Hopp direkte til innhold

Nyhetsbrev: Overføring av personopplysninger til tredjeland: Privacy Shield er ugyldig

16. juli 2020 kom Europadomstolens (Court of Justice of the European Union) avgjørelse i Schrems II-saken. I dommen ble Privacy Shield kjent ugyldig som overføringsgrunnlag til USA. Samtidig ble det gitt generelle føringer for overføring av personopplysninger til tredjeland, herunder bruken av standard personvernbestemmelser (Standard Contractual Clauses). Dommen medfører at alle virksomheter, behandlingsansvarlige så vel som databehandlere, bør gjennomgå avtaler som innebærer at personopplysninger overføres til land utenfor EU/EØS.

OM GDPR OG PRIVACY SHIELD

Personvernforordningen (GDPR) krever at virksomheter som overfører personopplysninger til stater utenfor EU/EØS må sørge for at beskyttelsesnivået etter personvernforordningen ikke undergraves. Europakommisjonen (European Commission) har anerkjent enkelte tredjeland (12 land per i dag) for å inneha et tilstrekkelig beskyttelsesnivå. For øvrige tredjeland krever GDPR at det foreligger sikkerhetsmekanismer i tråd med kapittel 5, slik som standard personvernbestemmelser vedtatt av Europakommisjonen eller bindende virksomhetsregler (Binding Corporate Rules).

Før Schrems II-dommen ble avgitt kunne overføringer til USA også ha lovlig overføringsgrunnlag på bakgrunn av Privacy Shield rammeverket. Privacy Shield trådte i kraft i 2016, og skulle erstatte Safe Harbour Privacy Principles som ble kjent ugyldig av Europadomstolen i 2015 – en sak også initiert av Maximillian Schrems. Hensikten med Privacy Shield var å sørge for at overføring av personopplysninger til USA med kommersielt formål var underlagt tilsvarende beskyttelse som innenfor EU/EØS. I overkant av 5 300 organisasjoner har sertifisert seg under Privacy Shield ordningen siden 2016. 

OM SCHREMS II-DOMMEN

Maximillian Schrems, en engasjert personvernaktivist og advokat fra Østerrike, krevde at det irske datatilsynet skulle stoppe overføring av personopplysninger mellom Facebook Irland og Facebook Inc. Som begrunnelse for kravet anførte han at USA ikke har et tilstrekkelig beskyttelsesnivå for personopplysninger som overføres. Etter forespørsel fra Irlands Høyesterett om å vurdere gyldigheten av EU-US Privacy Shield, i tillegg til standard personvernbestemmelser, kjente Europadomstolen Privacy Shield ugyldig. Den sentrale begrunnelsen for avgjørelsen var de vide hjemlene til amerikanske etterretningsmyndigheter når det gjelder tilgang til personopplysninger som overføres, samt manglende mekanismer for å sikre tilstrekkelig overprøving av amerikanske myndigheters beslutning om overvåkning.

Imidlertid kom Europadomstolen til at standard personvernbestemmelser anses å være et gyldig overføringsgrunnlag for personopplysninger til tredjeland, inklusive USA, likevel under den forutsetning at det foretas en konkret vurdering i hvert enkelt tilfelle. I vurderingen må det tas stilling til hvorvidt bruken av standard personvernbestemmelser i praksis vil innebære at personopplysningene er underlagt et tilstrekkelig beskyttelsesnivå, hensyntatt de plikter og regler mottakeren av personopplysningene er underlagt i henhold til loven i det konkrete landet.

HVA MÅ DU SOM VIRKSOMHET GJØRE?

Enten virksomheten din opptrer som behandlingsansvarlig eller databehandler, er det nå viktig å gjennomgå alle avtaler som innebærer overføring av personopplysninger til tredjeland. En måte å identifisere dette på, kan være ved å gjennomgå virksomhetens protokoll over behandlingsaktiviteter (etter GDPR artikkel 30), og/eller ved å gjennomgå avtaler, herunder databehandleravtaler, med behandlingsansvarlige og databehandlere. Dersom det identifiseres overføring til et tredjeland, må overføringsgrunnlaget undersøkes for å sikre at overføringen ikke er basert på Privacy Shield, og for øvrig i henhold til tillatte overføringsmekanismer etter GDPR. Ved bruk av standard personvernbestemmelser er det viktig å huske på at bruken av disse også forutsetter en konkret vurdering i hvert enkelt tilfelle (ref. over). Vær også oppmerksom på at endring av behandlingsgrunnlag vil forutsette øvrige endringer i virksomhetens dokumentasjonsgrunnlag, slik som virksomhetens behandlingsprotokoll, personvernerklæringer, øvrige databehandleravtaler, interne rutiner og retningslinjer med videre.

Det amerikanske handelsdepartementet (US Department of Commerce) har stadfestet at Schrems II-dommen ikke medfører at parter underlagt Privacy Shield skal anses fri fra sine forpliktelser, men det må etableres et alternativt overføringsgrunnlag. Kravet om å finne et alternativt grunnlag for overføring gjelder fra det tidspunktet dommen ble avsagt, dvs. 16. juli 2020. Det europeiske personvernrådet (European Data Protection Board) har uttalt at det gjelder ingen overgangsperiode («grace period») hvor selskaper ikke risikerer sanksjoner i henhold til personvernregelverket og  det norske Datatilsynet har ikke gitt uttrykk for noen annen tilnærming. Dersom virksomheten din overfører personopplysninger på grunnlag av Privacy Shield, eller for øvrig har manglende eller utilstrekkelig overføringsgrunnlag for personopplysninger til tredjeland, er det viktig å få dette på plass så snart som mulig.

Vi i Arntzen de Besche har god erfaring med å bistå klienter med å sikre tilstrekkelig overføringsgrunnlag for personopplysninger til tredjeland, og for øvrig andre problemstillinger knyttet til gjennomføringen av personvernregelverket (GDPR). Skulle dere ha spørsmål eller behov for bistand, ta gjerne kontakt med vårt personvernteam.

***

Informasjon om Schrems II-saken er tilgjengelig her.

Kompetanse

Kontaktpersoner