Privacy Shield ugyldiggjort i Schrems II-dommen

Privacy Shield-avtalen mellom USA og EU/EØS er opphevet – hva nå?

Rammeverket som sikrer at GDPR også overholdes når personopplysningene overføres til USA, ble nylig kjent ugyldig av EU-domstolen. Retten fant at personopplysningene ikke får god nok beskyttelse i USA. Hvordan påvirker dette kunnskapssektoren, og hva må gjøres?

Skrevet av: Rolf Sture Normann, CISO, Uninett AS

Bakgrunn

EU-US Privacy Shield er et rammeverk som ble utarbeidet for å sikre at rettighetene man har under GDPR også gjelder når disse personopplysningene blir overført til USA. Ordningen skulle i tillegg regulere amerikanske myndigheters tilgang til opplysningene, og eventuell tilgang skulle underlegges klare betingelser og tilsyn.

Privacy Shield erstattet den tidligere ordningen, Safe Harbour, i 2016. Safe Harbour ble underkjent av den europeiske domstol fordi man ikke lenger stolte på at europeiske personopplysninger fikk den samme beskyttelse når de ble overført til USA som de har under GDPR. Det samme har nå altså skjedd med Privacy Shield i den mye omtalte Schrems II-dommen.

I dag er det svært mange offentlige aktører som benytter seg av tjenester som overfører personopplysninger til tredjeland, og spesielt amerikanske selskaper. Mange lurer nå på hvordan man skal forholde seg til dommen og hvordan den bør følges opp.

 

Schrems II-dommens funn

Dommen fant at myndigheten til de amerikanske etterretningstjenestene og den juridiske usikkerheten knyttet til virksomheten de bedriver er for stor. På grunn av USAs nasjonale lovgiving kan man altså ikke garantere for et tilstrekkelig beskyttelsesnivå av personopplysningene.

Dette er lovene som gjør at personopplysningene ikke er godt nok beskyttet når de overføres til USA:

  • Foreign Intelligence Surveillance Act (FISA) s. 702 gir etterretningstjenester mulighet til å foreta overvåkningstiltak og gir ingen garantier for ikke-amerikanske innbyggere.
  • Presidential Policy Directive 28 (PPD-28) er et direktiv utstedt av presidenten og fastsetter krav for hele det amerikanske etterretningssamfunnet. Domstolen fant at direktivet ikke gir effektive tiltak mot inngripen fra amerikanske myndigheter.
  • Executive Order 12333 (E.O. 12333) gir mulighet til å overvåke privat kommunikasjon uten samtykke gjennom innhenting av data fra leverandører av kommunikasjonstjenester (inkl. sky-tjenester) og gjennom tilgang til de transatlantiske kablene for dataoverføring som forbinder Europa til Nord-Amerika.
  • Ombudsmannen for Privacy Shield er ikke tilstrekkelig uavhengig.

 

Alternativ til Privacy Shield – EUs standardkontrakter (SCC)

GDPR art. 44 til 49 slår fast at det ikke er tillat å overføre personopplysninger til land utenfor EU/EØS med mindre du har et gyldig overføringsgrunnlag. Privacy Shield var et slikt gyldig grunnlag for bedrifter i USA som underordnet seg Privacy Shield-rammeverket. Dette overføringsgrunnlaget kan man altså ikke lenger benytte.

Et annet overføringsgrunnlag som kan benyttes ved overføring til land utenfor EU/EØS, er EUs standardkontrakter (SCC – Standard Contractual Clauses). Dette er imidlertid en kontraktsrettslig overføringsmekanisme og amerikanske myndigheter er ikke bundet av disse kontraktene. Dermed er man avhengig av å finne ytterligere tiltak som gjør overføringen og lagringen trygg. For eksempel ved sterk kryptering.

Man kan med andre ord benytte Standardkontraktene til EU dersom man sikrer at overføring og lagring av personopplysningene er beskyttet mot innsyn fra amerikanske myndigheter.

 

Hva sier Kunnskapsdepartementet og Datatilsynet?

Kunnskapsdepartementet har sendt et brev til Kommunal- og moderniseringsdepartementet hvor de spør om mer informasjon om hvordan man skal forholde seg til denne dommen og hvordan den bør følges opp.

Kunnskapsdepartementet spør også om det vil bli utarbeidet nasjonale føringer for tiltak som skal iverksettes for å oppnå et tilstrekkelig beskyttelsesnivå ved overføring til tredjeland.

Datatilsynet på sin side uttaler at «Det vil si at det på nåværende tidspunkt er svært utfordrende å overføre personopplysninger til slike tredjeland, og i praksis vil det nok for de fleste ikke være mulig å gjennomføre». I dag er det svært mange offentlige aktører som benytter seg av tjenester som overfører personopplysninger til tredjeland, og spesielt store amerikanske selskaper. Dersom disse aktørene ikke kan garantere at de kan overholde kravene i GDPR, er Datatilsynets vurdering at systemene ikke kan brukes.

LES MER: Datatilsynet om Privacy Shield og Schrems II-dommen

 

Hva gjør Uninett AS?

I påvente av nærmere avklaringer fra myndighetene jobber Uninett AS nå med å skaffe oversikt over hvilke av våre tjenester som kan være berørt av dommen. Vi vil komme tilbake med nærmere informasjon så fort det lar seg gjøre.

Unit jobber også med å få oversikt over hvilke av sektorens fellestjenester som kan være berørt.

 

Hva bør dere gjøre?

1. Skaff oversikt over tjenester som sender personopplysninger til USA

Dersom dere benytter andre digitale tjenester enn de som leveres av Uninett AS eller Unit, råder vi kundene våre til å skaffe seg oversikt over hvilke dette gjelder og om noen av disse inneholder personopplysninger som overføres til USA. Vær obs på at det kan være at dere benytter en databehandler som igjen bruker en annen underdatabehandler som holder til i USA osv.

2. Undersøk om overføringsgrunnlaget er gyldig

Hvis dere finner at noen av disse tjenestene sender data til USA, må dere vurdere hvilket overføringsgrunnlag som er benyttet. Dersom det er Privacy Shield som er brukt, må dere finne alternative løsninger som gir gyldig overføringsgrunnlag og sikre at tilstrekkelig beskyttelsesnivå kan gjennomføres i praksis. Dersom dette ikke er mulig, er overføringen av personopplysninger til USA ulovlig.

Et alternativ er å benytte EUs standardkontrakter, forutsatt at det kan etableres ytterligere tiltak som beskytter personopplysningene like sterkt som i EU/EØS under GDPR.

Det europeiske personvernrådet (EDPB) jobber med å utrede hva slike «ytterligere tiltak» kan innebære for at standardkontraktene skal kunne gjelde i USA.

3. Vent med å inngå nye avtaler til inntil ny info har kommet

Det kan også være lurt å vente med å inngå nye avtaler som medfører overføring av personopplysninger til tredjeland, spesielt USA i denne sammenheng, inntil det har kommet mer informasjon i denne saken.