En svært viktig avgjørelse fra Europas øverste domstol har nettopp blitt avsagt. Den gjør overføringsmekanismen som eksisterte mellom Europa og USA, kalt EU-US Privacy Shield ugyldig. Kort sagt konkluderer domstolen med at EU-US Privacy Shield-avtalen ikke i tilstrekkelig grad ivaretar europeiske borgeres rett til personvern når deres data er blitt overført til USA i rollen som tredjeland.

For at personopplysninger skal kunne føres ut av Europa, har personvernforordningen et sett med overføringsgrunnlag, som gir et rettslig grunnlag for overføringen. Frem til nå har et av disse grunnlagene vært det såkalte EU-US Privacy Shield, som baserer seg på at Europakommisjonen har vedtatt et rammeverk som sikrer et tilstrekkelig beskyttelsesnivå ved overføring av personopplysninger fra Europa til USA. Denne kommisjonsbeslutningen har gjort det enkelt for virksomheter å basere sin overføring på dette grunnlaget, fordi amerikanske selskaper som slutter seg til avtaleverket dermed forplikter seg til å følge særlige regler for beskyttelse av personopplysninger.

Et annet overføringsgrunnlag som er relevant i denne saken er standardbestemmelser, også kjent som «EU Model Clauses». Dette er en avtale som angir hvilket vern den som mottar opplysningene skal sørge for. Signering av en slik kontrakt forplikter altså dataimportøren seg til å behandle opplysningene i samsvar med de kravene som gjelder innenfor EU og EØS-området. Dette brukes ofte som overføringsgrunnlag til andre land, eller der en amerikansk tjenestetilbyder ikke er Privacy Shield sertifisert.

Amerikansk innhenting    

Et knippe amerikanske regelverk, blant annet CLOUD Act, gjør det mulig for Amerikanske sikkerhets- og justismyndigheter å innhente opplysninger som Amerikanske selskaper behandler, for eksempel når de lagres i sky. Innhenting fra tjenesteleverandører er ikke i seg selv uvanlig og kan sammenlignes med telefonavlytting. Vi har for eksempel fått ny lov om etterretningstjenesten her hjemme. Slik innhenting må imidlertid være underlagt mekanismer som beskytter individets rett til privatliv og kommunikasjonsvern. Det er i avviket mellom disse mekanismene i USA kontra EU at risikoen for personvernet oppstår. De Amerikanske domstolene som godkjenner slik innhenting, har lav grad av transparens og få praktiske rettsmidler for den det gjelder. Innhentingen foregår som regel skjult, med svakere kriterier for målretting og videre bruk av opplysningene enn det som forventes i Europeiske land. Denne type innhenting gjør at Europeeres rettssikkerhet utfordres når opplysninger overlates til amerikanske tjenesteleverandører og har vært et betent tema i flere år. Dagens dom representerer en relativt dramatisk utvikling i denne sagaen.

Avgjørelsen  

Saken – kjent som Schrems II – angår en kollisjon mellom to veldig forskjellige juridiske regimer relatert til personopplysninger. USA sin prioritering av digital overvåking kolliderer direkte med europeiske grunnleggende rettigheter som blant annet gir borgerne rett til personvern og privatliv. Advokat og menneskerettsaktivist Maximilian Schrems fremmet klage overfor irske myndigheter som følge av at personopplysninger som ble samlet inn av Facebook´s irske datterselskap ble overført til USA uten den registrertes samtykke. Selv om saken direkte rammer Facebook´s behandlinger av personopplysninger, er det likevel helt klart at avgjørelsen fører med seg store endringer for alle tjenesteleveranser fra USA til Europa.

Privacy Shield-avtalen har til formål å sikre at personopplysninger som overføres fra Europa til en virksomhet lokalisert i USA, forutsatt at den aktuelle virksomhet som foretar behandling av personopplysninger, opptrer i henhold til strenge regler og sikringstiltak. Domstolen har kommet frem til at kravene til USAs nasjonale sikkerhet, allmenne interesser og etterretningstjenesten går foran europeiske borgeres grunnleggende rettigheter hva angår personvern når europeiske selskaper har overført personopplysninger til amerikanske databehandlere. Ettersom USA prioriterer egen nasjonal sikkerhet og etterretning foran EU-borgeres grunnleggende rettigheter, anser domstolen det slik at avtalen ikke når opp til den nødvendige juridiske standarden som følger av personvernforordningen.

Dommen påpeker videre de utfordringene virksomheter får ved benyttelse av standardbestemmelser som overføringsgrunnlag til USA. Dette fordi de avtalemessige forpliktelsene mellom partene ikke forhindrer Amerikanske myndigheter fra å drive innhenting på samme måte som ved bruk av Privacy Shield.

Konsekvenser  

Konsekvensen av dagens dom er at mange står uten gyldig overføringsgrunnlag etter Personopplysningsloven/GDPR for de tjenestene de benytter seg av og behandlingene de utfører. Det er i seg selv dramatisk og nødvendiggjør en rask regulatorisk respons fra EU og/eller USA.  Det antas lite sannsynlig at USA vil gjøre vesentlige endringer i sin etterretningsvirksomhet i nær fremtid. Per i dag kan man kun spekulere, men det kan tenkes at man får på plass overgangsregler fra europeisk side og deretter forsøker å løse floken med amerikansk innhenting en gang for alle. Uansett fremstår det som klart at samtlige offentlige og private virksomheter som benytter seg av amerikanske tjenesteleverandører må skaffe oversikt og forberede seg på avtalemessige og eventuelt praktiske endringer hva gjelder disse.

Hva bør vi foreta oss?    

Nedenfor følger en kort sjekkliste over hva din virksomhet bør gjøre i påvente av praktiske endringer:

1. Skaff deg en oversikt over amerikanske tjenesteleverandører og databehandlere samt andre tjenesteleverandører utenfor EU, samt hvilke overføringsgrunnlag som er benyttet.
2. Vurder om noen av disse tjenestene/databehandlerne kan unnværes eller endres.
3. Vurder å holde tilbake eller utsette investeringer, tjenesteomlegging eller utvikling med amerikanske leverandører, da det vil komme ytterligere endringer som vil påvirke forholdet.

Her kan du lese pressemeldingen og selve dommen.