Ny EU-dom Om Personvern Kan Ha Store Konsekvenser For Din Organisasjon

Anders Bryde Thornild
By: Anders Bryde Thornild GDPR | 7 desember

Den 16. juli 2020 fattet EU-domstolen en dom i «Schrems II-saken». Beslutningen kan potensielt få store konsekvenser for alle selskaper. Her oppsummerer vi saken og gir deg innsikt i hvordan bedrifter eventuelt må forholde seg til saken.

Privacy Shield-avtalen

«Schrems II-saken» dreier seg om muligheten for å overføre personopplysninger til amerikanske selskaper. Så langt har dette vært mulig ved hjelp av den såkalte Privacy Shield-avtalen, som kort sagt er et system med standardkontrakter der amerikanske selskaper garanterer for at de overholder europeiske personvernregler, som f.eks GDPR (Det er for tiden over 5 000 amerikanske selskaper i ordningen).

Privacy Shield-avtalen sørget for at europeiske selskaper kunne benytte seg av amerikanske tjenester og overføre personopplysninger til dem, uten å måtte gå den lange veien og utarbeide en risikovurdering hver gang om partneren (databehandleren) faktisk var i stand til å leve opp til sine forpliktelser. Privacy Shield-avtalen gjorde det derfor mye lettere å inngå databehandlingsavtaler med amerikanske selskaper.

Max Schrems klager om Privacy Shield-avtalen

Personvernaktivisten Maximillian Schrems har imidlertid vært misfornøyd med ordningen, siden han mener at amerikanske selskaper ikke kan garantere at de overholder kravene i GDPR ettersom USA har nasjonale lover som strider og bryter med prinsippene i GDPR. Dette innebærer blant annet lover som gjør det mulig for amerikanske myndigheter å få innsikt i personopplysninger fra disse selskapene, hvis de f.eks. mistenker terrorisme.

Schrems valgte derfor spesifikt å komme med en klage mot Facebook, som flytter data fra sin irske avdeling til USA via Privacy Shield-avtalen (Facebook i Irland og Facebook i USA er to separate selskaper). Dette betyr at europeiske brukeres personlige data kan havne i USA. Max Schrems er misfornøyd med dette, da han ikke tror at Facebook kan garantere at de overholder kravene til GDPR ved håndtering av personopplysninger i USA. Det er denne klagen som EU-domstolen nå har gjort en avgjørelse på. EU-domstolen har kommet med en avgjørelse i favør av Schrems, som ugyldiggjør Private Shield-avtalen, med umiddelbar virkning. Dette påvirker ikke bare Facebook, men alle selskaper som er en del av ordningen. Privacy Shield-avtalen er ikke lenger et gyldig grunnlag for overføring av personopplysninger til amerikanske bedrifter.

Du kan lese dommen til EU-domstolen her: EU Court of Justice.

Dette er ikke første gang en avtale har blitt ugyldiggjort

Dette er ikke første gang en avtale som personvern har blitt ugyldiggjort. Privacy Shield-avtalen var et direkte resultat av ugyldiggjørelsen av en tidligere avtale, den såkalte «Safe Harbor»-avtalen tilbake i 2015. På denne tiden var det også Max Schrems som klaget på avtalen og sikret en gunstig avgjørelse. Privacy Shield-avtalen skulle være løsningen på problemene som fantes med Safe Harbor, men dette har tydeligvis ikke vært tilfelle. Vi er nå i en situasjon der personopplysninger ikke kan overføres til USA, hverken gjennom Safe Harbor eller Privacy Shield-avtalen, og det finnes ingen åpenbar ny løsning.

Smart CTA_e-book NO

Påvirker avgjørelsen din organisasjon?

Svaret er: Ja!

Hvis organisasjonen din har amerikanske databehandlere eller partnere som bruker amerikanske databehandlere, vil dette påvirke deg. Og hvem er ikke på en eller annen måte involvert i tjenester levert av f.eks Microsoft, Google, Amazon, e.l.? Det er vanskelig å unngå de store amerikanske teknologigigantene i det daglige livet til europeiske organisasjoner. De fleste organisasjoner er så integrerte med amerikanske tjenester at det ville være, om ikke umulig, veldig dyrt å avslutte samarbeidet med amerikanerne.

Les mer: Hvordan sikre at din bedrift er compliant med GDPR

Bør jeg da avslutte samarbeidet med alle amerikanske databehandlere?

Vi vet ennå ikke spesifikt hvordan avgjørelsen vil påvirke organisasjoner. Faktum er imidlertid at det ikke lenger er lovlig å eksportere data til USA med Privacy Shield-avtalen som grunnlag. Alle organisasjoner kan imidlertid ikke slutte å bruke amerikanske tjenester i dag. Vi har derfor havnet i limbo, hvor vi venter på å se hva som skjer videre. Spørsmålet er om det vil være opp til de enkelte selskapene å finne en løsning, eller om vi trenger en løsning på politisk nivå.

Hvis løsningen er å finne i selskapene og organisasjonene, betyr dette at selskaper fra USA må leve opp til de samme kravene som andre tredjepartsland. Dette betyr at du som er ansvarlig for databehandling må kunne garantere at databehandleren din kan leve opp til reglene i personvernforordningen. Dette legger mye arbeid på skuldrene til den enkelte organisasjon som bruker amerikanske databehandlere, ettersom man må gjøre risikovurderingen selv fra bunnen av og føre tilsyn med disse selskapene – men hvordan kan man forvente å komme til en konklusjon i risikovurderingen som skiller seg fra den som EU-domstolen nådde – det åpenbare faktum at selskaper ikke kan garantere at de kan oppfylle kravene? Og hva gjør man hvis man ikke lenger kan bruke f.eks. Office365? Finnes det i det hele tatt et alternativ? Det finnes mange vanskelige spørsmål, og den nye dommen gjør det umiddelbart vanskelig å se hvordan det vil være mulig å bruke amerikanske selskaper som databehandlere.

En politisk løsning?

Hvis løsningen kommer politisk, er det også vanskelig å forutse hvordan den vil fungere. Burde det være vanntette brannmurer mellom EU og USA? Bør det pålegges sanksjoner mot amerikanske selskaper, eller bør løsninger ligge et annet sted? Det virker usannsynlig at EU vil lempe på GDPR-lovgivningen for å samsvare med utilstrekkelig amerikansk lovgivning. Det virker også lite sannsynlig at USA vil droppe sine overvåkningslover, som gjør det mulig for dem å få innsikt i store datamengder. Det er vanskelig å se for seg hvilke konsekvenser som vil oppstå dersom man ikke finner på en god løsning på problemet. Det vil gjøre det praktisk talt ulovlig å overføre personopplysninger til USA, og scenariet hvor det mangler en brukbar løsning er dystert.

Hva nå?

Det kan være aktuelt for deg å undersøke om advokatene dine har anbefalinger om hvordan du skal håndtere situasjonen.

Per dags dato stiller dommen flere spørsmål enn det den svarer på. Det eneste som er sikkert er at kjennelsen har kastet en bombe inn i det digitale samarbeidet mellom EU og USA. Det er kanskje ikke annet å gjøre enn å trekke pusten dypt og vente på meldinger og anbefalinger fra Det Europeiske Personvernrådet, som analyserer konsekvensene av avgjørelsen. Det er imidlertid en god idé å forberede seg på hvilke potensielle konsekvenser dette vil få for din organisasjon, hvis du må finne nye IT-leverandører, eller om du må behandle disse leverandørene som andre tredjepartsland.

Dette kan for eksempel innebære at du må ha en «vent-og-se»-holdning når det kommer til å kjøpe nye tjenester, og sette prosjekter som knytter organisasjonen din nærmere amerikanske databehandlere på pause.