Overføring av personopplysninger til utlandet har gått fra å være en “usexy” disiplin på et “usexy” rettsområde til et spørsmål som havner på styrerommene i store konsern. Data har blitt blodet som flyter i årene til nesten alle typer virksomheter, og for noen, det nye gullet. Reglene om overføring bestemmer hvilke tjenester som kan brukes, og legger dermed føringer for utviklingshastighet, kostnader og forretningsmodeller. Det vil si forhold som kan bestemme om en virksomhet vinner eller taper. 

Vi har gått fra krav om konsesjon, via trygghetsfiksjonen Safe Harbor til Schrems II-dommen av 16. juli 2020. Hvilke krefter er det som driver regelutviklingen, hvilken betydning får utviklingen for dataeksportørene og hva kan vi forvente oss fremover?

I det følgende vil vi se litt på historikken, før vi går mer detaljert inn i dagens situasjon. Basert på funnene gjør vi to analyser i et forsøk på å se hva som kan vente oss i årene, og kanskje tiårene, som kommer.

På vei inn i den fjerde personvernbølgen
Utviklingen av personvernet har gått i bølger. Hoveddriverne har vært ære, ideologi og teknologi – og naturligvis et ønske om privatliv.  

Den første bølgen var preget av fragmentarisk og ulovfestet regelutvikling. Den begynte med beskyttelse av ære. Frostatingsloven (rundt år 1200) forbød å dikte om andre, selv om diktet var positivt. Æren skulle beskyttes. Kong Christians IVs lov 1604 tillot diktningen, bare den ikke var negativ. Fremdeles ære, men også en reaksjon på trykkekunsten – en teknologi.

Da den tyske landsfaderen Otto von Bismarck døde, ble han snikfotografert i sottesengen. Da ble det bråk. Retten besluttet i 1898 at fotoplatene skulle ødelegges (Bismarck-dommen). Igjen en reaksjon på ny teknologi – fotografering – og trolig ære, eller i det minste et ønske om vern av privatlivet. Og et tidlig eksempel på manglende etterlevelse. Fotografiet overlevde, som du ser.

Otto von Bismarck hviler ut

Dommen ga også støtet til vern av retten til eget bilde. I Norge ble retten til eget bilde beskyttet i fotografiloven av 1909.

Privatlivets fred fikk vern i straffeloven av 1902. Telefonsjikanedommen ble avsagt i 1952. Teknologien var telefonen. Denne blandingen av snevre regler og rettspraksis preget den første, fragmentariske bølgen. Følgende sentrale dommer bør i den forbindelse nevnes:

  • Aars-dommen 1896 om vern av familienavn
  • To mistenkelige personer 1952 om nektelse av å vise film om et lensmannsmord
  • Sykejournaldommen 1977 om tilgang til egen sykejournal
  • Gatekjøkken-kjennelsen 1991 om vern mot overvåking på jobb
  • Fotobokskjennelsen 1990 om bruk av bilde til nytt formål

Den andre bølgen kunne vært døpt menneskerettighetsbølgen. Bølgen var en konsekvens av det økte fokuset på menneskerettigheter i kjølvannet av grusomhetene under den annen verdenskrig. FNs verdenserklæring om menneskerettigheter ble på denne bakgrunn vedtatt i 1948. En av rettighetene var retten til privatliv (artikkel 12). Rettigheten ble også inntatt i Den europeiske menneskerettighetskonvensjonen av 1950 (artikkel 8).

Det er på menneskerettighetenes vern av privatliv det moderne personvernet hviler. Det fremgår ikke minst av Schrems II-dommen, hvor retten i stor grad henviser til EU-charteret om grunnleggende rettigheter artikkel 7 (respekt for privat- og familieliv) og artikkel 8 (beskyttelse av personlige data).

Den tredje bølgen kunne vi kalt implementeringsbølgen. I denne bølgen fikk vi lover som skulle gjennomføre og konkretisere menneskerettighetenes overordnede vern om privatlivet og kodifisere eksisterende rettspraksis. Dermed skjedde det en implementering av grunnleggende personvernprinsipper. I Norge begynte det med personregisterloven av 1978, en av verdens første generelle personvernlover. EU kom med sitt personverndirektiv i 1995 (95/46/EF), som ledet til vår personopplysningslov av 2000. Menneskerettighetene er gjort til norsk lov gjennom menneskerettsloven og Grunnloven. Grunnloven § 102 verner privatlivet spesielt.

PCen ble lansert av IBM i 1981. Tyngre datamaskiner hadde allerede vært i bruk i statsforvaltningen siden slutten av 1960-tallet. Det var åpenbart at elektronisk behandling av data ville ta over fra papirbaserte arkiv. Men datalinjene var elendige og serverene sto gjerne i skapet. Overføring til utlandet var derfor en liten bekymring.

Likevel var personregisterloven (eller Europarådskonvensjonen om persondatabeskyttelse av 28. januar 1981 som reguleringen bygget på) visjonær nok til å regulere spørsmålet (personregisterloven kap. 9). I henhold til tilhørende forskrift gikk vi fra konsesjonskrav til meldeplikt.

På 1990-tallet dukket såkalte application service provision (ASP) opp – datidens software as a service (SaaS). Ikke fleksibelt nok til å kalles sky, men med data lagret et annet sted enn der brukerne satt. Et stort skritt. Internett hadde fantes siden slutten av 1960-tallet, men det var ikke før rundt 1993 at world wide web ble popularisert med den grafiske nettleseren Mosaic.

EU-kommisjonen hadde sett hvor det bar, og kom med sitt personverndirektiv i 1995. Da hadde noen europeiske land fremdeles ikke nasjonale personvernlover, i motsetning til Norge.  

Den fjerde bølgen tok dagens sky- og datadrevne verden innover seg. På 2000-tallet ble datalinjer bedre og billigere. Verdens største skyleverandør Amazon Web Services (AWS) revolusjonerte fra 2004 med sine skytjenester. Facebook kom til samme år. SaaS så dagens lys. Overføring av data over landegrensene gikk fra å være unntaket til å bli normen.

11. september 2001 styrtet to fly inn i hver sin skyskaper i New York. Amerikansk etterretningsvesen var tatt med buksene nede. Reaksjonen var ikke bare USAs angrep på Afghanistan i oktober samme år, men også en oppbygging av digital overvåking verden ikke hadde sett maken til. Amerikanske National Security Agency (NSA) sto i spissen, utrustet med nye penger og en tro på at mer overvåking ville gi mer sikkerhet. Foreign Intelligence Surveillance Act (FISA) og presidentdekret 12333 ga to sentrale hjemler, som tidligere beskrevet i min artikkel Vil Bidens overvåkingsstat bli bedre? (Lov & data, nr. 4/2020 (kortversjon)). Hjemlene gir amerikanske myndigheter blant annet adgang til å gjennomføre masseovervåking utover USAs landegrenser.

Vi stod dermed overfor en overveldende og økende kommersiell bruk av data og skytjenester, kombinert med kraftig økning av statlig etterretning fra USA og andre land. På denne bakgrunnen ble arbeidet med en ny personvernforordning initiert i Europa i 2010. Arbeidet munnet ut i EU-kommisjonens forslag til personvernforordning i 2012. Grunnprinsippene i det tidligere 1995-direktivet ble videreført, men håndhevingsreglene ble kraftig skjerpet.

Det hadde fra omkring 2005 versert rykter og visse avsløringer om omfanget av NSAs overvåking. Men det var ikke før Edward Snowdens avsløringer i 2013 at verden fikk ugjendrivelige bevis og det enorme omfanget ble klart. Avsløringene bidro til at personvernforordningen ble utstyrt med sanksjoner få trodde ville se dagens lys. Brudd på forordningene kunne resultere i sanksjoner på opptil 4% av årlig konsernomsetning for en virksomhet. Kanskje takket være Snowdens avsløringer, klarte ikke lobbyistene for de store leverandørene å redusere sanksjonsnivået.  

Tre klasser av dataimportører
På samme måten som 1995-direktivet (og personopplysningsloven) deler personvernforordningen mottagerne av persondataene (dataimportørene) inn i tre klasser, nemlig:  

  1. EØS-land
  2. Hvitlistede land som “sikrer et tilstrekkelig beskyttelsesnivå”
  3. Andre (utrygge) land

EØS-landene (klasse 1) består av i alt 30 EFTA og EU-land, som alle har vedtatt personvernforordningen (pvf) som lov. De hvitlistede landene i klasse 2 omfatter 12 land, inkludert Argentina, Israel, New Zealand, Japan, Sveits og Canada (kommersielle organisasjoner). Landene er godkjent som trygge land å overføre personopplysninger til i henhold til adekvansmekanismen omtalt i pvf artikkel 45 (adekvansbeslutninger). Eksport av data til land i klasse 1 og 2 under pfv. artikkel 45 (1) skaper relativt få problemer. Det er likevel på sin plass å minne om at alle de alminnelige kravene til behandling av personopplysninger gjelder, selv om EU-kommisjonen har vurdert landene til å tilby tilstrekkelig beskyttelse for europeiske personopplysninger.

Det store spørsmålet, som vi skal konsentrere oss om her, er hvordan overføring av personopplysninger skal skje til de mindre trygge landene i klasse 3. I den forbindelse står særlig USA og virkningene av Schrems II-dommen fra 16. juli 2020 sentralt. 

Fra “Unsafe” Harbor via Privacy Shield til Schrems II
Personverndirektivet av 1995 benyttet som antydet et lignende klassesystem som personvernforordningen. Overføringsgrunnlaget, som skulle sikre tilfredsstillende behandling av personopplysninger i USA, het da Safe Harbor, men var ikke direkte hjemlet i den gamle personopplysningsloven (2000) eller i 1995-direktivet. Det ganske løse rammeverket ble i Schrems I-dommen fra 6. oktober 2015 kjent ugyldig fordi det ikke sikret europeiske borgeres personopplysninger på en tilfredsstillende måte.

Med bortfallet av det mye brukte overføringsgrunnlaget Safe Harbor, startet et lett panisk arbeid med erstatningen. 12. juli 2016 ble EU US Privacy Shield vedtatt som forsvarlig overføringsgrunnlag av EU-kommisjonen. Neste sovepute var på plass. Sammen med en håndfull adekvansbeslutninger ble skjoldet i mai 2018 ansett å gjelde for også personvernforordningen i henhold til pvf. artikkel 46 (2) a. Særlig oppfølgingsregimet ble skjerpet i forhold til Safe Harbor, men fremdeles baserte Privacy Shield seg på selvsertifisering.

Det som imidlertid ble spikeren i kisten for Privacy Shield som hjemmel for overføring, var USAs inngripende etterretningsregler og -praksis kombinert med manglende rettsmidler for den overvåkede til å angripe behandlingen overvåkingen innebar. EU-domstolen trakk i Schrems II-dommen som nevnt særlig frem FISA artikkel 702 og presidentdekret 12333. Masseovervåking uten individuell innretting skjer under for eksempel PRISM og UPSTREAM-programmene (premiss 178 til 180). Rettsmidler mot ulovlig overvåking finnes heller ikke (premiss 181 og 182). Ombudsmannsordningen i skjoldet  kan ikke avhjelpe disse svakhetene (premiss 190). Svakhetene med ordningen og tilstanden i USA medførte at Privacy Shield ikke etterlevde EU-charteret og forordningen (premiss 198 til 201). (For dem som vil ha en levende beskrivelse av hvordan overvåkingen fant sted anbefales Oliver Stones fascinerende film Snowden (2016) og Glenn Greenwalds bok No Place to Hide (2013)).

Retten til å motsette seg vilkårlig overvåking ligger i USAs fjerde grunnlovstillegg. Dessverre for oss europeere gjelder vernet bare amerikanske innbyggere. Til sammenligning verner EU-charteret artikkel 7 og artikkel 8 alle (“everyone”), det vil si også ikke-europeere. EU-domstolen kom derfor til at rettstilstanden i USA ikke ga europeere et tilsvarende vern som de nøt i Europa.

Schrems II-dommen brakte dermed rettstilstanden nærmere det de fleste allerede hadde skjønt; persondata behandlet i USA ble bare ikledd et slør av forsvarlighet med Privacy Shield. Allerede ved unnfangelsen av Privacy Shield ble dens svakheter kritisert, og det var bare et tidsspørsmål før Maximilian Schrems eller andre ville utfordre dette fernisset av et vern.

Standardbestemmelsene slapp unna, men…
Det andre mye brukte overføringsgrunnlaget for eksport av persondata til USA er de såkalte standardbestemmelsene (Eng. standard contractual clauses – SCC). Bestemmelsene gir de registrerte en rekke rettigheter overfor dataimportøren.

Det var derfor en lettelse for mange da EU-kommisjonens godkjenninger av  standardbestemmelsene fra 2001 (2001/487/EF) og 2010 (2010/87/EF) som grunnlag for eksport av persondata ble opprettholdt i Schrems II-dommen. Opprettholdelsen skjedde på tross av at overføring i henhold til bestemmelsene lider av mange av de samme svakhetene som Privacy Shield (premiss 149). Retten fremhever imidlertid at behandlingsansvarlig også ved bruk av standardbestemmelsene er pliktig til å gjøre en konkret (“case by case”) vurdering (premiss 134, jf. premiss 95 og forordningens fortalepunkt 108). Sikringstiltakene fra retningslinjene vi skal gå igjennom under, må derfor iverksettes også ved bruk av standardbestemmelsene.

Hva med CLOUD Act?
Som følge av vanskelighetene amerikanske FBI hadde med å tvinge Microsoft til å gi fra seg epostdata lagret i Irland i en narkotikasak, ble CLOUD Act (Clarifying Lawful Overseas Use of Data Act) vedtatt (Hotmail-saken). Loven økte rekkevidden av Stored Communications Act (SCA) fra 1986, slik at amerikanske selskaper måtte etterleve tilgangskjennelser avsagt i medhold av SCA. CLOUD Act gjorde at Microsofts Hotmail-sak, som da sto for Høyesterett, ble trukket og dataene ble utlevert.

Med SCAs økte rekkevidde skulle man kanskje tro EU-domstolen ville begrunne Schrems II-dommen også med vedtakelsen av CLOUD Act. Det gjorde den ikke. Grunnen er at CLOUD Act gir amerikanske justismyndigheter hjemmel til å gjøre beslag i data lagret på servere kontrollert av amerikanske selskaper bare etter særlig kjennelse fra en domstol. Det dreier seg da heller ikke om masseinnsamling av persondata. I slike tilfeller kan personen som begjæringen om tilgang retter seg mot, bestride denne. Dermed har datasubjektet det rettsmiddelet EU-domstolen savnet ved det fjerde grunnlovstillegget, FISA artikkel 702 og presidentdekret 12333. 

Hvordan eksportere til “utrygge” land (som USA)?
EU-domstolens budskap var at Privacy Shield og de andre avtalebaserte grunnlagene i pvf. artikkel 46 (2) ikke forpliktet importlandets myndigheter og dermed ikke sikrer europeiske borgeres grunnleggende personvernrettigheter. Botemiddelet var å iverksette “supplerende tiltak” og “tilleggssikringer” (premiss 133 og 134). Domstolen opplyste imidlertid ikke hva disse kunne bestå i.

Schrems II-dommen betyr dermed at ganske vanskelige vurderinger må gjøres. For å forenkle denne vurderingen utstedte Det europeiske personvernrådet (EDPB) 10. november 2020 retningslinjer for dataeksport (anbefaling 01/2020).

Personvernrådet innleder sine anbefalinger om eksport av persondata med at Schrems II-dommen minner oss om at vernenivået i EØS må “reise med dataene hvor enn de drar”. Rettstilstanden og praksis i importlandet må derfor vurderes, alt i lys av det generelle forsvarlighetskravet (pvf. artikkel 5 (2)).

Under ser du retningslinjenes seks steg med kommentarer:

Steg Vurdering og tiltak
1. Kartlegg Skaff oversikt over hvilke data som blir overført hvor og til hvem. Vurder om alle data overføres. Hvor lenge vil dataene bli behandlet? Dataminimer (så lite data som mulig, behandlet så kort som mulig). Overføres data videre? Husk at fjerntilgang anses som overføring. Kartleggingen er også en del av den generelle protokolleringen som uansett skal skje etter pvf. artikkel 30 (1) e. Kartlegging må skje før overføring skjer.
2. Bekreft grunnlaget for overføringen

Det finnes tre hovedgrunnlag:

  1. Adekvansbeslutning (hvitliste). Er importlandet for data omfattet av adekvansbeslutning etter pvf. artikkel 45 vil overføringen automatisk anses forsvarlig og slik oppfylle pvf. artikkel 44.
  2. Kontraktuelt. Står importlandet ikke på hvitlisten, må overføringsgrunnlagene i pvf. artikkel 46 vurderes
  • standard kontraktsbestemmelser,
  • konsernregler,
  • adferdsnormer mv
  • sertifiseringer
  • ad hoc kontraktsbestemmelser

for rutinepregede overføringer. Slik etableres et kontraktuelt vern.

  1. Nødventil. Unntaksvise overføringer kan hjemles i pvf. 49.

Se under for mer om disse.

3. Vurder rettslig tilstand i importlandet

Fordi målet er fortsatt vern av personopplysningene, må rettstilstanden (lov og praksis) i det importerende tredjelandet vurderes i lys av valgt overføringsgrunnlag i steg 2. Vurderingstemaer:

  • grad av overvåking,
  • krav om myndighetstilgang til data,
  • regler som kan redusere effekten av sikringstiltak, generell rettssikkerhet (som påvirker rettsmidler), og
  • om personvernlovgivning i landet finnes.

Vurderingen skal gjøres i samarbeid med dataimportøren. I praksis kan dette gjøres ved å stille dataimportøren spørsmål. 

Om det ikke finnes gode offentlige tilgjengelige kilder, bør lokal bistand søkes i importlandet. Om tid eller økonomi ikke tillater lokal bistand, må dataeksportøren gjøre en best mulig vurdering basert på tilgjengelig informasjon. Vurderingen bør være mest mulig objektiv. Eksempelvis kan ikke sannsynligheten for at offentlige myndigheter får ulovlig tilgang til personopplysningene vektlegges.

4. Identifiser og implementer tilleggstiltak for sikring

Kommer du i steg 3 frem til at rettighetene til datasubjektene ikke blir godt nok ivaretatt i importlandet, som i USA, må du vurdere tilleggstiltak for å sikre dataene. Slike tiltak kan være kontraktuelle, organisatoriske eller tekniske. Fordi kontraktuelle og organisatoriske tiltak raskt kan komme til kort overfor en inngripende stat, blir i praksis de tekniske tiltakene viktige.

I veiledningens vedlegg 2 listes opp en rekke scenarier. Utfra disse foreslås tiltak. Særlig sterk kryptering hvor  dataeksportøren eller tredjepart har kontroll over den private nøkkelen er aktuelt. Pseduonymisering, særlig beskyttede mottagere (f.eks. medisinsk forsking) og oppdelt behandling nevnes også. Scenarier hvor nødvendig sikring ikke kan skje, listes også. Ulike tiltak kan også kombineres.

Kan ikke et forsvarlig vernenivå oppnås, kan ikke overføringen skje etter pvf. artikkel 46.

5. Få det formelle på plass Dersom importlandet ikke står på hvitlisten til EU-kommisjonen (pvf. artikkel 45) må det formelle på plass i henhold til pvf. artikkel 46 (eller 49). Det mest praktiske grunnlaget under artikkel 46 (2) er standardbestemmelsene (c og d). Se listen under for alle grunnlag.
6. Revider jevnlig Ettersom personvernreglene og rettstilstanden i importlandet er i kontinuerlig utvikling, kreves det jevnlige evalueringer av om sikkerhetsnivået på din overføring oppfyller det nødvendige beskyttelsesnivået. Denne overvåkingen av situasjonen i importlandet må gjøres i samarbeid med dataimportøren, og er en av forholdene som må dekkes av avtalen med importøren.

Se ytterligere detaljer i veiledningens pkt. 2 og bilag 2 med eksempler på konkrete tiltak for ulike situasjoner.

 Vurderingene som gjøres i de ulike stegene må dokumenteres for å kunne påvise etterlevelse (pvf. artikkel 5 (2) og 24 (1)).

 Figuren under viser strukturen i den vurderingen som må gjøres gjennom de seks stegene.

Forenklet beslutningsdiagram basert på Schrems II-dommen, retningslinjer og pvf

Hvilke overføringsgrunnlag har vi nå?
Med Privacy Shield kjent ugyldig, står vi under personvernforordningen igjen med disse overføringsgrunnlagene:

a) et eventuelt nytt rettslig instrument mellom offentlige myndigheter, men med bedre sikringer enn det EU-domstolen mente Privacy Shield kunne tilby (pvf. 45),

b) EUs standardbestemmelser (pfv. 46 (2) c)
c) bindende konsernregler (pfv. 46 (2) b)
d) adferdsnormer (pfv. 46 (2) e)
e) serfifiseringsmekanismer (pfv. 46 (2) f)
f) spesialavtale godkjent av Datatilsynet (46 (3) a)
g) spesialordning mellom offentlige organer (46 (3) b)
h) særlige situasjoner (pvf. artikkel 49)

Schrems II-dommen er relevant for alle de kontraktuelt baserte grunnlagene i nevnt i bokstav b) til g) fordi partene ikke kan binde offentlige myndigheter i importlandene. Dermed lider i prinsippet alle avtalebaserte grunnlag av samme svakheter som Privacy Shield. 

Utkastet til nye standardbestemmelser
Siden standardbestemmelsene utgjør det mest praktiske overføringsgrunnlaget etter Privacy Shield falt bort som overføringsgrunnlag til USA, fremla EU-kommisjonen 12. november 2020 et forslag til nye standardbestemmelser for eksport av persondata i henhold til pvf. artikkel 46 (2) c. De nye bestemmelsene følger opp kravene som følger av Schrems II-dommen og veilederen som vi så på over. Når bestemmelsene vedtas av kommisjonen, trolig i vår, vil de utdaterte bestemmelsene fra 2001 og 2010 falle bort.

Hovedendringene som er foreslått:

a) økt fokus på tekniske beskyttelsestiltak
b) skjerpede plikter til å varsle om lokal lov som kan medføre myndighetsinnsyn
c) databehandleravtale etter pvf. artikkel 28 inkluderes i standardbestemmelsene
d) alle fire partskonstellasjoner (se under) dekkes

a) og b) – Den forståelige frykten for fremmede makters tvungne innsyn i europeiske personopplysninger, har gitt seg utslag også i utkastet til nye standardbestemmelser. Det viser seg særlig gjennom fokuset på tekniske beskyttelsestiltak og at partene må varsle hverandre om lokal rettstilstand og ved forespørsler om innsyn.

Også den situasjon at parten ikke har lov til å varsle, reguleres ved at parten likevel skal informere så mye som mulig, inkludert på aggerertert nivå. Myndighetsinnsyn har blitt en hovedbekymring etter Snowdens avsløringer, Schrems II og den generelle utviklingen fra demokrati og rettsstat mot autoritære styresett og overvåking i mange land.

 Ved vurderingen av vernenivået etter lokal rett skal en konkret vurdering av overføringen gjøres. Hva er varigheten, hvilke type data og mottagere omfattes og hva er formålet? Litt overraskende skal også praktisk erfaring med myndighetsforespørsler vurderes. I eksportretningslinjene beskrevet i tabellen over, fremgår det motsetningsvis at vurderingen skal være objektiv, og nemlig ikke vektlegge slik praksis.

Tanken bak en objektiv vurdering kan ha vært at myndighetspraksis fort kan endre seg. Det er naturligvis riktig, men samtidig virker det kunstig å skulle se bort fra faktisk praksis i et land. Etter min mening betyr dette at man må vurdere begge forhold, men ikke la seg forlede av (tilsynelatende) mild praksis dersom etterretningshjemlene er vide.

c) – Ved at også bestemmelser for databehandleravtaler etter pvf. artikkel 28 inkluderes i standardbestemmelsene endres dagens praksis med to dokumenter, slik at man bare får ett. Ifølge utkastet til nye standardbestemmelser artikkel 1 (c) oppfyller disse sin funksjon bare om at de forblir umodifiserte, med unntak av tekst i vedleggene og styrking av personvernet. Det kan være praktisk med bare ett dokument, med det frarøver partene muligheten til å påvirke innholdet av databehandlerdelen av avtalen. Det kan være særlig uheldig for ansvarsreguleringen, og synes dårlig begrunnet utfra personvernhensyn. Nær alle andre bestemmelser skal bidra til god sikring av behandlingen, håndhevbare rettigheter for datasubjektene og rettsmidler. Ansvarsfordelingen mellom leverandør og kunde vil imidlertid i stor grad være et kommersielt forhold. Det må derfor være riktig å ta kommisjonens implementeringsbeslutning på ordet når den uttaler at rollen til standardbestemmelsene er å “begrenset til å sørge for tilstrekkelige sikringstiltak for internasjonale overføringer.”, og regulere ansvar selvstendig (side 1, siste avsnitt). Det må gjelde også andre forhold, som betalingsplikter. Stilt overfor en stor amerikansk leverandør som ikke gir ved dørene, ville nok en motsatt konklusjon være velkommen for en del kunder, men vi må huske på at flertallet av databehandlere er vanlige bedrifter som har behov for å ha kontroll på sin juridiske eksponering.

d) – Med den modulært oppbygde malen til nye standardbestemmelser vil begrensningene i partskonstellasjoner opphøre. Forskjellen illustreres enklest med Jan Sandtrøs diagram.

Dermed blir problemet med overføring fra databehandlere til behandlingsansvarlige eller databehandler løst.

 Ytterligere fire forhold det også kan være greit å være observant på: 

  • Landet – jurisdiksjonen – som velges for kontrakten må tillate tredjepartskrav. Siden et av hovedformålene med en overføringsavtale er at datasubjekter skal kunne håndheve sine rettigheter, kan ikke datasubjektenes rettsmidler være avskåret etter lokal rett.
  • Malen er som nevnt modulær, for å støtte de fire partskonstellasjonene. Det vil dermed kreve litt fotarbeid å klargjøre malen til en konkret overføringsavtale.
  • Pliktene til dataimportøren tydeliggjøres, som for eksempel krav til føre protokoll over behandlingen.
  • Overgangsordningen vil bli på ett år fra Kommisjonen vedtar de nye standardbestemmelsene. Innen dette året må dermed alle gamle avtaler erstattes.

Bindende virksomhetsregler
Det andre grunnlaget som fremdeles står åpent, er bindende virksomhetsregler (pvf. artikkel 46 (2) b jf. artikkel 47). Med Schrems II-dommen vil disse kunne bli mer aktuelle for en del større virksomheter.

Virksomhetsreglene er en slags avart av standardklausuler, men brukes internt i en virksomhet med avdelinger i ulike land. Poenget er å lage ett sett behandlingsregler for hele konsernet, fremfor en vev av ulike avtaler på kryss og tvers. Fordelen er forenklet administrasjon. Ulempen er at reglene må godkjennes av Datatilsynet, en prosess som kan ta mange måneder, og tidvis år. Man slipper heller ikke unna seksstegs-vurderingen som beskrevet over.

Adferdsnormer og sertifiseringsmekanismer
Heller ikke adferdsnormer eller sertifiseringsmekanismer (pvf. 46 (2) e og f) ble kjent ugyldig i Schrems II-dommen. Dette er mindre utbredte overføringsgrunnlag, men vil støte på de samme prinsipielle utfordringene som øvrige grunnlag. Se nærmere artikkel 40 og 42 i forordningen.

Nødventilen
Det finnes som nevnt også spesielle unntak for overføringer som i utgangspunktet ikke skjer regelmessig i pvf. artikkel 49. Unntaket krever at det foreligger enten uttrykkelig samtykke fra datasubjektet, nødvendighet for å oppfylle eller inngå avtale, viktige allmenne interesser, vern av vitale interesser, forsvare rettskrav mv. Slike unntak skal tolkes strengt, uten av vi går noe nærmere inn på disse nå (retningslinjer 2/2018).

Verden sett i lys av Schrems II
USA har vi allerede behandlet over, men uten å nevne utviklingen i California. I solskinnsstaten ble California Consumer Privacy Act (CCPA) vedtatt i 2018 og trådte i kraft 1. januar 2020. CCPA gir et bedre vern enn hva andre delstaters regler tilbyr, men er likevel et godt stykke unna vernet den europeiske personvernforordningen gir. Det er derfor interessant at en folkeavstemning i California 3. november 2020 gikk i favør av en ny og mer heldekkende personvernlov. California Privacy Rights Act (CPRA), som loven heter, vil tre i kraft 1. januar 2023.

Nye CPRA skal bygge på rammeverket i CCPA, men i større grad speile den europeiske personvernforordningen. Herunder skal USAs første rendyrkede datatilsyn, California Privacy Protection Agency (CCPA), etableres.

Når CPRA er på plass, kan vi kanskje få en situasjon hvor det vil være forsvarlig å overføre data til California, men ikke andre delstater.

India er interessant fordi mye programvareutvikling, forvaltning og support skjer der. For øyeblikket foregår et arbeid med å gjennomføre Indias første dedikerte personvernlov, kalt Indian Personal Data Protection Bill (PDPB). Tidligere har lagring og overføring av persondata blitt regulert av den generelle Information Technology Rules (ITR), som imidlertid fremstår noe utdatert stilt overfor de nye problemstillingene på området.. PDPB er enda ikke vedtatt av parlamentet, men det er ventet at den vil bli det i løpet av 2021.

Loven er foreslått å gjelde for indiske myndigheter, firmaer som opererer i India og utenlandske firmaer som behandler indiske borgeres persondata.

PDPB har siden det første lovutkastet hatt store likhetstrekk med GPDR, særlig strukturelt. Ser man nærmere på det siste lovutkastet, foreligger det imidlertid visse sentrale forskjeller, som må vurderes ved eksport av personopplysninger. Landet er likevel et demokrati med en rettsstat som muliggjør bruk av rettsmidler for de registrerte.

Kina må også nevnes, selv om det ikke spiller en så sentral rolle for europeisk databehandling som India. Fordi landet er så viktig økonomisk, vil persondata uunngåelig flyte til Kina og tilgang gis fra Kina i forbindelse med handel, produksjon og de mange oppkoblede forbrukerproduktene landet produserer.

Når “Kina” og “personvern” nevnes, vil mange sikkert tenke på landets (groteske) sosiale poengsystem. Det skjer imidlertid nå et arbeid med å innføre den første personvernloven i Kina, kalt Personal Information Protection Law (PIPL). Utkastet, som ble offentliggjort i oktober 2020, bygger på hovedprinsippene fra GDPR, blant annet med krav om lovlighet, nødvendighet, formålsbestemthet, innsyns- og korreksjonsrett.

Ny kinesisk personopplysningslov (visstnok)

Når forsvarligheten av dataeksport til Kina skal vurderes i lys av Schrems II-dommen og de etterfølgende retningslinjene, er det verdt å merke seg at PIPL også pålegger statlige organer i Kina plikter. Når det er sagt, er det ifølge observatører som Jamie P. Horsely tvilsomt om disse pliktene vil håndheves i praksis fordi unntakene for statlige myndigheter er vide, ikke minst innenfor nasjonal sikkerhet. Vi må naturlig nok også ha i mente at Kina er en autoritær stat med et enormt overvåkingssystem, og på ingen måte en rettsstat.

Storbritannia har landet i en slags mellomposisjon etter sin uttreden av EU. Formelt sett har  dronningdømmet ikke rukket å komme på kommisjonens hvitliste, samtidig som realiteten er at reglene i Storbritannia tilsvarer personvernforordningen. Fra EUs side er det lagt opp til en totrinnsrakett:

  • Første trinn gjelder inntil 30. juni 2021 og innebærer at overføringer til Storbritannia ikke vil anses som overføring til et tredjeland.
  • Andre trinn forutsetter at en beslutning om tilstrekkelig vernenivå (adekvansbeslutning) avsies. Om det ikke skjer innen 30. juni 2021, vil Storbritannia anses som et tredjeland. Sjansen for at det skal skje er imidlertid liten, siden EU-kommisjonen 19. februar 2021 innstilte på en adekvansbeslutning for Storbritannia. Den vil i første omgang gjelde i fire år.

For Norges del ble det av traktattekniske grunner laget en forskrift som sier det samme. Den rekordkorte forskriften er hjemlet i personopplysningsloven § 13.

Hva gjør leverandørene?
I den virkelige verden vil det ofte være avgjørende hvordan leverandørene tilpasser seg endringer i rettstilstanden. Ikke minst fordi markedsandelene til de store amerikanske leverandørene øker på bekostning av de europeiske, må vi se nærmere på enkelte av disse leverandørene.

Den største er Amazon Web Services (AWS). Selskapet leverer platform as a service og i liten grad programvare klart til å kjøres. Det vil si at kundene til AWS bygger sine løsninger på toppen av det underliggende tjenestelaget (som nå visstnok teller over flere hundre tjenester). Kundene vil dermed i stor grad kontrollere hvordan løsningen vil se ut, inkludert hvordan persondataene blir behandlet. AWS tilbyr standard personvernbestemmelser. Men som Schrems II gjorde klart, holder ikke avtalen alene. Dermed må kundene som lager løsningene som skal kjøre på AWS’ servere, sørge for tilstrekkelig beskyttelse. AWS oppfordrer til bruk av kryptering, utover den betydelig sikkerheten selskapet selv besørger. Med bevisst fokus på innebygget personvern (pvf. artikkel 25), skal dermed lovlige løsninger kunne bygges, selv om de kjører på AWS’ amerikanske servere. Ønsker man å skrelle vekk den usikkerheten USAs manglende rettsmidler for ikke-amerikanere representerer, vil imidlertid et bedre valg være å kjøre løsningen på et av AWS’ datasentre innen EØS.

Microsoft har gått fra å være et symbol på det onde, monopolistiske konsernet, til å bli ansett som en personvernforsvarer. Selskapets bastante motstand mot det amerikanske justisvesenet i forbindelse med den nevnte Hotmail-saken fra 2013, er nok best kjent. Microsoft har også forsøkt å sikre data mot beslag ved å overføre råderett til datasentre til Deutsche Telekom i 2015.

Det siste initiativet fra Microsoft kom 19. november 2020, fem dager etter at retningslinjene fra Personvernrådet kom. Selskapets holdning er særlig viktig ikke bare fordi veldig mange mennesker bruker Office 365, men også fordi Microsoft, i motsetning til AWS, leverer Software as a Service. Det vil si programvare klar til bruk. Dermed vil få ha mulighet til å legge en trygg løsning oppå programvaren Microsoft tilbyr slik AWS muliggjør.

Initiativet var todelt. For det første et løfte om å bestride alle offentlige myndigheters krav om innsyn der det var mulig. For det andre, å gi erstatning til registrerte som får sine opplysninger utlevert til offentlige myndigheter i strid med personvernforordningen.

I lys av Hotmail-saken og øvrige tiltak, som kryptering og åpenhet, har Microsoft troverdighet. Selskapet påstår faktisk at det er en “entusiastisk tilhenger av GDPR”. 

På samme måte som for Apple, henger nok entusiasmen sammen med at forretningsmodellen til Microsoft ikke krever kommersiell utnyttelse av kundenes personopplysninger, fordi kundene betaler med penger, ikke persondata.

Googles og Facebooks situasjoner er diametralt motsatt. Selskapene tjener det meste av sine penger nettopp på bruk av andres personopplysninger. Dermed oppstår det naturlig en spenning med personvernhensyn, uten av jeg går nærmere inn på dette i denne forbindelsen. Jeg vil likevel anbefale dokumentarene The Great Hack og The Social Dilemma (Netflix). 

Europa AS. På dette bakteppet kan man spørre seg hvorfor ingen gode europeiske alternativer har kommet på banen. Det får bli tema for en annen artikkel. 

Hvor går vi videre?
Vi kan analysere veien videre på flere måter. Her er to måter å se det på:

Analyse 1 – tre krefter. Tre krefter vil etter min mening styre i hvilken retning utviklingen vil gå:

  1. håndheving
  2. behov
  3. evne

Hvor effektiv vil håndhevingen av regelverket bli? Med varselet om overtredelsesgebyr på 100 millioner kroner mot datatjenesten Grindr av 24. januar 2021, girer det norske Datatilsynet opp flere gir. Blir gebyret stående og praksisen videreføres, vil tilsynet kunne bli en sterk kraft for etterlevelse. Gebyrene har imidlertid så langt vært lave i Norge. I andre europeiske land har de vært betydelig større, men likevel langt unna det nivået for eksempel konkurransemyndighetene ligger på. Håndhevingseffekten er derfor etter min mening foreløpig noe begrenset, men vil tilta.

Behovene virksomheter har for å bruke de beste skytjenestene og samhandle med andre land er sterke. De virksomhetene som raskt tar i bruk nye muligheter vil oppnå en konkurransefordel. For eksempel sparer man enormt med tid og kostnader på å bruke det rike tjenestetilbudet til AWS, fremfor selv å bygge en teknisk grunnmur for tjenesten man ønsker å bygge.

Den manglende evnen virksomheter har til å etterleve regelverket vil også bremse etterlevelse, selv for motiverte virksomheter. I praksis er de fleste virksomheter prisgitt leverandørenes tilbud. Dermed blir leverandørens tilpasning til regelverket den avgjørende faktoren for om etterlevelse blir mulig. Som utviklingen med Microsoft viser, kan det være grunn til optimisme. Med hard håndheving og regelutvikling i USA, vil trolig andre store leverandører følge etter. 

I sum gir analyse 1 grunn til optimisme.

Analyse 2 – fire megatrender. Vi kan også se utviklingen i lys av fire underliggende megatrender knyttet til overføring av personopplysninger til andre land.

  1. Mer overvåking. Både etterretningsvesen og annonsører øker sin digitale overvåking. Annonsørene elsker pixel-IDer og remarketing. Etterretningsorganisasjoner tar i bruk alle tenkelige og utenkelige metoder. Kina og USA går i front. Bringes ikke overvåkningen under en eller annen form for kontroll, ser jeg ikke for meg et reelt personvern. Selv om det ikke er en enkel jobb, mener jeg det likevel bør være mulig, med en blanding av tekniske og juridiske tiltak.  
  2. Mer oppkobling. Flere tjenester og mer personlige data blir behandlet utenfor vår reelle kontrollsfære fordi vi blir stadig mer oppkoblet. Treningsapper, korona-apper, kjernejournal og andre helsedata er eksempler. Sosiale medier blottlegger hele sosiale nettverk og interesser. De fleste har minst en app påslått som sporer din geolokasjon. Support ytes fra India og andre steder med svak regulering.
  3. Mer cyberkriminalitet. Om annonsører og spioner hadde holdt seg på matta, vil de kriminelle likevel fortsette å øke sin pågang. Gevinstene for de kriminelle er enorme, og sårbarhetene er store. Noen av de største personvernbruddene vi har sett kommer av kriminell hacking.
  4. Strengere personvernregler. Det er ikke bare Europa og California som ønsker å begrense og kontrollere behandlingen av personopplysninger. Mange land har i lang tid latt seg inspirere av både EUs 1995-personverndirektiv og nå personvernforordningen. EUs imponerende regelfabrikk har hatt stor eksportsuksess, noe som også har økt bevisstheten verden over.

Om regeltrenden i punkt 4 vil klare å demme opp for de tre andre trendene er et stort spørsmål. Skal man se på den historiske utviklingen, som vi begynte med, ser det ikke så lyst ut. Gradvis, over flere hundre år, har vi måtte leve med stadig større inngrep i privatlivet. De reglene som har blitt laget har bremset eller modifisert utviklingen litt, men utviklingen har gått sin gang. Vi blir tilvendt og vi aksepterer. Slik tror jeg dessverre det vil gå også denne gangen, selv med analyse 1 i mente. Håpet er at reguleringen som kommer modererer nok til at lykken ikke tørker inn med privatlivet. 

Hva gjør jeg?
Tilbake i det praktiske hjørnet: Skal man drive forretning, og til en viss grad offentlig forvaltning, slipper man ikke unna eksport av persondata. Hva skal du gjøre?

Som ellers når man står overfor en kraft man ikke kan kontrollere – gjør det beste ut av det:

  1. gi ikke opp
  2. følg de seks stegene i tabellen over (skaff kontroll på hva som eksporteres, begrens mest mulig, gjør sikkert – krypter, slett når ikke trenger lenger mv.)
  3. dokumenter at du har vurdert og handlet
  4. følg opp over tid – legg inn i årshjulet for styrearbeid og internkontroll  

Som samfunn bør vi bygge opp egne alternativer i Norge og EØS. 

Lykke til – verden vil ikke bli den samme igjen – det blir den aldri.

 

Av advokat Kristian Foss, Bull & Co Advokatfirma AS

Publisert i Lov & Data i mars 2021 (1/2021), oppdatert pr. 14. april 2021

SE FLERE ARTIKLER