Safe Harbor-beslutningen kjent ugyldig

Selskaper som overfører personopplysninger fra europeiske land til USA, må fra og med i dag finne nye mekanismer å benytte seg av for å unngå å bryte det felleseuropeiske personvernregelverket.

Grunnen er at EU-domstolen i dag tidlig avgjorde at EUs Safe Harbor-beslutning fra 2000 er ugyldig. Beslutningen har hittil gitt grønt lys for selskaper som ønsker å overføre persondata til amerikanske selskaper som er Safe Harbor-sertifisert.

Rammeverket er kjent ugyldig

Listen over kjente amerikanske IT-giganter på Safe Harbor-listen er lang – men nå er altså hele rammeverket kjent ugyldig, og konsekvensen blir at man ikke kan belage seg på denne mekanismen når man skal overføre data om personer til disse selskapene i USA. Slik overføring skjer både helt målrettet, som for eksempel via e-post adressert til mottakere i USA, men også mer indirekte, ved hjelp av skytjenester, sosiale medier, web-analyseprogramvare og apper.

Avsa ekspress-dom

Avgjørelsen kom snaue to uker etter at generaladvokat Yves Bot ga uttrykk for at Safe Harbor-beslutningen strider mot de grunnleggende menneskerettighetene i EUs charter. EU-domstolen har med andre ord tatt en usedvanlig rask beslutning, og den har lagt seg på samme linje som Bot. En mulig forklaring på den rekordkorte responstiden, kan være den pågående forordningsprosessen, men også fordi selve Safe Harbor-rammeverket er under reforhandling.

- Domstolens avgjørelse er et sterkt signal til lovgiverne i Brussel om at retten til privatliv, korrespondanse og databeskyttelse står sterkere enn noensinne, sier direktør i Datatilsynet, Bjørn Erik Thon.

Nasjonale datatilsyn kan selv vurdere land

I tillegg uttaler domstolen at de nasjonale datatilsynenes uavhengighet står i veien for at EU-kommisjonen fatter eksklusive beslutninger om hvorvidt beskyttelsen i et ikke-medlemsland er tilfredsstillende etter europeiske standarder eller ikke. Til nå har datatilsynsmyndighetene vært meget tilbakeholdne med å gjøre egne vurderinger av tredjeland, men etter dommen vil slike avgjørelser være noe datatilsynsmyndighetene i EU-medlemslandene og EØS-landene selv kan ta. Uansett føyer avgjørelsen seg inn i en lang rekke saker der datatilsynsmyndighetenes uavhengighet blir fremhevet som et essensielt element i europeisk databeskyttelse.

Konsekvensen for europeiske, og norske, dataeksportører blir etter dette merkbare. Ettersom Safe Harbor ikke lenger kan benyttes som grunnlag for å overføre data fra EU – og Norge, som EØS-land – må man benytte seg av det eksisterende standardkontraktsregimet, som brukes ved dataeksport til alle andre tredjeland. Det dreier seg om i alt tre standardkontrakter, som alle er laget av EU-kommisjonen. Disse kontraktene har i nesten femten år vært det anbefalte rettslige overføringsgrunnlaget for behandlingsansvarlige som ønsker å overføre personopplysninger til stater som ikke sikrer et tilfredsstillende personvernnivå gjennom sin interne rettsorden. Klausulene i kontrakten kan aldri gi et like godt vern som nasjonal lovgivning, men det er det beste verktøyet, i mangel av en internasjonal avtale. Uten disse kontraktene ville det ha vært svært tungvint å eksportere persondata ut av Norge.

Kan fremdeles bruke standardkontrakter

Enkelte advokater har spurt om standardkontraktene gir noe bedre vern enn Safe Harbor, og om ikke også standardkontraktene burde kjennes ugyldige. Svaret er at dommen ikke direkte gjelder standardkontraktene, og at disse fremdeles kan brukes, inntil de eventuelt kjennes ugyldige ved dom eller trekkes tilbake av EU-kommisjonen, som har laget dem. De europeiske datatilsynene kan imidlertid stanse enkeltoverføringer basert på disse avtalene, og det er nettopp dette som er begrunnelsen for at behandlingsansvarlige som skal overføre persondata til tredjeland først må innom Datatilsynet – enten ved å sende varsel om dataoverføringer til databehandlere etter personopplysningsforskriften § 6-3, eller ved søknad om tillatelse etter hovedregelen i personopplysningsloven § 30 andre ledd.

Terskelen for å stanse slike overføringer er imidlertid temmelig høy; Myndighetene kan forby eller suspendere dataoverføringer til tredjeland for å beskytte individene dersom en av de følgende tre situasjonene inntreffer:

  • Hvis lovgivningen som dataimportøren er underlagt, krever at lovgivningen i eksportlandet skal fravikes i større grad enn det som er nødvendig i et demokratisk samfunn, og når disse kravene kan antas å ha en betydelig negativ effekt på den sikkerhet som oppnås ved hjelp av eksportlandets lovgivning og standardkontraktene.
  • Hvis det er stor sannsynlighet for at standardkontraktsklausulene ikke vil bli overholdt, og at en vedvarende overføring av opplysninger vil kunne skape en overhengende risiko for alvorlig skade for de registrerte.

Terskelen for å forby en overføring er høy, men det er uansett svært viktig at behandlingsansvarlige som vurderer å overføre personopplysninger til USA, først gjennomfører en grundig risikovurdering. Grunnkravene for alminnelig behandling må også være oppfylt, se personopplysningsloven § 11. Både utfallet av risikovurderingen og oppfyllelse av grunnkravene kan avhenge av hvilke personopplysninger som planlegges overført – overføring av snesitive opplysnigner om personers helse og religiøse tilhørighet må åpenbart vurderes annerledes enn opplysninger om ansattes e-post, stilling og telefonnummer.

Artikkel 29-gruppen har nå kommet med en anbefaling om å bruke standardkontraktene. Vi stiller oss bak denne anbefalingen - det er derfor gangbart juridisk å bruke disse kontraktene, dersom grunnkravene og risikovurderingene ikke er til hinder for å overføre data til USA.

Norske dataeksportører må for øvrig være oppmerksom på følgende:

  1. Hvis man skal overføre personopplysninger til en databehandler i USA, må man bruke standardkontrakten gitt i EU-kommisjonsbeslutning 2010/87/EU. De som bruker denne standardkontrakten, må varsle Datatilsynet i samsvar med rutinen.
  2. Er importøren å regne som behandlingsansvarlig, anbefaler vi denne kontrakten.

Selve kontraktsdelen ligger i annekset til kommisjonsbeslutningen, se dokumentet side 6. Kontrakten gir de registrerte en rekke rettigheter, og den pålegger både dataeksportøren og dataimportøren flere plikter. Avtalepartene er for eksempel enige om at den registrerte skal kunne anlegge søksmål for en domstol i eksportørlandet (Norge), ha rett til erstatning både hos dataeksportøren, dataimportøren og eventuelle underleverandører, og i tillegg at Datatilsynet kan gjennomføre inspeksjoner hos dataimportøren.

Personopplysningsloven § 30 andre ledd pålegger i utgangspunktet de behandlingsansvarlige å innhente Datatilsynets forhåndsgodkjenning for persondataoverføringer til alle tredjeland. men det er viktig å være klar over at denne plikten bare gjelder når dataimportøren er behandlingsansvarlig. Ved overføringer basert på kommisjonsbeslutning 2010/87 til databehandlere, nyter man godt av unntaket i personopplysningsforskriften § 6-3, og man trenger utelukkende å sende en kopi av kontrakten til Datatilsynet.