SCHREMS II
Schrems II-dommen har, som mange er kjent med, medført at rammeverket Privacy Shield ikke lenger anses som et lovlig overføringsgrunnlag for overføring av personopplysninger fra EU/EØS til USA. Av den grunn kan ikke lenger overføring av personopplysninger fra EU/EØS til USA gjøres med hjemmel i Privacy Shield. Dommen har i realiteten medført at overføring av personopplysninger til USA vanskelig vil kunne anses lovlig etter GDPR, uten mer konkret rettsavklaring og/eller en ny overføringsavtale mellom EU/EØS og USA.
Selv om dommen ikke uttaler dette eksplisitt, er det lagt til grunn at avgjørelsen vil påvirke amerikanske skytjenesteleverandører med datasenter i EU/EØS slik som Microsoft, Google og Amazon, all den tid slike leverandører vil være underlagt både europeisk (GDPR) og amerikansk (CLOUD Act) lovgivning og jurisdiksjon.
CLOUD Act ble implementert i USA samtidig som GDPR ble implementert i EU, men er imidlertid i konflikt når det gjelder utlevering av personopplysninger fra EU/EØS til USA. Schrems II-dommen har derfor initiert nye diskusjoner om håndhevelsen av CLOUD Act innenfor GDPRs virksomhetsområde.
Schrems II-dommen har forårsaket en omfattende granskning av EU-institusjonenes egen bruk av skyleverandørene Amazon Web Services (AWS) og Office 365. Det foreligger per i dag ikke noe resultat av granskningsprosessen. Men hva skjer dersom granskningsrapporten viser at bruken av disse skytjenesteleverandørene ikke er i tråd med GDPR?
Enkelte europeiske land har allerede tatt stilling til denne problemstillingen, og foreslått konkrete løsninger. Det kunne kanskje være til inspirasjon for norske virksomheter?
SKYTJENESTER OG LAGRING AV HELSEOPPLYSNINGER – STATUS FRA ANDRE MEDLEMSSTATER
Under korona-pandemien har de franske myndighetene, i likhet med mange andre, hatt et særskilt behov for å effektivisere vaksineringen. Leverandør og databehandler Doctolib kunne tilby et digitalt timebestillingsystem for vaksineringen. Doctolib brukte underleverandøren AWS Sarl. i Luxemburg, som lagret identifikasjonsopplysninger, samt tidspunktet for vaksineringen,sd på servere i Frankrike og Tyskland. AWS Sarl. er en filial av det amerikanske selskapet AWS Inc. Det forelå dermed en risiko for at amerikanske myndigheter kunne få tilgang til personopplysningene gjennom CLOUD Act. Til tross for denne risikoen, mente den øverste forvaltningsdomstolen i Frankrike (Conseil d´Etat) i mars 2021 at AWS kunne brukes som skytjeneste, all den tid samfunnets interesse i å stoppe pandemien måtte veie tyngre enn den hypotetiske muligheten for tilgang fra amerikanske myndigheter. Le Conseil d´Etat påpekte også at AWS hadde implementert tilstrekkelige sikkerhetsmekanismer, blant annet gjennom kryptering av de lagrede personopplysningene og oppbevaring av krypteringsnøkkelen hos en uavhengig tredjepart i Frankrike, at personopplysningene kun ble lagret i tre måneder etter timebestillingen, og at det ikke ble behandlet sensitive helseopplysninger. Videre hadde AWS inntatt en klausul i avtalen med sine kunder som sikret at de lagrede personopplysningene ikke ville bli overført til USA for tekniske formål, samt at de skulle overprøve rettslig eventuelle anmodninger fra amerikanske myndigheter om utlevering av data.
Det er verdt å påpeke at denne saken gjaldt bruk av en skytjeneste i forbindelse med samfunnets behov for og interesse i å stanse en verdensomspennende pandemi. Det kan derfor ikke konkluderes med at Frankrike med dette har gitt en generell godkjennelse for utstrakt bruk av de store amerikanske skytjenesteleverandørene for behandling av helseopplysninger under normale omstendigheter. Tvert imot har Frankrike satt seg et konkret mål om at unngå mest mulig bruk av amerikanske skytjenesteleverandører. Dette er en del av Frankrikes nasjonale strategiplan for bruk av skytjenester ("Strategie Nationale pour le Cloud"), som ble offentliggjort den 17. mai 2021.
Et annet eksempel hentet fra Frankrike er innføringen av e-helse plattformen Health Data Hub, som lettere skulle gi medisinske forskere tilgang til blant annet "korona-helseopplysninger". Plattformen skulle leveres av Microsoft Azure og personopplysninger skulle lagres i Azures server i Nederland. Av hensyn til både Schrems-II dommen og Doctolib-dommen, ønsket den franske regjeringen å være på den trygge siden og konkluderte med at e-helse plattformen skulle serveres av europeiske skytjenesteleverandører innen utløpet av de neste 12 til 18 måneder, og i alle tilfeller ikke etter november 2022.
Også Tyskland har lagt seg på samme linje som Frankrike, eksempelvis utvikleren av den digitale helseapplikasjonen DiGA. Av hensyn til helseopplysningers sensitive art og særskilte behov for ekstra sikkerhetstiltak, er det naturlig at både Frankrike og Tyskland under korona-pandemien har prioritert å fokusere på problematikken ut ifra et helseperspektiv. Men det er grunn til å tro at tilsvarende problemstillinger vil bli diskutert i tiden fremover, uavhengig av sektor eller type personopplysninger som lagres.
HVA SIER DE STORE SKYTJENESTELEVERANDØRENE?
Tilfeldig eller ei, så har Microsoft gitt seg akkurat samme frist som fastsatt av den franske regjeringen i forbindelse med e-helseplattformen Health Data Hub (dvs. innen utgangen av 2022), for å gjennomføre et prosjekt med formål om å avgrense lagring av personopplysninger om europeiske borgere i Microsofts europeiske filialer som har 13 europeiske data senter (inkludert i Norge). Dette vil altså gjelde for skytjenestene Azure, Microsoft 365 og Dynamics 365.
Men vil dette egentlig være tilstrekkelig for å ivareta europeiske borgeres personvern, all den tid Microsoft sine filialer i EU/EØS fortsatt vil være amerikansk-eid, herunder underlagt amerikansk lovgivning og jurisdiksjon? Er ikke dette nettopp det Frankrike og Tyskland nå forsøker å unngå?
Både Microsoft og Amazon har nylig uttalt at de i sine oppdaterte avtaler med europeiske kunder vil regulere nærmere forbudet mot at amerikanske myndigheter skal gis tilgang til lagret data i EU/EØS gjennom såkalte "strengthened contractual commitments", i tillegg til at de vil protestere mot enhver begjæring om utlevering som ikke er hensiktsmessig. Dette er utvilsomt vel ment, men disse klausulene vil sannsynligvis ikke ha noe bindende effekt mot et rettslig krav om utlevering av data etter CLOUD Act.
Med referanse til EDPBs (det Europeiske personvernrådet) foreløpige anbefalinger vedrørende sikkerhetsmekanismer for overføring av personopplysninger til tredjeland, viser Amazon på sine hjemmesider til krypteringsløsninger for å sikre et tilstrekkelig beskyttelsesnivå, også i forbindelse med eventuell utlevering til amerikanske myndigheter. Men er kryptering egentlig en reell sikkerhetsmekanisme, all den tid amerikanske myndigheter fortsatt vil kunne kreve tilgang til data, herunder til krypteringsnøkkelen?
På grunnlag av Frankrikes vurdering i Doctolib-dommen, vil bruken av Amazon med sine sikkerhetsmekanismer sannsynligvis være lovlig i en pandemipreget kontekst. Men bruken av de store skytjenesteleverandørene for formål som ikke innebærer å stanse en verdensomspennende pandemi er enda ikke avklart.
HAR VI EGENTLIG GRUNN TIL Å FRYKTE CLOUD ACT?
Det viktig å presisere at CLOUD Act ikke gir amerikanske myndigheter en ubegrenset rett til våre personopplysninger. For det første må amerikanske myndigheter ha hjemmel i dom eller i en særskilt avtale med selve utleveringslandet for å ta beslag i data lagret på servere i EU/EØS. For det andre dreier det seg ikke om masseinnsamling av personopplysninger, men kun relevante opplysninger om straffbare forhold. For det tredje gir CLOUD Act mulighet til å bestride utleveringsbegjæringen.
Med andre ord må følgende betingelser være oppfylt for at CLOUD Act i det hele tatt skal kunne håndheves i EU/EØS:
- En amerikansk rettsinstans må ha domsmyndighet over virksomheten som eier de aktuelle dataene.
Dette vilkåret anses oppfylt så lenge amerikanske skytjenesteleverandører opererer innenfor EU/EØS, og dommen ("warrant") pålegger deres amerikanske morselskap å utlevere dataen. Dette gjelder altså alle de store skytjenesteleverandørene.
- Virksomheten må være en leverandør av skytjenester.
Dette vilkåret anses oppfylt for alle de store skytjenesteleverandørene, slik som Microsoft, Google og Amazon, som har datasenter i EU/EØS.
- Virksomheten må være i besittelse av, eller ha ansvar eller kontroll over, de aktuelle dataene.
Dette vilkåret anses oppfylt så lenge personopplysningene er lagret på blant annet Microsoft, Google og Amazon sine servere i EU/EØS.
Men er det egentlig så farlig da? Som det følger av både Schrems II-dommen og flere tidligere personvernskandaler som involverer amerikanske myndigheters behandling av personopplysninger, er de registrertes personvern mye dårligere beskyttet i USA enn innenfor EU/EØS. Det er derfor en større fare for at personopplysninger i praksis brukes tdil andre formål enn det de opprinnelig ble samlet inn for.
KONFLIKT MELLOM GDPR OG CLOUD ACT
Selv om CLOUD Act i prinsippet begrenser amerikanske myndigheters tilgang til personopplysninger lagret på datasenter i EU/EØS, gjenstår det likevel en juridisk utfordring, nemlig GDPR artikkel 48.
GDPR artikkel 48 forbyr overføring eller utlevering av personopplysninger om europeiske borgere til land utenfor EU/EØS. Bestemmelsen slår fast at retts- eller forvaltningsavgjørelser i en tredjestat som krever at en behandlingsansvarlig eller en databehandler i EU/EØS skal overføre eller utlevere personopplysninger, bare kan brukes som overføringsgrunnlag dersom avgjørelsen bygger på en internasjonal avtale. Den internasjonale avtalen kan være inngått enten mellom EU og tredjestaten, eller mellom det enkelte eksportørlandet og tredjestaten.
Per dags dato finnes det imidlertid ingen slike avtaler mellom EU og USA, hvilket betyr at CLOUD Act og GDPR inntil videre er i konflikt. Med andre ord vil en amerikansk skytjenesteleverandør som utleverer personopplysninger etter krav fra amerikanske myndigheter bryte GDPR og følgelig kunne pålegges bøter og/eller straff. Og vice versa, dersom skytjenesteleverandøren velger å ikke utlevere personopplysningene med utgangspunkt i GDPR, vil den bryte CLOUD Act og følgelig kunne sanksjoneres etter amerikansk rett for å trosse en amerikansk rettskjennelse. Dette innebærer at uansett hvilket lovverk amerikanske skytjenesteleverandører velger å følge, vil de risikere sanksjoner.
SÅ HVA ER LØSNINGEN?
Inntil forholdet mellom USA og EU er avklart på personvernområdet, vil det kunne stilles spørsmål om det tryggeste alternativet skal være å velge en europeisk eid og styrt skytjenesteleverandør. Alternativt at Microsoft, Amazon og Google sine datasentre i EU/EØS eies av eller lisensieres bort til europeiske selskap.
Som nevnt har Frankrike og Tyskland allerede vurdert disse løsningene, men dette gjelder to enkelte tilfeller, som for øvrig ikke har påvirkning overfor praksisen i Norge.
Utenfor EU/EØS har Apple nylig engasjert seg i å lagre alle personopplysninger om kinesiske borgere utelukkende innenfor Kinas territoriale grenser, i tråd med kinesisk rett.
Det er umulig å si i dag om dette er starten på en ny trend for skytjenesteleverandører både i og utenfor Europas territoriale grenser, men det ventes med spenning avklarende retningslinjer fra EDPB om denne problematikken.
