Overføring av personopplysninger i kjølvannet av Schrems II

Overføring av personopplysninger i kjølvannet av Schrems II

Den 16. juli 2020 avsa EU-domstolen dom i den såkalte Schrems II-saken, hvor domstolen ugyldiggjorde Privacy Shield som grunnlag for overføring av personopplysninger. Domstolen presiserte også de plikter behandlingsansvarlige og databehandlere har til å vurdere bruken av EUs standardkontrakter og andre overføringsgrunnlag.

Før overføring til land utenfor EU/EØS (såkalte «tredjeland») må mottakeren ha gitt «nødvendige garantier» og de registrerte må kunne håndheve rettigheter og benytte effektive rettsmidler, jf. personvernforordningen artikkel 46 (2). Dette kan sikres ved å blant annet benytte et overføringsgrunnlag, eksempelvis EUs standardkontrakter eller bindende virksomhetsregler for overføring innad i et konsern.

Frem til EU-domstolens avgjørelse var det også mulig å overføre personopplysninger fra EU/EØS til USA på grunnlag av EU-U.S Privacy Shield («Privacy Shield»), en sertifiseringsordning hvor amerikanske selskaper kunne sertifiseres for å motta personopplysninger fra et EU/EØS-land.

I Schrems II kom EU-domstolen til at Privacy Shield ikke tilfredsstilte kravene etter det EU-rettslige proporsjonalitetsprinsippet. Avgjørende for domstolen var at amerikanske overvåkningsprogrammer ikke er begrenset til det som strengt tatt er nødvendig. Det ble også lagt vekt på at europeiske borgere ikke har tilstrekkelig mulighet til å få overprøvd beslutningene om overvåkning.

EU-domstolen fant at EUs standardkontrakter fortsatt er et gyldig overføringsgrunnlag, forutsatt at opplysningene kan gis et beskyttelsesnivå i mottakerlandet som i hovedsak tilsvarer det som garanteres i EU/EØS gjennom personvernforordningen. Domstolen presiserte at plikten til å vurdere mottakerlandets beskyttelsesnivå ikke er begrenset til EUs standardkontrakter, men gjelder for alle overføringsgrunnlag.

Den som overfører personvernopplysninger må sjekke, vurdere og evt. iverksette tiltak

I lys av dommen må den som allerede overfører eller vurderer å overføre personopplysninger til tredjeland kartlegge hvilket overføringsgrunnlag som benyttes eller skal benyttes. Hvis ikke dette er klart for eksisterende overføringer bør eksisterende databehandleravtaler eller overføringsavtaler gjennomgås umiddelbart.

Hvis det er avtalt at Privacy Shield skal benyttes for overføring til USA må man uten ugrunnet opphold ta kontakt med mottakeren og få på plass en avtale om å benytte et annet overføringsgrunnlag.

Uavhengig av om man allerede overfører personopplysninger utenfor EU/EØS eller vurderer å gjøre det, må man vurdere om mottakerlandets beskyttelsesnivå faktisk er tilsvarende som i EU/EØS. Den som mottar opplysningene utenfor EU/EØS kan være underlagt lovgivning som er i strid med og går foran forpliktelsene etter overføringsgrunnlaget, eksempelvis ved å gi myndighetene i tredjeland uforholdsmessig stor adgang til dataene.

Det kan også være andre omstendigheter som reduserer beskyttelsesnivået, eksempelvis at de registrertes rettigheter ikke vil kunne ivaretas i praksis. Det europeiske Personvernrådet (EDPB) kom den 10. november med en veileder for hvordan man skal vurdere overvåkingslover i et mottakerland og hvilken betydning slike lover kan ha for personopplysningenes beskyttelsesnivå.

Dersom man finner at beskyttelsesnivået ikke vil være tilsvarende som i EU/EØS, må man iverksette «ytterligere tiltak» som sikrer et tilsvarende beskyttelsesnivå. EUs personvernråd (EDPB) publiserte den 11. november en veileder med eksempler på slike tiltak. Hvilke ytterligere tiltak som kan og bør iverksettes må vurderes konkret og nedfelles skriftlig. Det kan være kontraktuelle, tekniske eller organisatoriske tiltak. Hvis man ikke klarer å gjennomføre denne vurderingen selv bør man vurdere å innhente ekstern bistand eller avstå fra overføringen.

Alexander Mollan tar opp samme tema i Brækhus’ podkast Lovlytt.

.

Alexander Mollan har oppnådd den prestisjetunge akkrediteringen CIPP/E

Alexander Mollan har oppnådd den prestisjetunge akkrediteringen CIPP/E

Brækhus er stolte av å kunngjøre at Alexander Mollan har oppnådd den internasjonale akkrediteringen Certified Information Privacy Professional/Europe (CIPP/E) fra The International Association of Privacy Professionals (IAPP).

CIPP/E er gullstandarden for europeisk personvernlovgivning. Akkrediteringen er garantert av The American National Standards Institute (ANSI) under ISO standard 17024: 2012.

Alexander fikk CIPP-betegnelsen etter å ha bestått Certification Foundation og CIPP/E-eksamen, hvor han måtte demonstrerte ekspertkunnskap om:

  • Europeisk personvern
  • Europeiske myndigheter
  • Rettslige rammeverk
  • Overholdelse av europeisk personvernlovgivning
  • Internasjonale dataoverføringer

Ved å bli sertifisert slutter seg Alexander til en eksklusiv gruppe av CIPP-sertifiserte advokater, da innehavere av sertifiseringen primært finnes blant rekkene til personvernombud, Chief Privacy Officers og spesialister på informasjonsteknologi og informasjonssikkerhet.

IAAP er den største interesseorganisasjonen for personvern, med mer enn 50.000 medlemmer på verdensbasis. Organisasjonen gir veiledning til organisasjoner om håndtering og beskyttelse av data og tilbyr ressurser for fagfolk som ønsker en dypere forståelse av personvernrelaterte spørsmål.

For å lære mer om CIPP-sertifisering, besøk IAPPs nettssted.