Schrems II

Før overføring av personopplysninger til land utenfor EU/EØS (såkalte «tredjeland») må mottakeren ha gitt «nødvendige garantier» og de personer som personopplysningene gjelder må kunne håndheve rettigheter og benytte effektive rettsmidler, jf. personvernforordningen artikkel 46 (2). Dette kan sikres ved å blant annet benytte et overføringsgrunnlag, eksempelvis EUs standardkontrakter eller bindende virksomhetsregler for overføring innad i et konsern.

Les også: Overføring av personopplysninger i kjølvannet av Schrems II

Frem til EU-domstolens avgjørelse i Schrems II var det også mulig å overføre personopplysninger fra EU/EØS til USA på grunnlag av EU-U.S Privacy Shield («Privacy Shield»), en sertifiseringsordning hvor amerikanske selskaper kunne sertifiseres for å motta personopplysninger fra et EU/EØS-land.

I Schrems II kom EU-domstolen til at Privacy Shield ikke tilfredsstilte kravene etter det EU-rettslige proporsjonalitetsprinsippet. Avgjørende for domstolen var at amerikanske overvåkningsprogrammer ikke er begrenset til det som er strengt nødvendig. Det ble også lagt vekt på at europeiske borgere ikke har tilstrekkelig mulighet til å få overprøvd beslutningene om overvåkning. EU-domstolen valgte derfor å ugyldiggjøre Privacy Shield som overføringsgrunnlag.

Hva gjelder EUs standardkontrakter kom EU-domstolen til at disse fortsatt var et gyldig overføringsgrunnlag, men at bruken av dette grunnlaget ikke i seg selv var tilstrekkelig for å gjennomføre en gyldig overføring. EU-domstolen oppstilte derfor et tilleggskrav om at den som overfører personopplysninger må vurdere hvorvidt at mottakerlandets lovgivning sikrer personopplysningene et beskyttelsesnivå som i hovedsak tilsvarer det som garanteres i EU/EØS gjennom personvernforordningen. Hvis det ikke er tilfellet, må den som overfører opplysningene vurdere om det kan implementeres «ytterligere tiltak» (f.eks. sikkerhetstiltak) som sikrer et slikt beskyttelsesnivå. Hvis det likevel ikke er mulig å sikre et slikt tilsvarende beskyttelsesnivå, kan ikke personopplysningene overføres.

Trans-Atlantic Data Privacy Framework

EU-kommisjonen og amerikanske myndigheter har foreløpig offentliggjort få detaljer om rammeverket. Det vi vet er at rammeverket skal muliggjøre for fri flyt av personopplysninger mellom EU og kvalifiserte amerikanske selskaper som er villige til å forplikte seg til rammeverkets krav ved selvsertifisering.

Rammeverket vil også inkludere bindende regler som er ment å begrense amerikanske etterretningsmyndigheters tilgang til personopplysninger til det som er nødvendig og proporsjonalt for å beskytte nasjonal sikkerhet. Nevnte myndigheter vil også bli underlagt prosedyrer for å sikre effektivt tilsyn med nye personvernkrav.

Det vil også bli innført et ny to-instans klageinstitutt for å behandle klager fra europeiske borgere på amerikanske myndigheters tilgang til deres personopplysninger, inkludert opprettelsen av en amerikansk personverndomstol (Data Protection Review Court).

Til sist vil rammeverket inneholde konkrete kontroll- og revisjonsmekanismer som er ment å sikre overholdelse av rammeverkets krav.

Veien videre

Trans-Atlantic Data Privacy Framework er foreløpig kun en politisk enighet. EU-kommisjonen og amerikanske myndigheter skal nå nedfelle denne enigheten i juridisk bindende dokumenter. De amerikanske forpliktelsene vil bli inkludert i en Executive Order som vil gis av USAs president og som i sin tur vil danne grunnlaget for et utkast til adekvansbeslutning fra EU-kommisjonen. Dernest skal EUs personvernråd rådføres før EU-kommisjonen vedtar beslutningen og rammeverket kan tre i kraft.

Det er ventet at arbeidet med å få på plass dette rammeverket vil ta en del tid. I mellomtiden må enhver virksomhet som ønsker å overføre personopplysninger til USA måtte forholde seg til gjeldende krav om overføringsgrunnlag, samt vurdering av tilsvarende beskyttelsesnivå og behovet for eventuelle ytterligere tiltak.

EU-kommisjonen og amerikanske myndigheter har foreløpig delt et spartansk faktaark om rammeverket, hvor det trekkes frem at rammeverket skal gi «Adequate protection of Europeans’ data transferred to the US, addressing the ruling of the European Court of Justice (Schrems II)» samt at rammeverket skal utgjøre et «Durable and reliable legal basis» for overføring av personopplysninger. Dette er ikke tilfeldig ordlyd. Tidligere ordninger for overføring av personopplysninger til USA har som kjent ikke overlevd tidens tann.

En som følger nøye med på rammeverket er personvernaktivisten Maximillian Schrems. Schrems står bak begge dommene fra EU-domstolen som veltet rammeverkets to forgjengere, Safe Harbour og Privacy Shield. I tillegg har Schrems’ organisasjon None of Your Business (noyb) sendt 103 klager til europeiske datatilsyn på Google Analytics og Facebook Ads grunnet nevnte selskapers overføring av opplysninger til USA. På tidspunktet for denne artikkelen har to datatilsyn kjent bruk av Google Analytics ulovlig. Angående rammeverket har Schrems via noyb foreløpig uttalt at de vanskelig kan se at rammeverket kan bestå proporsjonalitetstesten etter Schrems II-dommen, idet rammeverket ikke innebærer en endring av USAs overvåkingslover. Noyb har varslet at de venter å kunne bringe rammeverket inn før EU-domstolen i løpet av et par måneder fra at rammeverket har trådt i kraft.

Vi får håpe at EU og USA nå har blitt enige om et rammeverk som tilfredsstiller kravene etter personvernforordningen og EU-domstolen. Brækhus vil uansett følge nøye med på utviklingen, i likhet med Schrems selv.