Spørsmål og svar om nye regler for overføring av personopplysninger til land utenfor EØS

I Schrems II-dommen kommer EU-domstolen med tilleggskrav for overføring av personopplysninger til land utenfor EØS (tredjeland). Det vil si at det ikke lenger er tilstrekkelig å bruke et gyldig overføringsgrunnlag slik som EU-kommisjonens standardbestemmelser eller bindende konsernregler (BCR).

Hva handlet Schrems II-dommen om?

Schrems II-dommen handlet egentlig om hvorvidt Facebook kunne overføre opplysninger om brukere i Europa til USA. Domstolen brukte også anledningen til å si noe om overføring til tredjeland generelt. Den kom frem til at overføringsgrunnlaget kjent som Privacy Shield ikke lenger er gyldig. Det finnes fremdeles andre gyldige overføringsgrunnlag, men domstolen sa at å bruke slike grunnlag i seg selv ikke er nok.
Les mer om dommen

Hva er et overføringsgrunnlag?

I utgangspunktet er det ikke lov å overføre personopplysninger til land utenfor EØS. Det finnes imidlertid noen unntak fra denne regelen, typisk ulike ordninger der den som mottar opplysningene i tredjeland (dataimportøren) tar på seg bestemte forpliktelser. Slike ordninger kaller vi overføringsgrunnlag. Hvis man skal overføre personopplysninger til et land utenfor EØS, må den som skal overføre personopplysningene (dataeksportøren) først finne et passende overføringsgrunnlag samt oppfylle tilleggskravene som EU-domstolen har satt.

Hva går EU-domstolens tilleggskrav ut på?

Meningen med overføringsgrunnlagene er å gi dataimportøren en rekke plikter for å sikre at europeeres personopplysninger blir like godt beskyttet etter overførselen til tredjeland som de blir i EØS. Dataimportøren kan imidlertid være underlagt lokale lover som er i strid med og går foran forpliktelsene etter overføringsgrunnlaget, eller det kan være andre omstendigheter som senker beskyttelsesnivået. Dataeksportøren må derfor først undersøke om beskyttelsesnivået som vil oppnås i praksis, faktisk er tilsvarende som i EØS. Her er det blant annet særlig viktig å undersøke om det finnes overvåkingslover eller andre lover som gir myndighetene i tredjeland uforholdsmessig stor adgang til dataene, samt om den registrertes rettigheter vil kunne ivaretas i praksis.

Hvilke land kan jeg overføre personopplysninger til uten å tenke på overføringsgrunnlag og EU-domstolens tilleggskrav?

Du kan overføre personopplysninger innad i EØS, altså EU-landene, Norge, Island og Liechtenstein, uten å tenke på overføringsgrunnlag og EU-domstolens tilleggskrav. Det samme gjelder land og områder godkjent av EU-kommisjonen. Per i dag er følgende land og områder godkjent: Andorra, Argentina, Canada (gjelder ikke hvis mottakeren er et offentlig organ), Færøyene, Guernsey, Israel, Isle of Man, Japan, Jersey, New Zealand, Sveits og Uruguay.

Hvordan går jeg fram hvis jeg vil overføre personopplysninger til andre land enn de nevnt ovenfor?

I tillegg til å overholde alle relevante krav etter GDPR, slik som for eksempel reglene om behandlingsgrunnlag, databehandleravtaler og risikovurderinger, må du gjøre følgende:

  1. Finn et passende overføringsgrunnlag i personvernforordningen artikkel 46.
    Les mer om de mest brukte overføringsgrunnlagene, EU-kommisjonens standardbestemmelser og bindende konsernregler (BCR)
  2. Du må sørge for at beskyttelsesnivået som vil oppnås i praksis, faktisk er tilsvarende som i EØS, alle forhold tatt i betraktning. Undersøk derfor nøye om det finnes omstendigheter som gjør at beskyttelsesnivået som overføringsgrunnlaget er ment å sikre, ikke vil realiseres i praksis. Her er det viktig å undersøke om dataimportøren, dataimportørens infrastruktur eller eventuelle underleverandører er underlagt lover, regler eller systemer som er i strid med importørens forpliktelser etter overføringsgrunnlaget eller som på annet vis senker beskyttelsesnivået.
  3. Dersom du kommer frem til at det foreligger forhold som gjør at beskyttelsesnivået ikke vil være tilsvarende som i EØS, må du iverksette ytterligere tiltak som veier opp for dette og som sikrer et tilsvarende beskyttelsesnivå i praksis. Dersom det ikke finnes slike ytterligere tiltak eller du ikke er i stand til å iverksette slik tiltak, kan du ikke overføre personopplysningene.
  4. Dersom du er sikker på at beskyttelsesnivået som vil oppnås i praksis, faktisk er tilsvarende som i EØS, kan du begynne å overføre personopplysningene.

Hva kan «ytterligere tiltak» i punkt 3 ovenfor gå ut på?

Hva de ytterligere tiltakene kan gå ut på, må avgjøres i hver enkelt sak, i lys av de konkrete omstendighetene. Det kan potensielt være snakk om juridiske, tekniske eller organisatoriske tiltak. Per nå er det imidlertid stor usikkerhet om hva slags ytterligere tiltak som kan være tilstrekkelige dersom tredjelandet har lover som går foran forpliktelsene etter overføringsgrunnlagene eller på annet vis senker beskyttelsesnivået. Det vil si at det på nåværende tidspunkt er svært utfordrende å overføre personopplysninger til slike tredjeland, og i praksis vil det nok for de fleste ikke være mulig å gjennomføre.

Det europeiske personvernrådet (EDPB) jobber med å utrede hva «ytterligere tiltak» kan innebære.

Jeg er usikker på om jeg kan følge instruksjonene ovenfor. Hva skal jeg gjøre?

Mange aktører kan ha problemer med å følge instruksjonene ovenfor, for eksempel fordi

  • man ikke har på plass et gyldig overføringsgrunnlag
  • man mangler ressurser eller ekspertise til å gjennomføre de nødvendige vurderingene
  • man er usikker på resultatet av vurderingene
  • det er påkrevd med ytterligere tiltak, men man vet ikke hvilke ytterligere tiltak som er tilstrekkelige

I slike tilfeller er det ulovlig å overføre personopplysninger til ikke-godkjente tredjeland.

Spesielt om overføring til USA

Instruksjonene ovenfor gjelder også for overføring av personopplysninger til USA. Med andre ord finnes det en teoretisk mulighet for å gjennomføre slike overføringer, men i realiteten er denne muligheten svært begrenset.

I Schrems II-saken nevner EU-domstolen særlig to amerikanske overvåkingslover:

  • Foreign Intelligence Surveillance Act (FISA) Section 702, også kjent som 50 USC § 1881a
  • Executive Order 12333 (E.O. 12333)

Amerikanske «electronic communication service providers» (tilbydere av elektroniske kommunikasjonstjenester) er underlagt FISA 702. Vi gjør oppmerksom på at dette er definert vidt. For eksempel vil såkalte «remote computing services» være underlagt loven. Det er også viktig å være klar over at loven gjelder både innenfor og utenfor amerikansk territorium.

E.O. 12333 gjelder overvåking av privat kommunikasjon uten samtykke.

Selv om man bruker et godkjent overføringsgrunnlag, vil disse lovene innebærer at beskyttelsesnivået ved overføring av personopplysninger ikke er tilsvarende som i EØS. Med andre ord er det helt avgjørende om dataimportøren, dataimportørens infrastruktur eller eventuelle underleverandører er underlagt disse eller tilsvarende lover, og som regel vil det være tilfellet.

Dersom dataimportøren, dataimportørens infrastruktur eller eventuelle underleverandører er underlagt disse eller tilsvarende lover, må det eventuelt iverksettes «ytterligere tiltak» som beskrevet i punkt 3 ovenfor dersom overføringen skal fortsette. Dette kan være svært utfordrende eller umulig å få til i praksis, og i så fall kan ikke overføring av personopplysninger til USA finne sted.

Hvilket ansvar har dataimportøren?

For det første vil dataimportøren kunne hjelpe dataeksportøren med å forstå lovene og forholdene i tredjelandet. For det andre har dataimportøren plikt til å si fra til dataeksportøren dersom den ikke kan følge sine forpliktelser etter overføringsgrunnlaget, for eksempel dersom det innføres nye lover i tredjelandet eller tolkningen av eksisterende lover endres. I slike tilfeller må dataeksportøren enten

  • iverksette ytterligere tiltak i tråd med punkt 3 ovenfor hvis mulig
  • slutte å overføre personopplysninger og be om at dataimportøren tilbakefører eller sletter dataene som allerede er overført

Vil det være en overgangsperiode før de nye kravene begynner å gjelde?

Svaret er nei. Tilleggskravene til EU-domstolen allerede har begynt å gjelde, og det er heller ikke mulig å bruke Privacy Shield som overføringsgrunnlag lenger. Kravene gjelder både nye og eksisterende overføringer. Dataeksportører som allerede overfører personopplysninger til ikke-godkjente tredjeland må enten

  • følge instruksjonene ovenfor og gjennomføre nødvendige vurderinger og tiltak umiddelbart
  • slutte å overføre personopplysninger og be om at dataimportøren tilbakefører eller sletter dataene som allerede er overført

Finnes det unntak, for eksempel hvis jeg må overføre personopplysninger for å redde noens liv?

Ja, det finnes noen unntak fra reglene beskrevet ovenfor, og disse står listet opp i personvernforordningen artikkel 49. Det er viktig å være oppmerksom på at unntaksreglene skal tolkes snevert og at de bare kan brukes i bestemte tilfeller. Siden det er snakk om unntaksregler, skal de kun brukes unntaksvis. EDPB har laget egne retningslinjer om artikkel 49 (edpb.europa.eu)

Viktige unntaksregler:

  • Personopplysninger kan overføres til tredjeland dersom den registrerte uttrykkelig har samtykket til det. Før samtykket eventuelt gis, må den registrerte informeres om risikoene en slik en overføring innebærer. Dessuten gjelder alle de vanlige kravene til samtykke, for eksempel at samtykket må være helt frivillig, spesifikt og informert samt at samtykke må gis gjennom en aktiv og utvetydig handling. Man kan ikke slå sammen samtykkeforespørselen med andre ting, for eksempel forespørsel om aksept av brukervilkår. Personen skal heller ikke bli utestengt fra tjenesten eller oppleve andre negative konsekvenser hvis hun velger å ikke gi samtykke, og det skal være like lett å trekke tilbake samtykke som det var å gi det.
  • Personopplysninger kan overføres til tredjeland dersom overføringen er objektivt nødvendig for å oppfylle en avtale med den registrerte. Det følger av personvernforordningen fortalepunkt 111 at dette unntaket kun kan brukes når overføringen skjer leilighetsvis. EDPB har retningslinjer om hvordan «nødvendig for å oppfylle en avtale» skal forstås i andre sammenhenger (edpb.europa.eu)
  • Personopplysninger kan overføres til tredjeland dersom overføringen er nødvendig av hensyn til viktige allmenne interesser. Disse viktige allmenne interessene må være anerkjent i EU-retten eller i en EØS-stats nasjonale rett. I tillegg må det være mulig å utlede fra det aktuelle rettsgrunnlaget at overføring til tredjeland av hensyn til de viktige interessene er tillatt.
  • Personopplysninger kan overføres til tredjeland dersom overføringen er nødvendig for å verne den registrertes eller andre personers vitale interesser i tilfeller der den registrerte fysisk eller juridisk ikke er i stand til å gi samtykke. «Vitale interesser» oppstiller en veldig høy terskel, så vilkårene for dette unntaket vil sjeldent være oppfylt, men det kan være praktisk viktig der det er akutt fare for liv og helse.

Se også EDPBs spørsmål og svar om de nye reglene for overføring av personopplysninger til tredjeland (engelsk, pdf)

6