Schrems II: Slik håndterer din bedrift de nye kravene

22/11/21

Maria Fonneløp Inderberg, Mats Ruge Holte og Christine Ask Ottesen, ekspert på personvern i PwC, har fulgt nøye med på utviklingen knyttet til deling av personopplysninger og konsekvensene av Schrems II-dommen.

Maria Fonneløp Inderberg, Mats Ruge Holte og Christine Ask Ottesen, eksperter på personvern i PwC, har fulgt nøye med på utviklingen knyttet til deling av personopplysninger og konsekvensene av Schrems II-dommen.

Den mye omtalte Schrems II-dommen som kom sommeren 2020 har ført til mye usikkerhet. Det ble lagt til grunn at europeiske virksomheter ikke uten videre kan overføre personopplysninger til blant annet USA. Så hvordan kan virksomheter holde seg innenfor regelverket når de overfører personopplysninger til land utenfor EU/EØS?

Schrems II-problematikken i et nøtteskall

Overføring av personopplysninger til land utenfor EU/EØS

Overføring av personopplysninger til land utenfor EU/EØS, såkalte tredjeland, krever ikke bare at det finnes et rettslig grunnlag for behandlingen av personopplysninger. I tillegg skal det også foreligge et såkalt «overføringsgrunnlag». Årsaken er at personopplysningene vil forsvinne ut av beskyttelsesboblen GDPR har gitt oss i EU/EØS. Vi må derfor iverksette tiltak for å sikre at beskyttelsen ikke blir vannet ut, eller i verste fall blir helt borte når opplysningene forlater EU/EØS. 

De mest brukte overføringsgrunnlagene har frem til sommeren 2020 vært Privacy Shield og EUs standardavtaler ("SCCs"). 

  • Privacy Shield var en avtale mellom EU-kommisjonen og USA, som kort og godt la til grunn at USA ga europeiske personopplysninger et beskyttelsesnivå vi kunne akseptere fra et europeisk ståsted; altså et beskyttelsesnivå som i det vesentlige svarer til GDPR. 
  • SCCs er et avtaleverk hvor dataimportøren i mottakerlandet påtar seg visse plikter og ansvar for å sikre et beskyttelsesnivå som svarer til det som er påkrevd under GDPR. SCC-ene inneholder faktisk alle krav til en databehandleravtale, men har noen tilleggsklausuler som tar høyde for at personopplysninger forsvinner ut av "GDPR-boblen". Det er verdt å ta med seg at det kom nye SCC-er i juni 2021, og at alle virksomheter nå er pålagt å bruke disse ved alle fremtidige avtaleinngåelser. Utbytting av SCC-er for eksisterende avtaleforhold må skje senest innen desember 2022. 

Schrems II-dommen setter en ny standard

Den 16. juli 2020 kom den såkalte «Schrems II»-dommen. EU-domstolen vurderte om Facebook brøt reglene i GDPR i forbindelse med at Facebook overførte personopplysninger om europeiske brukere til USA. Dommen har betydning for all overføring av personopplysninger fra land i EU til land utenfor EU.

For det første kom EU-domstolen frem til at Privacy Shield var et ugyldig overføringsgrunnlag. Begrunnelsen var at USAs overvåkningspraksis og regelverk strider mot flere av reglene i har i GDPR og EU-charteret. Konsekvensen er at all overføring basert på Privacy Shield har vært ulovlig siden Privacy Shield ble vedtatt i 2016. 

For det andre la domstolen til grunn at SCCs ikke uten videre er et gyldig overføringsgrunnlag. I noen tilfeller, for eksempel ved overføring av personopplysninger til USA, vil det være nødvendig å implementere ytterligere beskyttelsestiltak som er egnet til å mitigere risikoene som følger med et utilstrekkelig beskyttelsesnivå i landet man overfører personopplysninger til.

Rettens resonnement knyttet til SCCs, herunder at partene ofte må innføre ytterligere beskyttelsestiltak, vil gjelde på samme måte ved bruk av BCRs, eller bindende virksomhetsregler, som overføringsgrunnlag.

Schrems II-dommen har altså satt en ny standard: Adgangen til å overføre personopplysninger til tredjeland vil i tiden fremover stå og falle på inngående og komplekse kartlegginger og risikovurderinger.

Hvem får dette konsekvenser for?

Alle virksomheter skal ha en oversikt over hvilke personopplysninger man samler inn, bruker og deler i kraft av å være behandlingsansvarlig

Hvis man overfører noen av disse til tredjeland, for eksempel fordi man har en HR-avdeling i Singapore eller en skybasert mailløsning, er man berørt av Schrems II-avgjørelsen. Ansvaret for å overholde reglene for overføring av personopplysninger til tredjeland (og GDPR for øvrig) ligger på den behandlingsansvarlige.

Hvordan gå frem for å sikre lovlig overføring av personopplysninger?

Det europeiske personvernrådet (EDPB) publiserte den 10. november 2020 utkast til retningslinjer for hvordan virksomheter og organisasjoner skal forholde seg til kravene som fulgte av Schrems II-dommen, R-01/2020 og R-02/2020. Endelig versjon av retningslinjene ble publisert i juni 2021. Datatilsynet publiserte sin veiledning den 3. september, som bygger på EDPBs retningslinjer. Retningslinjene innebærer en prosess på seks trinn, som vi forklarer nærmere nedenfor. 

Hvis man følger denne prosessen på en samvittighetsfull måte, skal man i prinsippet kunne overføre personopplysninger innenfor rammene av GDPR. Samtidig må man være forberedt på å måtte gjøre større endringer i tjenester man bruker, og i verste fall terminere tjenesteavtaler.

Prosessen går enkelt sagt ut på å kartlegge allerede eksisterende overføringer av personopplysninger til land utenfor EU/EØS og avtalegrunnlaget for disse overføringene. Den behandlingsansvarlige må deretter vurdere om avtalegrunnlaget beskytter de overførte personopplysningene godt nok sett i lys av europeiske regelverk slik som GDPR og EUs “grunnlov”, EU-charteret. Hvis beskyttelsesnivået ikke er godt nok, skal man vurdere hvilke tiltak som er egnet til å redusere risikoen som følger med et utilstrekkelig overføringsgrunnlag.

1. Kartlegg all overføring av personopplysninger til land utenfor EU og EØS

Formålet med dette steget er å identifisere hvilke behandlingsaktiviteter som krever et overføringsgrunnlag og eventuelt ytterligere beskyttelsestiltak. Merk at overføring av personopplysninger kan dreie seg om for eksempel oversendelse av dokumenter per e-post, at ansatte i et tredjeland har brukertilgang til ulike systemer, eller at dataene lagres på en server som er lokalisert i et tredjeland.

Hvis man ikke overfører personopplysninger til land utenfor EU/EØS, trenger man i utgangspunktet ikke å foreta seg noe i lys av Schrems II-dommen. Likevel har en dom fra Frankrikes øverste administrative domstol, Conceil d’Etat, antydet at videre vurderinger også vil være nødvendig selv uten at overføringer foreligger, så fremt man deler personopplysninger med en virksomhet som er datterselskapet til for eksempel et amerikansk selskap. Årsaken er at retten kom til at amerikansk etterretningslovgivning vil gjelde for datterselskapet, slik at amerikanske myndigheter kan kreve utlevering av data som datterselskapet sitter på i Europa.

Personvernforordningen definerer ikke nærmere hva som utgjør en “overføring” av personopplysninger til tredjeland. EDPBs nye veileder av 18. november 2021 (Guidelines 05/2021) har imidlertid presisert begrepet “overføring”. For at det skal foreligge en “overføring”, er det tre vilkår som må være innfridd:

  1. Den potensielle overføringen må komme fra en behandlingsansvarlig eller databehandler (dette vilkåret vil som oftest være innfridd).

  2. Den behandlingsansvarlige eller databehandleren (dataeksportøren) overfører eller gjør på annen måte personopplysninger tilgjengelig for en tredjepart som ikke er en privatperson.

  3. Mottakeren (dataimportøren) er lokalisert i et tredjeland eller er selv en internasjonal organisasjon.

Den nye veiledningen medfører etter vårt syn ingen reelle endringer for hvordan overføringsbegrepet har blitt tolket tidligere. 

2. Kartlegg hvilke overføringsgrunnlag som ligger til grunn for overføringen

Dette steget innebærer å kartlegge hvilket overføringsgrunnlag som ligger til grunn for dagens overføringer. Hvis Privacy Shield utgjør grunnlaget for overføringen bør dette håndteres umiddelbart. Tilsynsmyndighetene forventer at behandlingsansvarlig ber dataimportøren om å slette eller tilbakeføre samtlige personopplysninger som faller inn under avtalen, eller at det etableres et alternativt overføringsgrunnlag. 

Hvis en såkalt adekvansbeslutning ligger til grunn for overføringene, betyr dette kort sagt at EU-kommisjonen har besluttet at landet sikrer et tilstrekkelig beskyttelsesnivå for personopplysninger. I så fall trenger ikke virksomheten foreta seg noe videre, ettersom man kan overføre personopplysninger til disse landene på samme måte som man overfører personopplysninger til land i EU/EØS. Dette betyr ikke at man slipper unna de alminnelige risikovurderingene man skal gjøre før man tar i bruk en ny leverandør/databehandler. Altså skal man alltid vurdere om leverandøren er i stand til å overholde databehandlers forpliktelser etter GDPR og etter databehandleravtalen, blant annet at leverandøren er teknisk sett moden nok og kan beskytte personopplysningenes konfidensialitet, integritet og tilgjengelighet.

3. Vurdering av om overføringsgrunnlaget er effektivt

Behandlingsansvarlig må først vurdere om overføringsgrunnlaget gir tilstrekkelig beskyttelse i lys av lokal lovgivning som gjelder for dataimportøren. Her vil retningslinjene R-02/2020 være utgangspunktet for vurderingen, som oppfordrer til å gå gjennom følgende steg:

  1. Om behandling av personopplysninger er basert på klare, presise og tilgjengelige regler, slik som dedikerte personvernregelverk eller personvernregler i særlovgivning.
  2. Om myndigheters tilgang til personopplysninger er begrenset til det som er «nødvendig» og «proporsjonalt» sett i forhold til utvalgte verdier og interesser, slik som det som er nødvendig i et demokratisk samfunn eller i nasjonal sikkerhetsinteresse.
  3. Om landet har en uavhengig tilsynsmyndighet som overser håndhevingen av gjeldende personvernlovgivning.
  4. Om den registrerte har effektive rettsmidler i tilfeller hvor hen hevder at sine rettigheter etter personvernregelverket er brutt.

Hvis virksomheten finner at lokal lovgivning ikke er tilfredsstillende i lys av vurderingspunktene ovenfor, vil et overføringsgrunnlag av kontraktuell natur gi et utilstrekkelig beskyttelsesnivå alene. Årsaken er at en kontrakt ikke hindrer myndigheter fra å skaffe seg innsyn i personopplysninger i strid med EU-lovgivning. 

Her forutsetter vi imidlertid at lokal etterretning vil skaffe seg innsyn på et eller annet tidspunkt, og at innsyn og videre bruk av opplysningene vil utgjøre et brudd på den registrertes personvern. Det finnes momenter som taler for at slike brudd ikke er reelle, og at man av denne grunn kan anse overføringsgrunnlaget som effektivt. Dette fordi overføringsgrunnlaget bare vil være utilstrekkelig i situasjoner som reelt sett ikke forekommer. I vurderingen av om brudd er reelle kan man se til:

  • Etterretningspraksis i tredjelandet generelt.
  • Etterretningspraksis i den aktuelle sektoren/bransjen spesielt. 
  • Om de overførte personopplysningene er offentlig tilgjengelig, gjennom for eksempel en LinkedIn-profil eller en åpen Facebook-profil. 
Hvis beskyttelsesnivået ikke er godt nok for de overførte personopplysningene, må man implementere ytterligere beskyttelsestiltak. Nedenfor beskriver vi hva slike tiltak kan handle om.

4. Identifisering av egnede beskyttelsestiltak 

Målsetningen med tiltakene er å gjøre det vanskeligere for uautoriserte parter og lokale myndigheter å få tak i personopplysningene. EDPB retningslinjer inneholder en oversikt over hvilke tiltak som bør tas i betraktning når man skal identifisere egnede beskyttelsestiltak, herunder tekniske, kontraktuelle og organisatoriske tiltak. 

De konkrete beskyttelsestiltakene skal skreddersys til hver enkelt dataimportør (enheten man overfører personopplysningene til). Det er viktig å merke seg at EDPB har lagt til grunn at tekniske beskyttelsestiltak er nødvendig i alle tilfeller, altså slik at kontraktuelle og organisatoriske beskyttelsestiltak ikke alene kan bøte på svakhetene i gjeldende overføringsgrunnlag sett i lys av lovverket som dataimportøren er underlagt.

Tekniske beskyttelsestiltak

EDPB har angitt en rekke tekniske sikkerhetstiltak i retningslinjene, og vi trekker frem kryptering, anonymisering og pseudonymisering i listen over flere andre tekniske sikkerhetstiltak.

Kryptering

Det er tre elementer som påvirker hvor sterk krypteringen er:

  • kryptografiske mekanismer, 
  • tillit til krypteringsleverandøren og 
  • god nøkkelforvaltning.

Når det gjelder kryptografiske mekanismer, er det sentralt å vurdere hva som skal til for å vanskeliggjøre uautorisert tilgang til personopplysningene. Dette beror på momenter som (i) hvor vanskelig det er å dekode krypteringsnøkkelen uten å ha krypteringsnøkkelen, (ii) hvorvidt det finnes bakdører til krypteringen (som gjør at man kan lese innholdet uten en krypteringsnøkkel) og (iii) lengden på krypteringsnøkkelen.

Når det gjelder god nøkkelforvaltning, betyr dette ifølge EDPB at partene må implementere en kryptering hvor dataeksportøren har kontroll over krypteringsnøkkelen. Vi viser til Nasjonal Sikkerhetsmyndighet (NSM) for mer informasjon om kryptering.

Anonymisering og pseudonymisering

Anonymisering, hvor opplysninger ikke lenger kan kobles til enkeltpersoner ved rimelige tiltak, og pseudonymisering av personopplysninger, hvor kun dataeksportøren kan re-identifisere personopplysningene, er andre egnede tiltak. For å unngå re-identifisering bør man kontrollere om mottakeren har tilgang til back-up eller data som kan gjøre det mulig for vedkommende å koble dataene mot en fysisk person. Oppbevar pseudonymiseringsnøkkelen på færrest mulig steder hvor kun et fåtall nødvendige personer har tilgang til. 

Vi minner her om at en pseudonymisert opplysning fremdeles er å betrakte som personopplysning siden den kan kobles til en enkeltperson ved bruk av pseudonymiseringsnøkkelen. Vi gjør oppmerksom på at pseudonymisering er fjernet som et tiltak i den tyske veilederen, og det blir derfor spennende å se hvordan det europeiske personvernrådet forholder seg til pseudonymisering i den kommende veiledningen.

Organisatoriske beskyttelsestiltak

Her vil det særlig være snakk om å pålegge dataimportøren visse plikter knyttet til personopplysningene som er underlagt det aktuelle overføringsgrunnlaget, for eksempel å:

  • Pålegge dataimportøren å jevnlig, med et gitt tidsintervall og på forespørsel fra den behandlingsansvarlige, vise frem dokumentasjon på hvilke tiltak de har implementert og vurderinger av tiltakenes effekt. Et virkemiddel for å teste for eksempel tekniske beskyttelsestiltak er penetrasjonstesting, som innebærer at man gjennomfører et simulert cyberangrep på systemene.
  • Pålegge dataimportøren å umiddelbart informere den behandlingsansvarlige om eventuelle forespørsler om utlevering av og innsyn i data fra lokale myndigheter, i den grad dette er mulig å etterkomme for dataimportøren og eventuell taushetsplikt som dataimportøren blir pålagt av myndighetene rundt utleveringsforespørselen.
  • Pålegge dataimportøren å ta i bruk alle mulige rettslige virkemidler (slik som midlertidige forføyninger) for å forhindre at amerikanske myndigheter får tilgang til eller innsyn i personopplysningene.
  • Forbeholde en rett for den behandlingsansvarlige til å opptre på vegne av dataimportøren i rettslige tvister som gjelder amerikanske myndigheters innsyn i eller tilgang til personopplysningene. Om lokal lovgivning ikke gir en slik adgang, skal dataimportøren sikre at dataeksportøren er involvert i alle beslutninger som tas i saken.

Kontraktuelle beskyttelsestiltak

Kontraktuelle beskyttelsestiltak handler kort sagt om å kontraktsfeste tekniske og organisatoriske tiltak. 

Hvis man bruker SCC-ene som overføringsgrunnlag, vil dette i praksis innebære å skrive inn tiltakene i Annex II, som handler om tekniske og organisatoriske tiltak. Her kan man for eksempel se til leverandørenes policyer for sikkerhet og personvern, som kanskje er langt mer detaljerte enn tiltakene som er kontraktsfestet.

5. Implementer sikkerhetstiltak 

Etter at egnede sikkerhetstiltak er identifisert, må disse naturligvis implementeres slik at overføringen av personopplysninger reelt sett blir underlagt et tilstrekkelig beskyttelsesnivå.

6. Lag en plan for videre arbeid 

Virksomheter bør lage en plan for hvordan man skal jobbe videre med Schrems II-arbeidet, og hvordan følge opp risikoen knyttet til overføring av personopplysninger til tredjeland. Dette kan blant annet handle om: 

  • Oppfølging av leverandøren med jevne mellomrom: I mange tilfeller er det vanskelig å få informasjonen man trenger fra tjenestetilbyderen, eller man etterspør endringer i sikkerheten eller i avtalegrunnlaget som tjenestetilbyderen ikke kan gjennomføre på nåværende tidspunkt. Dette er særlig aktuelt for større selskaper med et svært stort antall kunder som følgelig bruker standardavtaler, og som bruker tid på å omstille seg til kravene som springer ut av Schrems II-dommen. 

  • Oppfølging av avtalte eller diskuterte løsninger: Noen ganger har leverandøren lovet å migrere kundens datamiljø til datasentre i Europa innen en bestemt frist. Her bør virksomheten følge opp at leverandøren overholder de avtalte tidsfristene.

  • Jevnlig revisjon av leverandør: Dette innebærer å vurdere om leverandøren i praksis overholder sine forpliktelser etter avtalen, som blant annet består av en databehandleravtale og SCC-er, som også kan være slått sammen. Har man for eksempel supplert avtalen med diverse tiltak etter Schrems II-dommen, kan det være lurt å undersøke om leverandøren faktisk følger opp disse tiltakene.

PwC kan bistå med vurdering av Schrems II-kravene

Våre advokater og eksperter innenfor informasjonssikkerhet og teknologi har gjennomført svært mange vurderinger av Schrems II-kravene, og står klare til å bistå din virksomhet ved behov. Vi forstår problemet på en helhetlig måte ved hjelp av PwCs tverrfaglige miljø, og på denne måten sikre faglig sterke vurderinger og gode løsninger. 

Ta kontakt med oss for en uforpliktende prat!

 

Kontakt oss

Christine Ask Ottesen

Christine Ask Ottesen

Advokat | Partner, PwC Norway

Tlf: 928 09 229

Mats  Ruge Holte

Mats Ruge Holte

Partner | Consulting, PwC Norway

Tlf: 952 60 122

Maria Fonneløp  Inderberg

Maria Fonneløp Inderberg

Advokatfullmektig | Senior Associate, PwC Norway

Tlf: 478 65 144