I sommer kom en avgjørelse i EU innenfor personvern som kan få store konsekvenser for europeiske selskapers bruk av store tjenester som skyplattformer. Hva vet vi, og hva er fortsatt uklart?
Først, en advarsel: Jeg er ikke advokat, og innholdet i denne posten er min oppfattelse av situasjonen slik den står pr 22. november etter å ha lest informasjonen fra EU og en rekke andre, samt hatt samtaler med ulike advokater om temaet. Det er mye usikkerhet knyttet til konsekvensene av denne dommen, og betydningen av den veiledningen EU har publisert. Du bør kontakte juridisk bistand for å vurdere hvordan dette påvirker ditt selskap.
I juli kom det en dom i en rettssak mellom Max Schrems og Facebook i den europeiske unions domstol. Denne dommen slo fast at overføringen av persondataene til Schrems fra EU til USA var et brudd på europeisk personvernlovgivning. Dommen gjorde en vurdering av rammeverket for overføring av persondata til EU, det såkalte Privacy Shield, og konkluderte med at dette ikke var godt nok til å sikre at personvernet blir ivaretatt. Dette ugyldiggjorde hele Privacy Shield-avtalen.
Kjernen i Schrems-II-dommen er at overføring av data til USA ikke kan skje pga. amerikanske myndigheters svært inngripende muligheter etter Patriot Act, Cloud Act, og Executive Order 12333. Disse lovene gir amerikanske myndigheter mulighet til å be om utlevering av data fra amerikanske selskaper på en slik måte at EU-domstolen mener at de grunnleggende rettighetene til europeiske borgere ikke oppfylles. F.eks. har du ikke nødvendigvis mulighet til å få vite at en slik begjæring har kommet inn, eller har blitt oppfylt. Dette gjør at du ikke har noen effektive virkemidler for å beskytte deg.
Privacy Shield vil ikke gå foran disse lovene, og dermed mener EU-domstolen at rammeverket ikke gir noen reell beskyttelse.
Overføringer til USA gjennom Privacy Shield ble kjent ugyldige med umiddelbar virkning. Dersom man pr. i dag har brukt Privacy Shield som overføringsgrunnlag må man falle tilbake på Standard Contractual Clauses, et annet mulig overføringsgrunnlag. Her kommer imidlertid domstolen deg i forkjøpet, og sier mer eller mindre i klartekst at det er lite trolig at du gjennom en SCC kan få garantier som er gode nok, av samme årsak som at Privacy Shield ble underkjent.
For alle praktiske formål gjør Schrems-II-dommen det umulig å overføre persondata til USA. Skal man ha informasjon i USA må dette enten ikke være personopplysninger, eller være kryptert eller endret på en slik måte at det ikke kan regnes som personopplysninger.
En langt større utfordring er at det gjennom denne dommen stilles spørsmålstegn ved hva som vil skje dersom et amerikansk morselskap får en utleveringsbegjæring rettet mot et datterselskap som er etablert i Europa og underlagt europeisk regelverk. De fleste skyleverandørene bruker denne selskapsstrukturen for å oppfylle kravene i GDPR. Eksempelvis har Microsoft Corporation opprettet selskapet Microsoft Azure Irland Limited i Irland, og det er dette selskapet som utfører alle tjenester for europeiske kunder.
Her mener dommen at det er en risiko for at selskapet vil komme i en skvis hvor de må velge mellom å ikke oppfylle kravene amerikanske myndigheter stiller, og å bryte europeisk personvernlovgivning. I denne situasjonen er man redd for at de vil velge det siste, da straffene for å bryte lovene på amerikansk side er store, og siden de vil være pålagt å holde slike henvendelser hemmelige kan det være fristende å bryte europeisk lovgivning i stillhet.
I slike tilfeller vil det ikke være tilstrekkelig at selskapet man har avtale med er europeisk, og at dataene oppbevares fysisk innefor EU/EØS. Det er fortsatt tenkelig at amerikanske myndigheter får tilgang, og dermed bryter man med GDPR.
En helt reell konsekvens av denne forståelsen er at all bruk av tjenester med et amerikansk selskap i eierkjeden er forbudt.** Dette er en ekstrem konsekvens av Schrems-II-dommen som i praksis vil legge ned store deler av europeiske IT-selskaper i en lengre periode. Man ser antydninger til at flere forsøker å tolke kjennelsen dithen, og dette er nok også en av grunnene til at det europeiske personvernrådet har kommet med veiledning for å fortsatt sikre trygg overføring til tredjeland, som også kan brukes i denne typen tilfeller.
Det europeiske personvernrådet (EDPB) har kommet med et sett anbefalinger for hvordan man skal gå frem om man ønsker å overføre data til tredjeland. I denne sammenhengen er det viktig å være klar over at all tilgang regnes som overføring. Hvis driftsleverandøren har en ansatt stasjonert utenfor EU, så regnes det som at data er overført ut av EU om denne ansatte har tilgang til dataene.
EDPB har kommet med en anbefaling for hvordan man skal gå frem for å vurdere om man er rammet av Schrems-avgjørelsen, og setter her også frem forslag til tiltak.