Overføring av personopplysninger i kjølvannet av Schrems II

Den 16. juli 2020 avsa EU-domstolen dom i den såkalte Schrems II-saken, hvor domstolen ugyldiggjorde Privacy Shield som grunnlag for overføring av personopplysninger. Domstolen presiserte også de plikter behandlingsansvarlige og databehandlere har til å vurdere bruken av EUs standardkontrakter og andre overføringsgrunnlag.

Før overføring til land utenfor EU/EØS (såkalte «tredjeland») må mottakeren ha gitt «nødvendige garantier» og de registrerte må kunne håndheve rettigheter og benytte effektive rettsmidler, jf. personvernforordningen artikkel 46 (2). Dette kan sikres ved å blant annet benytte et overføringsgrunnlag, eksempelvis EUs standardkontrakter eller bindende virksomhetsregler for overføring innad i et konsern.

Frem til EU-domstolens avgjørelse var det også mulig å overføre personopplysninger fra EU/EØS til USA på grunnlag av EU-U.S Privacy Shield («Privacy Shield»), en sertifiseringsordning hvor amerikanske selskaper kunne sertifiseres for å motta personopplysninger fra et EU/EØS-land.

I Schrems II kom EU-domstolen til at Privacy Shield ikke tilfredsstilte kravene etter det EU-rettslige proporsjonalitetsprinsippet. Avgjørende for domstolen var at amerikanske overvåkningsprogrammer ikke er begrenset til det som strengt tatt er nødvendig. Det ble også lagt vekt på at europeiske borgere ikke har tilstrekkelig mulighet til å få overprøvd beslutningene om overvåkning.

EU-domstolen fant at EUs standardkontrakter fortsatt er et gyldig overføringsgrunnlag, forutsatt at opplysningene kan gis et beskyttelsesnivå i mottakerlandet som i hovedsak tilsvarer det som garanteres i EU/EØS gjennom personvernforordningen. Domstolen presiserte at plikten til å vurdere mottakerlandets beskyttelsesnivå ikke er begrenset til EUs standardkontrakter, men gjelder for alle overføringsgrunnlag.

Den som overfører personvernopplysninger må sjekke, vurdere og evt. iverksette tiltak

I lys av dommen må den som allerede overfører eller vurderer å overføre personopplysninger til tredjeland kartlegge hvilket overføringsgrunnlag som benyttes eller skal benyttes. Hvis ikke dette er klart for eksisterende overføringer bør eksisterende databehandleravtaler eller overføringsavtaler gjennomgås umiddelbart.

Hvis det er avtalt at Privacy Shield skal benyttes for overføring til USA må man uten ugrunnet opphold ta kontakt med mottakeren og få på plass en avtale om å benytte et annet overføringsgrunnlag.

Uavhengig av om man allerede overfører personopplysninger utenfor EU/EØS eller vurderer å gjøre det, må man vurdere om mottakerlandets beskyttelsesnivå faktisk er tilsvarende som i EU/EØS. Den som mottar opplysningene utenfor EU/EØS kan være underlagt lovgivning som er i strid med og går foran forpliktelsene etter overføringsgrunnlaget, eksempelvis ved å gi myndighetene i tredjeland uforholdsmessig stor adgang til dataene.

Det kan også være andre omstendigheter som reduserer beskyttelsesnivået, eksempelvis at de registrertes rettigheter ikke vil kunne ivaretas i praksis. Det europeiske Personvernrådet (EDPB) kom den 10. november med en veileder for hvordan man skal vurdere overvåkingslover i et mottakerland og hvilken betydning slike lover kan ha for personopplysningenes beskyttelsesnivå.

Dersom man finner at beskyttelsesnivået ikke vil være tilsvarende som i EU/EØS, må man iverksette «ytterligere tiltak» som sikrer et tilsvarende beskyttelsesnivå. EUs personvernråd (EDPB) publiserte den 11. november en veileder med eksempler på slike tiltak. Hvilke ytterligere tiltak som kan og bør iverksettes må vurderes konkret og nedfelles skriftlig. Det kan være kontraktuelle, tekniske eller organisatoriske tiltak. Hvis man ikke klarer å gjennomføre denne vurderingen selv bør man vurdere å innhente ekstern bistand eller avstå fra overføringen.

Alexander Mollan tar opp samme tema i Brækhus’ podkast Lovlytt.

.