EU-domstolens Schrems II-avgjørelse: Privacy Shield underkjent, men EUs standardavtaler opprettholdes

| Innsikt

Den 16. juli avsa EU-domstolen en prinsipiell avgjørelse om overføring av personopplysninger til USA, den såkalte Schrems II-avgjørelsen. Domstolen slår fast at Privacy Shield-avtalen mellom EU og USA er ugyldig. EUs standardavtaler for overføring er fremdeles gyldige, men forutsetter at den som skal overføre opplysninger gjør vurdering av beskyttelsesnivået i mottakerlandet.

Sakens bakgrunn
Bakgrunnen for saken er en klage fra den østeriske personvernaktivisten Maxilliam Schrems til det irske datatilsynet om å stoppe overføringer av hans personopplysninger fra Facebook Ireland til Facebook Inc. i USA. Schrems begrunnet dette med manglende beskyttelse, særlig som følge av amerikansk masseovervåkning. Hovedregelen etter GDPR er at det er forbudt å overføre eller gjøre personopplysninger tilgjengelig for noen utenfor EØS, med mindre det finnes et såkalt overføringsgrunnlag som gir vern om opplysningene. Facebook har tilsluttet seg Privacy Shield-ordningen og har også basert seg på EUs standardavtaler som grunnlag for sine dataoverføringer til USA. EU-domstolen har med Schrems II-avgjørelsen tatt endelig stilling til om dette er tilstrekkelig for å sikre et tilstrekkelig vernenivå i tråd med kravene etter GDPR.

Hva innebærer dommen?
EU-domstolen slår fast at Privacy-Shield-avtalen mellom EU og USA er ugyldig som overføringsgrunnlag. Domstolen begrunner avgjørelsen med at Privacy Shield ikke gir tilstrekkelig rettsikkerhetsgarantier mot amerikanske myndigheters monitorering og tilgang til personopplysningene som overføres. Samtidig mener EU-domstolen at EUs standardavtaler inneholder tilstrekkelige sikkerhetsmekanismer forutsatt at disse brukes riktig.

Dommen innebærer at alle virksomheter som baserer overføring av personopplysninger til USA på Privacy Shield må finne et annet rettslig grunnlag for overføringen. I praksis gjelder dette en stor andel norske og europeiske virksomheter der leverandører, underleverandører eller egne konsernselskaper i USA mottar eller har tilgang til personopplysninger.

Domstolen slår fast at EUs standardavtaler for overføring fremdeles er gyldige. Det er imidlertid viktig å merke seg at bruk av standardavtalene ikke i seg selv er tilstrekkelig for å gjøre overføring lovlig. I følge domstolen skal dataeksportøren gjøre en vurdering av om standardavtalene vil bli respektert i mottakerlandet. Særlig skal det vurderes om lokal lovgivning som pålegger mottaker å utlevere opplysninger til offentlige myndigheter gir tilstrekkelige rettsikkerhetsgarantier.

Hva bør virksomheter gjøre nå?

  1. Kartlegg alle overføringer som skjer ut av EØS på grunnlag av Privacy Shield og EU standardavtaler (særlig overføringer til USA)
  2. For alle overføringer som tidligere var basert på Privacy Shield, vurder:
  • om overføringen kan fortsette på annet grunnlag, f.eks. EU standardavtaler eller bindende konsernregler (BCR)
  • om det er hensiktsmessig at databehandlingen flyttes innenfor EØS
  1. For alle overføringer som baseres på EUs standardavtaler, merk:
  • det forutsettes en vurdering av beskyttelsesnivået i mottakerlandet og dataoverføringer må stoppes dersom beskyttelsesnivået ikke er tilstrekkelig.
  • for større virksomheter vil det være naturlig å etablere rutiner for «transfer due diligence».
  • vurder også behovet for ytterligere beskyttelsestiltak, f.eks. kryptering
  • dersom mottakende virksomhet er kjent med forhold som tilsier at opplysningene ikke kan gis et tilfredsstillende vern, skal dataeksportør varsles. Dataeksportør skal da stoppe overføringen, evt. varsle Datatilsynet om at man ikke anser det nødvendig å stoppe overføringen.

Avklaringer fra datatilsynsmyndighetene og kommisjonen
Det er ventet at Datatilsynet, Personvernrådet og EU-kommisjonen vil komme med nærmere veiledning om hvordan virksomheter skal forholde seg til avgjørelsen. Særlig er det behov for praktisk veiledning i vurdering av mottakerlandets vernenivå. Når forløperen til Privacy Shield, Safe Harbor, ble underkjent i 2015, erkjente tilsynsmyndighetene at det var behov for veiledning og rimelig tid for at virksomheter skulle kunne rette seg etter de nye kravene. Forhåpentligvis velger tilsynsmyndighetene samme tilnærming denne gang, særlig i lys av at sanksjonsmulighetene etter GDPR er mye strengere sammenliknet med tidligere regelverk. Datatilsynet har foreløpig varslet at alle virksomheter som frem til nå har overført personopplysninger til USA må få på plass et annet overføringsgrunnlag hvis overføringen skal fortsette.

EU-kommisjonen har arbeidet med å oppdatere EUs standardavtaler da de gjeldende avtalene er tuftet på gammelt regelverk. Dette arbeidet har vært satt i bero i påvente av avgjørelsen. Så snart de oppdaterte standardavtalene er tilgjengelige bør disse tas i bruk og erstatte tidligere versjoner.