Ny EU-dom Om Personvern Kan Ha Store Konsekvenser For Din Bedrift

Anders Bryde Thornild
By: Anders Bryde Thornild GDPR | 7 desember

Den 16. juli 2020 fattet EU-domstolen en dom i «Schrems II-saken». Beslutningen kan ha store konsekvenser for alle norske selskaper. Her oppsummerer vi saken og forklarer hvordan den kan være relevant for din bedrift. Vi har også laget et separat blogginnlegg som guider deg gjennom anbefalinger for hvordan du bør forholde deg til Schrems II-dommen.

 

Privacy Shield-avtalen

«Schrems II-saken» dreier seg om muligheten for å overføre personopplysninger til amerikanske selskaper. Så langt har dette vært mulig ved hjelp av den såkalte Privacy Shield-avtalen, som kort sagt er et system med standardkontrakter der amerikanske selskaper garanterer for at de overholder regler i den europeiske personvernforordningen (GDPR). (Det er for tiden over 5 000 amerikanske selskaper med i ordningen). 
 
Privacy Shield-avtalen sørget for at europeiske selskaper kunne benytte seg av amerikanske tjenester og overføre personopplysninger til dem, uten å måtte styre med å risikovurdere hvorvidt partneren (databehandleren) faktisk var i stand til å leve opp til sine forpliktelser. Privacy Shield-avtalen gjorde det derfor mye enklere å inngå databehandlingsavtaler med amerikanske selskaper. 

 

Max Schrems klaget over Privacy Shield-avtalen 

Personvernaktivisten Maximillian Schrems var imidlertid misfornøyd med ordningen, da han mente at amerikanske selskaper ikke kunne garantere at de overholdt kravene i GDPR ettersom USA har nasjonale lover som strider med prinsippene i GDPR. Dette innebærer blant annet lover som gjør det mulig for amerikanske myndigheter å få innsikt i personopplysninger, hvis de f.eks. mistenker terrorisme. 
 
Schrems valgte å spesifikt rette en klage mot Facebook, som flytter data fra sin irske avdeling til USA via Privacy Shield-avtalen (Facebook i Irland og Facebook i USA er to separate selskaper). Dette betyr at persondataen til europeiske brukere kan havne i USA. Max Schrems er misfornøyd med dette, da han mener at Facebook ikke kan garantere at de overholder kravene i GDPR når de håndterer personopplysninger i USA. Det er denne klagen som EU-domstolen nå har fattet en avgjørelse om. EU-domstolen har kommet med en dom i Schrems’ favør som ugyldiggjør Private Shield-avtalen med umiddelbar virkning. Dette påvirker ikke bare Facebook, men alle selskaper som er en del av ordningen. Privacy Shield-avtalen er ikke lenger et gyldig grunnlag for overførsel av persondata til USA.  
 
Du kan lese dommen til EU-domstolen her: EU Court of Justice. 

 

Dette er ikke første gang en slik avtale har blitt ugyldiggjort 

Dette er ikke første gang en lignende avtale om personvern har blitt ugyldiggjort. Privacy Shield-avtalen var et direkte resultat av ugyldiggjørelsen av en tidligere avtale, nemlig «Safe Harbor»-avtalen fra 2015. Den gangen var det også Max Schrems som klagde på avtalen og sikret en ny avgjørelse. Privacy Shield-avtalen skulle være løsningen på problemene med Safe Harbor, men det ble tydeligvis ikke tilfellet. Vi er nå i en situasjon hvor personopplysninger ikke kan overføres til USA, hverken gjennom Safe Harbor eller Privacy Shield-avtalen, og det finnes ingen åpenbar ny løsning. 

Smart CTA_e-book NO
 

Påvirker avgjørelsen din organisasjon? 

Svaret er: Ja! 
 
Hvis organisasjonen din har amerikanske databehandlere eller partnere som bruker amerikanske databehandlere, vil dette påvirke deg. Og hvem er ikke på en eller annen måte involvert i tjenester levert av f.eks. Microsoft, Google, Amazon, e.l.? Det er vanskelig for alle å unngå de store amerikanske teknologigigantene. De fleste organisasjoner er så integrerte med amerikanske tjenester at det ville være veldig dyrt å avslutte samarbeidet.  
Vi har noen tips til hvordan du sikrer at din bedrift overholder kravene i GDPR. Det er viktig at bedriften din er varsom med dataoverførsler, da dette kan bli en vanlig årsak for GDPR-bøter.  

 

Bør jeg avslutte samarbeidet med alle amerikanske databehandlere? 

Vi vet ennå ikke spesifikt hvordan avgjørelsen vil påvirke bedrifter. Faktum er imidlertid at det ikke lenger er lovlig å eksportere data til USA med Privacy Shield-avtalen som grunnlag. Alle bedrifter kan likevel ikke med dags virkning slutte å benytte seg av amerikanske tjenester. Vi har derfor havnet i et limbo, hvor vi må vente og se hva som skjer videre. Spørsmålet er om det vil bli opp til de enkelte bedrifter å finne en løsning, eller om vi trenger en løsning på politisk nivå. 
 
Hvis løsningen finnes blant bedriftene og organisasjonene, betyr dette at amerikanske selskaper må leve opp til de samme kravene som andre tredjepartsland. Det vil si at du som er ansvarlig for databehandling må kunne garantere at databehandleren din kan leve opp til kravene i GDPR. Dette legger en stor mengde arbeid på skuldrene til alle bedrifter med amerikanske databehandlere, da den individuelle bedrift selv må utføre risikovurderingen fra bunnen av og føre tilsyn med disse selskapene. Men, hvordan kan du forvente å nå en annen konklusjon i din risikovurdering enn den som EU-domstolen nådde, nemlig det åpenbare faktum at selskapene ikke kan garantere å oppfylle kravene?  

Og hva gjør man hvis man ikke lenger kan bruke f.eks. Office365? Finnes det i det hele tatt et alternativ? Det er mange vanskelige spørsmål, og den nye dommen gjør det umiddelbart vanskelig å se hvordan det vil være mulig å bruke amerikanske selskaper som databehandlere. 

 

En politisk løsning? 

Det er også vanskelig forutse hvordan en politisk løsning ville sett ut. Skal det være tette brannmurer mellom EU og USA? Skal det innføres sanksjoner mot amerikanske selskaper, eller skal løsningen finnes et helt annet sted? Det virker usannsynlig at EU vil løsne på GDPR-lovgivningen for å imøtekomme USAs utilstrekkelige lovgivning. Det virker også lite sannsynlig at USA vil droppe sine overvåkningslover som gjør det mulig for staten å få innsikt i amerikanske selskapers data.  

Det er vanskelig å se for seg hva konsekvensene vil være dersom man ikke finner en god løsning på problemet. I praksis vil det bli ulovlig å overføre persondata til USA, og muligheten for at det ikke finnes en brukbar løsning er en dyster tanke.  

 

Hva nå? 

Det kan være aktuelt for deg å undersøke om advokatene dine har anbefalinger for hvordan du skal håndtere situasjonen. 
 
Per dags dato gir dommen oss flere spørsmål enn svar. Det eneste som er sikkert er at kjennelsen har kastet en bombe inn i det digitale samarbeidet mellom EU og USA. Det er kanskje ikke annet å gjøre enn å trekke pusten dypt og vente på anbefalinger fra Det Europeiske Personvernrådet, som analyserer konsekvensene av avgjørelsen. Det er imidlertid en god idé å forberede seg på hva konsekvensene for din bedrift vil være dersom du må finne nye IT-leverandører eller behandle disse leverandørene som andre tredjepartsland. 
Det kan f.eks. innebære å forholde seg avventende til innkjøp av nye tjenester, og å sette prosjekter som knytter bedriften din nærmere amerikanske databehandlere på pause.