Hovedregelen etter forordningen er at det er forbudt å overføre eller gjøre personopplysninger tilgjengelig for noen utenfor EØS, med mindre det finnes mekanismer som gir vern om opplysningene. 

Persondataregler på prøve

| Innsikt

EU-domstolen skal vurdere flere personvernavtaler i juli. Virksomheter som overfører persondata bør følge nøye med, skriver advokat Thomas Olsen.

Juli vil bli en travel måned for EU-domstolen i Luxembourg. Domstolen skal vurdere om EU-U.S. Privacy Shield og EUs standardavtaler gir tilstrekkelig vern for personopplysninger som føres ut av EØS-området. En underkjennelse av ordningene vil kunne ha store konsekvenser for svært mange virksomheter som overfører personopplysninger til samarbeidspartnere og leverandører utenfor EØS.

EUs personvernforordning (GDPR) er den største personvernreformen i EU på 20 år og innfører skjerpede plikter og strengere sanksjoner for håndtering av personopplysninger. Hovedregelen etter forordningen er at det er forbudt å overføre eller gjøre personopplysninger tilgjengelig for noen utenfor EØS, med mindre det finnes mekanismer som gir vern om opplysningene.

Privacy Shield og EUs standardavtaler er vanlige brukte mekanismer som gjør overføring lovlig. At disse nå kan bli underkjent av EU-domstolen kan vekke følelse av «déjà vu» for mange. Et bakteppe for sakene er nemlig EU-domstolens skjellsettende Safe Harbor-avgjørelse i 2015. Saken omhandlet den østerrikske jusstudenten Maximilian Schrems klage om at Safe Harboravtalen fra år 2000 mellom EU og USA ikke ga tilstrekkelig vern mot amerikansk masseovervåkning. I lys av blant annet avsløringene fra Edward Snowden om USAs overvåkningsprogram underkjente EU-domstolen Safe Harbor fordi den ikke ga vern i henhold til EUs grunnleggende prinsipper. Avgjørelsen rystet det transatlantiske forholdet mellom EU og USA og hadde store konsekvenser for et stort antall virksomheter som hadde basert sin overføring på ordningen.

Etter intense forhandlinger klarte EU og Obama-administrasjonen i 2016 å komme til enighet om en ny overføringsavtale kalt EU-U.S. Privacy Shield. Avtalen innførte strengere krav til amerikanske virksomheter, mer robust håndheving og bedre vern og åpenhet knyttet til amerikansk overvåkning. I sin prøving vil imidlertid EU-domstolen blant annet se hen til Trump-administrasjonens oppfølgning av avtalen. Innføring av Cloud Act, som gir amerikanske myndigheter kompetanse til å kreve utlevert opplysninger under amerikanske selskapers rådighet, og treghet med å få på plass en ombudsmann for Privacy Shield kan her spille inn. Prøvingen av EUs standardavtaler har sin bakgrunn i klage fra den samme Maximilian Schrems. Et av spørsmålene for EU-domstolen er om standardavtalene alene er tilstrekkelig, eller om det for å sikre vern av opplysningene også må gjøres en nærmere vurdering av landrisiko.

Avgjørelse i disse to sakene ventes mot slutten av året. Konsekvensene av en underkjennelse vil være at berørte virksomheter må finne andre ordninger for å gjøre overføringen lovlig. Avgjørelsene har også betydning for det tilfelle at det blir en «hard Brexit». Storbritannia vil da være utenfor EU, og det vil være krav om et anerkjent grunnlag for overføring til øyriket.
Når det gjelder EUs standardavtaler har EU-kommisjonen nylig varslet at de vil revidere dagens standardavtaler. Spørsmålet er om disse vil være klare før EU-domstolens avgjørelse.
For konserninterne overføringer, og overføringer til IT-leverandører, vil såkalte bindende konsernregler (binding corporate rules) være en mulighet. Fordelen med disse er at de også er egnet for å dokumentere etterlevelse av de generelle personvernreglene. Ulempen er at det tar tid å få godkjennelse fra tilsynsmyndighetene. I enkelte tilfeller vil det også være mulig å basere overføring på avtale eller samtykke, men kun i begrenset omfang.

Virksomheter som overfører personopplysninger bør følge utviklingen nøye og i mellomtiden vurdere om det er mulig å få på plass mekanismer som begrenser konsekvensene av en underkjennelse av Privacy Shield og EUs standardavtaler.

Denne kronikken ble først publisert i Finansavisen 1. juli 2019.