standard Contract Clauses tilføyd et krav om at den som benytter seg av utenlandske databehandlere, må forsikre seg at de respektive statenes lovgivning som databehandlerne var underlagt, gir et tilsvarende vern som etter GDPR. Det faller dermed på de enkelte bedriftene å foreta en individuell vurdering av statenes lovgivning, før en i det hele tatt kan vurdere å benytte seg av slike databehandlere.
To problemstillinger reiser seg umiddelbart. For det første har de færreste gründerbedriftene kompetansen, innsikten og/eller ressursene til å bedømme utenlandsk nasjonal lovgivning, og hvorvidt dette gir et tilsvarende vernenivå som etter GDPR. For det andre utgjør amerikanske databehandlere brorparten av tilgjengelige og aktuelle databehandler for norske bedrifter, slik at det ofte vil være ugunstig og ressurskrevende å bytte til en norsk eller europeisk databehandler dersom en skulle komme til at vernenivået ikke er tilstrekkelig.
Situasjonen slik den er i dag gjør det vanskelig for bedrifter å forholde seg til og å operere i samsvar med GDPR. Det dette i realiteten har ført til, er at dette uoppklarte gråsone-spørsmålet enten tvinger en til å benytte seg av å amerikanske databehandlere uten å foreta en individuell vurdering, eller til å benytte seg av europeiske databehandlere i frykt av å foreta en individuell vurdering. Begge situasjonene er like håpløse i et moderne digitalisert samfunn hvor bruken av utenlandske - og særlige amerikanske - databehandlere er en forutsetning for digitaliserte bedrifter – ikke et privilegium.
Mens spørsmålet selvfølgelig er komplekst med et internasjonalt, overnasjonalt, juridisk og politisk plan, har vi likevel tenkt oss noen løsninger for de overnevnte problemstillingene.
Et av disse er at de individuelle vurderingene – og ansvaret for disse – skal løftes opp til et organnivå. Et EU-organ som løpende foretar vurderinger av utenlandsk nasjonal lovgivning ville flyttet det rettslige ansvaret til der det – etter vår mening – hører hjemme. Nemlig EU. Mens dette tilsynelatende kan virke som å sammenfalle med Kommisjonen adgang til å fatte tilstrekkelighetsbeslutninger (adequacy decisions) etter GDPR artikkel 45, understrekes det at disse ville vært overprøvbare, midlertidige og fortløpende vurderinger, slik at de i fravær av Kommisjonens tilstrekkelighetsbeslutninger, og en EU-doms eventuelle tilsidesettelse av disse (jfr. Schrems), ville gitt de behandlingsansvarlige en adgang til å benytte seg av utenlandske databehandlere med en større grad av sikkerhet og uten frykt for rettslig ansvarliggjørelse. En ville dermed eliminert gråsonetvilen, og endt opp med mer absolutte, men også mer etterfølgbare rettstilstander.
I lys av nylige avtaler mellom EU og USA kan det derimot se ut som at behovet for en slik løsning vil være mindre i fremtiden:
Mens det har vært en lærerik og interessant opplevelse å jobbe med GDPR – og som utvilsom har gitt oss mersmak – gir den rettslige situasjonen etter Schrems-dommene både jurister og enhver som skal forholde seg til regelverket, et ønske om en pan-europeisk lovgivning som gir mer klarhet og forutsigbarhet, enn det som følger av dagens rettstilstand.
Skrevet av:
Håvard Sveier Ottemo og Marthe Hella