Gå til hovedinnhold

GDPR og SCHREMS II – Oppdaterte retningslinjer fra Det europeiske personvernrådet

Deloitte Advokatfirma

Det europeiske personvernrådet (EDPB) vedtok i juni endelige retningslinjer for overføring av personopplysninger ut av EU/EØS. Datatilsynet fulgte 3. september opp med sin egen veileder knyttet til tema. Virksomheter oppfordres til å foreta grundige vurderinger av tredjelands lovgivning og praksis, samt dokumentere disse.

Siden Schrems II-avgjørelsen i fjor sommer, har en rekke bedrifter og personvernjurister klødd seg i hodet av hvordan avgjørelsen skal angripes. Hvordan skal man sikre tilfredsstillende beskyttelse når personopplysninger overføres til ikke-godjente tredjeland? I juni vedtok EU-kommisjonen nye standardkontrakter som må inngås ved overføring av personopplysninger ut av EU/EØS (tredjeland). Vi har skrevet nærmere om avgjørelsen her og om standardkontraktene her.

Fredag 18. juni kom også EDPB med endelige retningslinjer for implementering av ytterligere sikkerhetstiltak i forlengelse av Schrems II-avgjørelsen. Siden retningslinjene ble sendt på høring i november 2020, har det kommet flere innspill til disse som er hensyntatt i den endelige versjonen. Retningslinjene skal veilede dataeksportører (behandlingsansvarlige eller databehandlere innen EU/EØS) og dataimportører (behandlingsansvarlig eller databehandlere i tredjeland) i hvordan personopplysninger kan overføres til tredjeland på lovlig vis ved blant annet implementering av ytterligere tiltak.  Fredag 3. september publiserte Datatilsynet sin egen veileder for "Overføring av personopplysninger ut av EØS". 

Retningslinjene gjelder ikke i de tilfeller hvor overføringen skjer til et tredjeland som er godkjent av Kommisjonen etter personvernforordningen (GDPR) artikkel 45, men vil gjelde når man baserer seg på en overføring etter artikkel 46 – deriblant EUs standardkontrakter.

Vi har tidligere gitt en utdypende oppsummering av utkastet til retningslinjene her. De nye retningslinjene kan leses i sin helhet her og datatilsynets veileder kan lese her .

Er problemet med bruk av skytjenester løst?
 

Et spørsmål mange har stilt seg etter Schrems II og EDPBs utkast til retningslinjene, er hvordan bruk av skytjenester kan gjøres lovlig etter GDPR når bruken samtidig medfører at behandling av personopplysninger skjer eller kan skje utenfor Europa.

I de endelige retningslinjene finner vi fortsatt eksempelet «Use Case 6». Dette er et eksempel på overføring av personopplysninger til skytjenesteleverandører som krever tilgang til data i klartekst, altså tilgang til personopplysninger som verken er pseudonymisert eller kryptert, for å yte sine tjenester.

I slike tilfeller mener EDPB at det ikke foreligger effektive tekniske tiltak for å forhindre at tilgangen til personopplysninger vil krenke de registrertes rettigheter. EDPB beskriver følgende scenario for skytjenester som er omfattet av dette eksempelet:

  1. En behandlingsansvarlig overfører personopplysninger til en skytjenesteleverandør eller annen databehandler,
  2. skytjenesteleverandøren eller andre databehandlere trenger tilgang til data i klartekst for å utføre oppgaven som er tildelt, og
  3. mulighetene for at offentlige myndigheter i tredjelandet får tilgang til de overførte personopplysningene går utover hva som er nødvendig og forholdsmessig i et demokratisk samfunn, Dette innebærer at personvernkrenkende lovgivning i tredjelandet gjelder.

EDPB utelukker imidlertid ikke at den teknologiske utviklingen kan medføre at det vil være tiltak i fremtiden som kan implementeres for å oppnå formålet, uten at tilgang til personopplysninger i klartekst er nødvendig.

Når ukrypterte personopplysninger er teknisk nødvendig for at leverandøren/databehandleren skal kunne yte tjenesten, vil heller ikke kryptering ved bruk av krypteringskommunikasjon (transport encryption) og kryptering for langtidslagring (data-at-rest encryption) samlet være tilstrekkelige tiltak for å sikre tilsvarende beskyttelsesnivå så lenge dataimportøren har krypteringsnøkkelen. I praksis innebærer dette at man ikke kan bruke slike skytjenester lovlig, og utfordringene med å benytte skytjenester er dermed beklageligvis ikke løst.

Ytterligere veiledning til steg 3 – Vurdering av om overføringsgrunnlaget er effektivt
 

Ett av de andre fokusområdene er steg 3; om hvorvidt overføringsgrunnlaget som brukes etter GDPR artikkel 46 er effektivt ved overføring av personopplysninger til tredjeland. I det opprinnelige utkastet til retningslinjene var det utelukket at man kunne gjennomføre risikobaserte tilnærminger eksempelvis i form av å stille spørsmål ved om offentlige myndigheter faktisk kunne få tilgang til personopplysninger i tredjelandet. I stedet måtte man se på lovgivningen i tredjelandet. I den endelige versjonen har EDPB endret ordlyd og kriterier slik at man nå også kan hensynta tredjelandets praksis i vurderingen.

Ved gjennomføringen av steg 3 er det fremhevet at dataeksportør må undersøke tredjelandets lovgivning og praksis nøye før overføringen finner sted. Tre forhold er i denne sammenheng særlig viktige:

  1. Dataeksportøren må undersøke om lovgivningen i tredjelandet formelt møter kravene etter GDPR, og om disse faktisk overholdes i praksis.
  2. Dersom relevant lovgivning i tredjelandet mangler, må dataeksportøren undersøke om det foreligger praksis i tredjelandet som er uforenlig med forpliktelsene som overføringsgrunnlaget oppstiller.
  3. Dataeksportøren må i tillegg foreta en vurdering av om de overførte personopplysningene eller dataimportøren selv faller innenfor anvendelsesområdet til personvernkrenkende nasjonal lovgivning i tredjelandet, slik at myndighetene kan få tilgang til de overførte personopplysningene uten dataimportørens bistand.

Datatilsynet har i sin veileder oppstilt en rekke momenter ved vurderingen av hvilke lover og praksis som gjelder. For eksempel må se på formålet med behandlingen og overføringen, typen aktører som er involverte, den aktuelle sektoren, kategorien av personopplysninger, hvorvidt dataene lagres i tredjeland eller om det er fjerntilgang til data lagret i EØS, dataformatet, og muligheten for videreoverføring til nye tredjeland.

For de to første punktene har EDPB uttalt at dersom lovgivningen eller praksis er personvernkrenkende, må overføringen enten stoppes eller så må tilstrekkelige ytterligere tiltak implementeres for at overføringen skal kunne fortsette.

For det tredje tilfellet, hvor det er usikkert om man faller innenfor personvernkrenkende nasjonal lovgivning, har man et tredje alternativ; Man kan fortsette overføringen uten å iverksette ytterligere tiltak, dersom man kan demonstrere og dokumentere at man ikke har noen grunn til å tro at den relevante og personvernkrenkende nasjonale lovgivningen vil bli tolket eller anvendt på en måte som omfatter den aktuelle overføringen.

Dersom man kommer til at overføringen i praksis faller innenfor nasjonale lovgivninger som er i konflikt med GDPR, må man vurdere om ytterligere tiltak er tilstrekkelig for å sikre et tilsvarende beskyttelsesnivå som i EU/EØS. Hvis man ikke finner slike ytterligere tiltak, eller klarer å få implementert slik tiltak, må overføringen stanses.

Dersom man kommer til at overføringen i praksis faller utenfor den relevante lovgivningen, kan overføringen fortsette uten ytterligere tiltak.

Åpnes det opp for en risikobasert tilnærming?
 

Helt fra Schrems II dommen ble publisert har det vært diskutert om EDPB kom til å åpne opp for risikobasert tilnærming ved overføring av personopplysninger til tredjeland. Slik utkastet, og de oppdaterte retningslinjene tolkes, så er det ikke åpnet for en slik tilnærming. Heller ikke Datatilsynet har fremholdt en slik tilnærming, men omtaler heller vurderingen som en helhetsvurdering. Dette innebærer at det ikke er anledning til å foreta en risikovurdering ved å for eksempel ikke følge stegene i retningslinjene på grunn at av det kun er et begrenset antall og kategorier av personopplysninger som overføres. Selv om dette for mange kan anses å fremstå som en liten risiko, vil det likefult være i strid med retningslinjene dersom ikke stegene er fulgt og dokumentert.

Opplysninger utelukkende behandlet i EØS
 

I sin veileder har Datatilsynet i punkt 7 skrevet om tilfeller hvor databehandler kun skal lagre og aksessere data i EØS. Datatilsynet skriver her om den vanskelige situasjonen som kan oppstå, hvor databehandler kan være underlagt tredjelands lovgivning, eksempelvis FISA 702, og blir bedt av sine myndigheter å overføre personopplysninger ut av EØS, i strid med personvernregelen og avtalen med behandlingansvarlig. Datatilsynet bemerker at en slik overføring kan medføre at databehandler blir ansett som behandlingansvarlig, og følgelig ansvarlig for overføringen.

Likevel presiseres det fra Datatilsynet at det ikke er fritt frem, da man som behandlingansvarlig uansett har forpliktelser, slik som «ansvar for å bare velge databehandlere som kan oppstille tilstrekkelige garantier for at de vil følge våre personvernregler» Og «Du har ansvar for å beskytte personopplysningene (informasjonssikkerhet), herunder sikre at personopplysningene behandles konfidensielt og ikke blir gjort tilgjengelig for uvedkommende».

I tillegg viser Datatilsynet til at i de tilfellene hvor databehandler allerede ved avtaleinngåelse tar forbehold om overføringer ut av EØS, så må behandlingansvarlig ha behandlingsgrunnlag for å overlate personopplysninger til databehandler for disse tilfellene.

Følgelig er det ikke nødvendigvis tilstrekkelig at personopplysningene etter avtale kun skal behandles i EØS, og disse tilfellene krever også konkrete vurderinger.

Andre forhold å merke seg
 
Utover endringene som allerede er nevnt er det grunn til å merke seg følgende ved overføring av personopplysninger utenfor EU/EØS:
  • EDPB gir en oppdatert liste over informasjonskilder ved vurdering av tredjelands beskyttelsesnivå (annex 3).
  • Virksomheter må ikke bare dokumentere tilstrekkeligheten av relevant lovgivning, praksis og anvendelse på den spesifikke sektoren. De må også dokumentere sine interne retningslinjer som er på plass for å foreta disse vurderingene. Tilsynsmyndighetene kan etterspørre disse vurderingene.

Utover dette er innholdet svært likt utkastet til retningslinjer som ble publisert november 2020. EDPB stadfester at kontraktuelle og organisatoriske tiltak ikke er tilstrekkelige i seg selv som ytterligere tiltak ved overføring av personopplysninger til land med personvernkrenkende nasjonal lovgivning eller praksis. Man må i tillegg implementere tekniske tiltak for å kunne sikre et tilstrekkelig beskyttelsesnivå.

Hva bør virksomheter gjøre fremover?
 

Det er nå snart ett år siden Schrems II-avgjørelsen, og vi i Deloitte Advokatfirma antar at det bare er spørsmål om tid før Datatilsynet banker på døren til virksomheter som overfører personopplysninger til tredjeland. Virksomheter oppfordres derfor til å foreta nøye vurderinger av sine overføringer og dokumentere disse, samt sine vurderinger av lovgivningen og praksis i tredjeland. Dette fordrer god oversikt over retningslinjenes innhold og krav.

Den endelige versjonen av retningslinjene viser at vurderingene som må gjøres fortsatt er vanskelige og potensielt tidkrevende i praksis. Det er derfor nødvendig at virksomheter har en god dialog og et godt samarbeid med leverandører for å avklare disse spørsmålene. I tillegg vil det være viktig at virksomheter utarbeider gode interne retningslinjer og systemer for å kunne sikre at vurderingene foretas før en eventuell overføring av personopplysninger til tredjeland. Retningslinjene fra EDPB er i sin helhet svært omfattende og inneholder en rekke nyanser og presiseringer som ikke kommer frem i denne artikkelen. For konkrete vurderinger kan ytterligere veiledning finnes i retningslinjene.  I tillegg er det allerede noen som har tilgjengeliggjort maler som kan brukes som et utgangspunkt for vurderingene, se blant annet: Transfer Impact Assessment Templates (iapp.org)

Ellers har Datatilsynet uttalt at de kommer tilbake med nærmere veiledning knyttet til de oppdaterte retningslinjene innen kort tid, så det gjelder å følge med.

Dersom du har spørsmål om forståelsen av de endelige retningslinjene, overføring av personopplysninger til tredjeland eller andre personvernrelaterte spørsmål, er det bare å ta kontakt med Deloitte Advokatfirma.

Var dette nyttig?

Takk for din tilbakemelding