Konsept

GDPR og Amerikanske selskap

Kan personopplysninger overføres til amerikanske selskaper etter GDPR?

GDPR og Amerikanske selskap

  1. Innledning 

Gjennom vårt arbeid som juridiske rådgivere for Link Utvikling AS har vi jobbet med en rekke nye juridiske problemstillinger. Vi har opplevd det som spennende og utfordrende å utforske nye rettsområder. Noen spørsmål har imidlertid vært mer utfordrende enn andre. Den problemstillingen som kanskje var vanskeligst, var hvorvidt selskapet kunne bruke Google Firebase som server og database til en app de utviklet. Google Firebase er en programvare lagd av Google for utvikling av mobil- og webapplikasjoner. Da Google som kjent er et amerikansk selskap, reiste dette spørsmål om overføring av personopplysninger til en tredjestat. Vi lærte at svaret på dette spørsmålet er langt fra klart. I det videre vil jeg forklare hvordan vi gikk frem for å løse spørsmålet, og hvilke utfordringer som finnes i gjeldende rett. 

  1. GDPR krever et overføringsgrunnlag

Spørsmålet om hvorvidt man kan overføre personopplysninger til en tredjestat, må løses etter bestemmelsene i Personvernforordningen (Forordning 2016/679), også kjent som General Data Protection Regulation (GDPR). GDPR er gjennomført i norsk rett gjennom lov om behandling av personopplysninger av 15.06.2018. Formålet med GDPR er å skape et konsistent og høyt nivå av beskyttelse for naturlige personer og fjerne hindringer for fri flyt av personlig data innenfor EU, jf. fortalepunkt 10. 

Dersom personopplysninger skal overføres til land utenfor EØS, krever GDPR et særskilt behandlingsgrunnlag for at overføringen skal være lovlig. Bakgrunnen for det er at land utenfor EØS kan ha andre regler for hvordan personopplysninger behandles. Overføringsgrunnlaget skal sikre at personopplysningene likevel nyter et tilsvarende vern som innenfor EØS-området. 

GDPR angir tre alternativer for overføring av personopplysninger til tredjestater. For det første, kan dataene overføres hvis EU-kommisjonen har besluttet at området har regler som ivaretar personvernet på tilsvarende måte som EØS-området, jf. artikkel 45. Dette er kjent som en adekvansbeslutning. Hvis det ikke foreligger en adekvansbeslutning for landet, er det nærliggende å anvende alternativet i artikkel 46. Bestemmelsen fastsetter at overføring kan skje hvis den behandlingsansvarlige eller databehandleren har gitt “nødvendige garantier” og under forutsetningen at de registrerte har håndhevbare og effektive rettsmidler, jf. artikkel 46 nr.2. Dersom man ikke kan bruke dette alternativet heller, er siste utvei unntakene i artikkel 49. Denne bestemmelsen vil ikke omtales nærmere. 

  1. Overføring til USA: rettsutviklingen med Schrems II-dommen

Inntil nylig var Privacy Shield adekvansbeslutningen for overføring av personopplysninger til USA, jf. artikkel 45. Privacy Shield var en avtale mellom USA og EU som åpnet for at amerikanske selskaper kunne sertifisere seg selv. Selskapene måtte bevise at de personopplysningene som ble overført til dem, nøt et tilsvarende beskyttelsesnivå som under GDPR. Dette endret seg imidlertid 16.juli 2020 ved Schrems II-dommen. 

Gjennom Schrems II (C-311/18) avgjorde EU-domstolen at Privacy Shield-avtalen var ugyldig som overføringsgrunnlag. Domstolen mente at avtalen ikke ga et tilstrekkelig beskyttelsesnivå etter personvernforordningen, lest i lys av menneskerettighetene i Charteret. Sentralt i denne vurderingen var de vidtrekkende hjemlene til amerikansk etterretning og manglende muligheter for europeiske borgere til å overprøve beslutninger om overvåking. 

Samtidig ga retten uttrykk for at standard personvernbestemmelsene fremdeles er et gyldig overføringsgrunnlag. Standard personvernbestemmelsene er utviklet av EU-kommisjonen. Når en dataimportør signerer standard personvernbestemmelser, forplikter vedkommende seg til å behandle personopplysninger i samsvar med det som gjelder etter kravene i EØS-området. 

EU-domstolen uttalte imidlertid også at standard personvernbestemmelsene ikke alltid er tilstrekkelig som overføringsgrunnlag. Noen ganger må de suppleres med ytterligere tiltak for å oppnå et tilstrekkelig nivå av beskyttelse. Dette må ses i sammenheng med at standard personvernbestemmelsene ikke er bindende for tredjestatens myndigheter, og landet kan ha lover som går foran standard personvernbestemmelsene. Problemet oppstår når disse lovene griper inn i vernet som europeiske borgere har etter GDPR. For eksempel kan tredjestaten ha lover som gjør det mulig for myndighetene å få tilgang til personopplysningene i større grad enn det GDPR anser som proporsjonalt og nødvendig. Dersom det er nødvendig med ytterligere tiltak, og disse enten ikke finnes eller bedriften ikke er i stand til å iverksette dem, er overføringen ulovlig og må opphøre. 

 I det videre vil jeg beskrive hvordan man kan foreta en vurdering av hvorvidt overføringen er lovlig. Denne beskrivelsen vil være på et overordnet og generelt plan. 

  1. Hvordan skal man nå vurdere om overføringen er lovlig?

Etter Schrems II er det nå opp til den enkelte virksomhet å vurdere om overføring av personopplysninger er lovlig. Dette erfarte vi at var langt fra enkelt. En særlig utfordring er 

man må finne ut hvilke lover og praksis som gjelder i tredjestaten, for å kunne ta stilling til om beskyttelsesnivået er tilstrekkelig etter GDPR. Dette er ingen enkel oppgave. Hvilke lover eller praksis som kommer til anvendelse kan bero på en rekke faktorer, slik som formålet med behandlingen og overføringen, hva slags aktører som er involvert, hvilken sektor det er tale om, hva slags personopplysninger det gjelder, om personopplysningene lagres i et tredjeland eller om det vil være fjerntilgang til data lagret innenfor EØS, dataformat og mulighet for videreoverføring til andre tredjeland, se (fotnote 1) https://www.datatilsynet.no/rettigheter-og-plikter/virksomhetenes-plikter/overforing-av-personopplysninger-ut-av-eos/tilleggskrav-til-overforingsgrunnlag-schrems-ii/ 

Etter at man har funnet frem til relevant lovgivning og praksis, oppstår en ny utfordring; da må man vurdere om beskyttelsesnivået er tilstrekkelig etter GDPR. Her må virksomheten vurdere om regelverket vil utgjøre en krenkelse av personvernet. Dette er en forholdsmessighetsvurdering. Ifølge datatilsynets veiledning kan man i denne vurderingen se hen til momenter som EMDs praksis om masseovervåkning etter EMK artikkel 8, momentene EU-domstolen trekker frem i Schrems II, momentene i artikkel 45 (2) og Personvernrådet (EDPB) sine anbefalinger om europeiske essensielle garantier for overvåkningstiltak. (fotnote 2) Dette fremstår som et nokså omfattende rettskildemateriale. Det medfører at grensen for hva som utgjør et tilstrekkelig beskyttelsesnivå, blir uklar.  

https://www.datatilsynet.no/rettigheter-og-plikter/virksomhetenes-plikter/overforing-av-personopplysninger-ut-av-eos/tilleggskrav-til-overforingsgrunnlag-schrems-ii/

Dersom man kommer til at den aktuelle reguleringen i tredjestaten utgjør en krenkelse av personvernet, må virksomheten vurdere om ytterligere tiltak kan kompensere for dette slik at beskyttelsesnivået blir tilsvarende som etter GDPR. EDPB har utformet en anbefaling av hvilke tiltak som kan settes i verk, (fotnote 3) 

https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-012020-measures-supplement-transfer_en

Det sentrale i denne vurderingen er hvorvidt de ytterligere tiltakene motvirker krenkelsen av personvernet. Dette må også betegnes som en nokså kompleks juridisk vurdering. 

  1. Konklusjon 

Samlet fremstår det som at Schrems II-avgjørelsen skaper en rekke utfordringer for virksomheter som vil overføre personopplysninger til amerikanske selskaper. De pålegges å foreta komplekse juridiske vurderinger i lys av amerikansk lovgivning og EU/EØS-rett, og det er uklart hva som er lovlig. Med tanke på hvor mange selskaper som overfører personopplysninger til amerikanske selskaper, fremstår det som betenkelig at det er så vanskelig å vurdere lovligheten. Dette problemet vil belyses nærmere i det andre blogginnlegget.  

Skrevet av:

Håvard Sveier Ottemo og Marthe Hella

Andre artikler

Coockiebanner