Overføring av personopplysninger ut av EØS

Tilleggskrav

Noen ganger er det ikke nok å ha et overføringsgrunnlag. I denne delen skal vi gjennomgå hva tilleggskravene innebærer og hvordan de bør forstås.

I den såkalte Schrems II-dommen (curia.europa.eu) understreket EU-domstolen at man alltid må undersøke om beskyttelsesnivået i praksis vil bli undergravd av forhold i tredjelandet, for eksempel overvåkingslover som går lenger enn det som er nødvendig og proporsjonalt. I så fall må man iverksette ytterligere tiltak.

Det er viktig å skille mellom to typetilfeller: Noen ganger skjer overføringen på virksomhetens vegne, for eksempel fordi det sendes personopplysninger til en mottaker i tredjeland, lagrer personopplysninger i tredjeland eller bruker support-tjenester fra tredjeland. Andre ganger er det databehandleren som bestemmer at personopplysninger skal overføres, i strid med virksomhetens ønsker. Reglene kan slå ulikt ut i disse to tilfellene, og derfor kommer vi til å omtale sistnevnte tilfelle senere i veiledningen.

Dersom overføringen bygger på en adekvansbeslutning eller et av unntakene i artikkel 49 (utdypet i siste kapittel i veiledningen), kan du se bort fra tilleggskravene etter Schrems II-dommen.

Introduksjon: Schrems II-dommen og amerikanske overvåkingslover

Bakgrunnen for Schrems II-dommen var at en person klaget på at Facebook overførte personopplysningene hans til USA. EU-domstolen tok stilling til den daværende adekvansbeslutningen for USA, Privacy Shield, og kom frem til at denne var ugyldig. Motsatt kom domstolen til at EU-kommisjonens standard personvernbestemmelser fremdeles er et gyldig overføringsrunnlag – men at standard personvernbestemmelser ikke alltid er tilstrekkelig i seg selv.

Formålet med standard personvernbestemmelser er at dataimportøren skal garantere et tilstrekkelig beskyttelsesnivå etter at personopplysningene har blitt overført ut av EØS. Man må imidlertid vurdere hvorvidt dette beskyttelsesnivået vil opprettholdes i praksis før data overføres. Standard personvernbestemmelser er nemlig ikke bindende for tredjelandets myndigheter, og tredjelandets lover kan gå foran standard personvernbestemmelser. Et særlig praktisk typetilfelle er der tredjelandets lovgivning tillater at myndighetene kan skaffe seg adgang til data i større grad enn det som er proporsjonalt og nødvendig.

Derfor uttalte domstolen at i noen tilfeller må standard personvernbestemmelser suppleres av ytterligere garantier og tiltak. Dersom det er nødvendig med ytterligere tiltak, men slike tiltak ikke iverksettes, er overføringen ulovlig og må opphøre. Datatilsynet og de andre datatilsynsmyndighetene i EØS legger til grunn at det samme også gjelder ved bruk av andre overføringsgrunnlag.

Ikke alle overvåkingslover i tredjeland er problematiske. Noen ganger kan man gjøre unntak fra personopplysningsvernet hvis det er proporsjonalt og strengt nødvendig. Det må fremgå av unntakslovene når, på hvilke vilkår og i hvilket omfang de gjelder. Unntakslovene må også inneholde garantier som ivaretar de berørtes data mot misbruk. Det er viktig at de registrertes rettigheter og deres adgang til effektive rettsmidler ved brudd på personvernet er ivaretatt i praksis.

Domstolen vurderte amerikansk lovgivning spesifikt og kom frem til at særlig Foreign Intelligence Surveillance Act (FISA) Section 702 og Executive Order (E.O.) 12333 er problematiske opp mot kriteriene ovenfor.

FISA 702 innebærer at amerikanske virksomheter kan motta begjæringer fra amerikanske myndigheter om uthenting av informasjon om bestemte personer. Her trakk EU-domstolen særlig frem manglende kontrollmekanismer for å gjennomgå etterretningens målretting på individnivå. E.O. 12333 tillater masselagring av data som sendes til USA uten rettslig prøving. Domstolen uttalte at omfanget av myndighetenes tilgang til data under E.O. ikke er tilstrekkelig klart og presist avgrenset.

Når det gjelder FISA 702 og E.O. 12333 gjør vi oppmerksom på følgende:

  • Amerikanske "electronic communication service providers" (tilbydere av elektroniske kommunikasjonstjenester) er underlagt FISA 702. Dette er definert vidt. For eksempel vil såkalte "remote computing services" være underlagt loven. Det er også viktig å være klar over at loven kan gjelde både innenfor og utenfor amerikansk territorium. Samtidig finnes det også eksempler på amerikansk tjenesteyting som ikke faller inn under denne loven. Dette kan for eksempel være tilfellet for teknisk støtte knyttet til enkelte on premise-løsninger.
  • I motsetning til FISA 702 krever ikke E.O. 12333 at amerikanske virksomheter hjelper amerikanske myndigheter å få tilgang til dataene, for eksempel ved å oppgi krypteringsnøkkelen.

EU-domstolens dommer er ikke direkte bindende for Norge, Island og Liechtenstein, men vi må tolke personvernforordningen likt som alle EU-landene, og derfor har EU-domstolens avgjørelser i praksis mye å si også for oss. EU-domstolen henviser flere ganger til EU-charteret for grunnleggende rettigheter. Heller ikke dette er bindende for Norge, men personvernforordningen leses ofte i lys av Charteret, og igjen må vi tolke personvernforordningen likt som EU-landene.

De ulike stegene i vurderingen

Når du skal vurdere om det er lov å overføre personopplysninger ut av EØS, kan du ta utgangspunkt i følgende sjekkliste:

  1. Kjenn overføringene
    Det er viktig å ha full oversikt over alle prosesser, systemer, tjenester, løsninger, partnere, leverandører, databehandlere og databehandleres underleverandører som overfører personopplysninger ut av EØS. Fjerntilgang, for eksempel for teknisk støtte, regnes som nevnt også som en overføring. Behandlingsansvarlige og databehandlere har som hovedregel plikt til å føre protokoll over behandlingsaktiviteter, og her skal alle overføringer ut av EØS være beskrevet. Man har også plikt til å informere de registrerte om slike overføringer.

    Husk at vanlige løsninger som nettsidetillegg, markedsføringstjenester og skytjenester kan innebære overføring av personopplysninger ut av EØS. Husk også å ta med videreoverføringer ("onward transfers") i oversikten din, for eksempel hvis en databehandler i et tredjeland bruker underleverandører i andre tredjeland.
  2. Identifiser overføringsgrunnlag
    Før overføringen starter, må man også ha identifisert et passende overføringsgrunnlag. Alternativt kan man i enkelte tilfeller bruke unntaksreglene. I så fall trenger man ikke følge steg 3 og 4.
  3. Vurder om overføringsgrunnlaget vil være effektivt i lys av alle omstendighetene ved overføringen
    I dette steget må man undersøke lover og praksis i tredjelandet. Vil disse lovene og praksisene påvirke hvordan dataeksportør eller dataimportør behandler personopplysninger under overføringsgrunnlaget? Hvis ja, vil disse lovene og praksisene føre til et lavere beskyttelsesnivå i praksis enn i EØS? Husk å vurdere hvordan lovene og praksisene påvirker eventuelle databehandlere, underleverandører og infrastruktur som brukes i behandlingen av personopplysninger.

    Som nevnt er ikke alle lover og praksiser som gir lokale myndigheter adgang til data, problematiske. Det er først når lokale lover og praksis går lenger enn det som er nødvendig og proporsjonalt, at beskyttelsesnivået undergraves. Vi utdyper nedenfor.
  4. Iverksett ytterligere tiltak
    Dersom vurderingen under steg 3 viste at beskyttelsesnivået i praksis vil være lavere enn i EØS, må du iverksette ytterligere tiltak som veier opp for dette og som sikrer et tilsvarende beskyttelsesnivå i praksis. Dersom det ikke finnes slike ytterligere tiltak eller du ikke er i stand til å iverksette slik tiltak, kan du ikke overføre personopplysningene. Vi utdyper nedenfor.
  5. Re-evaluer med jevne mellomrom
    Lovgivning i tredjeland kan endre seg, eller det kan være at ytterligere tiltak som tidligere var effektive, ikke lenger er det. Det kan også være at dataimportøren har brutt eller ikke lenger kan følge forpliktelsene sine. Dersom man har basert overføringen på en unntaksregel, kan det være at unntaksregelen ikke lenger passer eller har blitt brukt i større grad enn opprinnelig forutsett. Det er viktig å være i stand til å fange opp slike endringer og å evaluere ved jevne mellomrom at overføringen fremdeles er lovlig.

Særlig om steg 3 – Vurdering av beskyttelsesnivået

Når man skal vurdere beskyttelsesnivået i ett eller flere tredjeland, må man se på alle involverte aktører – behandlingsansvarlige, databehandlere og databehandleres underleverandører – samt infrastrukturen som benyttes. Man må se på hvilke lover og hvilken praksis som påvirker den spesifikke overføringen, i lys av alle overføringens omstendigheter. Hvilke lover og praksis som gjelder kan komme an på

  • formålet med behandlingen og overføringen (for eksempel formål knyttet til markedsføring, HR, lagring, teknisk støtte, kliniske studier)
  • typen aktører involvert (offentlige/private, behandlingsansvarlige/databehandlere)
  • den aktuelle sektoren (for eksempel adtech, telekom, finans, journalistikk, helse)
  • kategorien personopplysninger (for eksempel kan tredjelandet ha særlover knyttet til mindreårige)
  • hvorvidt dataene lagres i tredjeland eller hvorvidt det vil være fjerntilgang til data lagret i EØS
  • dataformat (klartekst, pseudonymisert eller kryptert)
  • muligheten for videreoverføring til nye tredjeland

Eksempel

I noen land er det begrensninger på myndighetenes adgang til å kreve informasjon fra medier, advokater eller helsepersonell. Her kan altså formålet, typen aktører, sektor, samt kategoriene av personopplysninger være avgjørende for om problematiske overvåkingslover kommer til anvendelse på den aktuelle overføringen.

Lover og praksis kan utgjøre et inngrep i personvernet, uavhengig av om dataene er sensitive eller hvorvidt personene det gjelder faktisk har blitt negativt berørt av inngrepet – men ikke alle inngrep utgjør en krenkelse. Det er først når lovene og praksisene går lenger enn nødvendig og proporsjonalt at de utgjør en krenkelse. Man trenger bare iverksette ytterligere tiltak der det foreligger en krenkelse.

Når man skal vurdere om lover og praksis utgjør en krenkelse av personvernet, kan man blant annet se hen til momentene som

Som nevnt over er EU-charteret for grunnleggende rettigheter ikke bindende for Norge. Charteret kan imidlertid være relevant der personvernforordningen blir tolket i lys av det. EMK er bindende for Norge og gjelder som norsk lov gjennom menneskerettighetsloven.

Eksempel

Et element i vurderingen av om et inngrep er proporsjonalt kan være om personopplysningene det er snakk om, allerede er offentlig tilgjengelig. Myndigheters innhenting av offentlig tilgjengelige personopplysninger vil lettere kunne utgjøre et proporsjonalt inngrep enn innhenting av opplysninger som ikke er tilgjengelig for allmenheten. Det må vurderes konkret fra sak til sak.

Omgåelse av regelverket ved å publisere personopplysninger med eneste hensikt om å overføre dem til et tredjeland, vil i alle tilfeller kunne være brudd på både artikkel 6 og kapittel V i personvernforordningen.

Noen ganger kan det være motstrid mellom lov og praksis. Dersom loven på papiret ikke utgjør en krenkelse av personvernet, men den praktiseres på en måte som utgjør en krenkelse, må man iverksette ytterligere tiltak. Det kan også være tilfeller der tredjelandets overvåkingslover ikke er offentlig tilgjengelige, eller der tredjelandet ikke har lovgivning om overvåking. I disse tilfellene er det viktig å sjekke hva situasjonen er i praksis og om praksisen utgjør en krenkelse.

Motsatt kan det være tilfeller der loven er problematisk, men der det ikke er noen grunn til å tro at den problematiske lovgivningen vil bli anvendt på overføringen i praksis. I så fall trenger du ikke å iverksette ytterligere tiltak. Du må kunne dokumentere detaljert gjennom vurderingen din at loven ikke blir tolket eller anvendt i praksis slik at den dekker overføringen, også tatt i betraktning av erfaringene til liknende aktører i samme bransje og/eller relatert til tilsvarende overføringer, samt annen aktuell informasjon.

Her kan man også legge vekt på dataimportørens dokumenterte praktiske erfaringer med tidligere utleveringsbegjæringer fra tredjelands myndigheter. Dette gjelder imidlertid bare dersom tredjelandets lovgivning ikke forbyr dataimportøren å gi informasjon om tidligere utleveringsbegjæringer. Det er viktig å merke seg at det faktum at en dataimportør ikke har mottatt utleveringsbegjæringer tidligere, ikke i seg selv er tilstrekkelig til å fortsette uten å iverksette ytterligere tiltak. Dette kan imidlertid inngå i en helhetsvurdering dersom annen informasjon om praksis i tredjelandet underbygger og ikke motsier dataimportørens dokumenterte praktiske erfaringer.

Informasjonen vurderingene bygger på bør være

  • relevant – den må være til hjelp i den konkrete situasjonen og ikke være for generell eller abstrakt
  • objektiv – den må underbygges av empirisk kunnskap, ikke antakelser om potensielle hendelser
  • pålitelig – man må kritisk vurdere kilden for informasjonen og selve informasjonen separat
  • verifiserbar – det må være mulig for tilsynsmyndighetene eller domstolene å ettergå informasjonen
  • tilgjengelig – det må være mulig å gjenskaffe informasjonen slik at den kan deles med tilsynsmyndighetene, domstolene og de registrerte

EDPBs anbefalinger om ytterligere tiltak inneholder mer informasjon om vurderingen av beskyttelsesnivået, samt mulige informasjonskilder (edpb.europa.eu). 

Særlig om steg 4 – Eksempler på ytterligere tiltak

Dersom du kommer frem til at lovene og praksis i tredjelandet går lenger enn nødvendig og ikke er proporsjonale, må du iverksette ytterligere tiltak for å sikre at beskyttelsesnivået for personopplysninger blir tilsvarende som i EØS. Med andre ord må krenkelser av personvernet motvirkes. Tiltakene kan være tekniske, juridiske eller organisatoriske, og ofte bør ulike typer tiltak kombineres.

I utgangspunktet bør de ytterligere tiltakene inkludere tekniske tiltak. Grunnen til at man trenger ytterligere tiltak er jo nettopp fordi lokale lover i tredjelandet går foran overføringsgrunnlaget, som ofte er en juridisk bindende avtale. Da kan det som regel være vanskelig å se for seg ytterligere juridiske eller organisatoriske tiltak som alene kan sikre beskyttelsesnivået. Hva som er effektivt i praksis, må imidlertid vurderes konkret i hver enkelt sak.

Når det gjelder tekniske tiltak, står særlig sterk kryptering og nøkkelhåndtering sentralt. Kryptering kan typisk motvirke at tredjelands myndigheter får adgang til data under transport og lagring så lenge krypteringsnøkkelen ikke er eller vil bli tilgjengelig for myndighetene eller aktørene underlagt tredjelands lovgivning.

Vær oppmerksom på at det kan være mulig for skytjenesteleverandører å hente ut kryptert data ved hjelp av særskilte fremgangsmåter. Dette er relevant dersom lovgivning eller praksis i det aktuelle tredjelandet tilsier at myndighetene har adgang til å hente ut data gjennom slike fremgangsmåter i praksis. For mer informasjon, se NSMs nettsider. 

Dersom derimot en dataimportør i tredjeland forvalter krypteringsnøkkelen på vegne av behandlingsansvarlig, vil ikke kryptering være effektivt mot utleveringsbegjæringer fra lokale myndigheter. Vi vil også minne om at krypteringsalgoritmen må være state-of-the-art, og at det er en plikt for den behandlingsansvarlige for å rutinemessig kvalitetssikre dette sikkerhetstiltaket.

Et annet veldig praktisk teknisk tiltak er pseudonymisering. Dette forutsetter at koblingsnøkkelen ikke er eller vil bli tilgjengelig for myndighetene eller aktørene underlagt tredjelands lovgivning. Husk å ta i betraktning informasjon som man kan forvente at tredjelandets myndigheter har og kan bruke. Pseudonymisering er særlig praktisk for forskningsmiljøer.

Juridiske tiltak kan for eksempel innebære en kontraktsmessig forpliktelse til å iverksette bestemte tekniske tiltak og tiltak når det gjelder nøkkelhåndtering. Tilsvarende kan man forby at dataimportøren forsøker å reidentifisere personer i pseudonymiserte datasett.

Avtalen kan også pålegge dataimportøren å hjelpe dataeksportøren vurdere og følge med på beskyttelsesnivået i tredjelandet, eller å kommunisere hvilke tiltak dataimportøren har blitt og blir pålagt av tredjelands overvåkingsmyndigheter hvis mulig. Et annet eksempel kan være at dataimportøren blir pålagt å utfordre alle utleveringsbegjæringer de mottar i fremtiden, eller at de blir pålagt å hjelpe de registrerte ivareta deres rettigheter i tredjelandet.

Organisatoriske tiltak sikter til interne rutiner, fremgangsmåter og internkontroll. For eksempel bør virksomheten være organisert slik at den er godt rustet til å håndtere utleveringsbegjæringer, den bør ha gode rapporteringslinjer. Det er viktig å dokumentere godt ved eventuelle utleveringsbegjæringer. God opplæring og streng tilgangsstyring er helt sentrale, organisatoriske tiltak.

EDPBs anbefalinger om ytterligere tiltak (edpb.europa.eu), anneks 2, inneholder flere eksempler på ytterligere tiltak samt hva som skal til for at tiltakene skal være effektive. Dette er bare eksempler – listen er ikke uttømmende.

Når du skal vurdere hvilke ytterligere tiltak som er mest effektive, bør du for eksempel se på

  • dataformat (klartekst, pseudonymisert eller kryptert)
  • dataenes natur (for eksempel nyter særlige kategorier personopplysninger høyere beskyttelse etter personvernforordningen)
  • lengden og kompleksiteten av personopplysningsbehandlingsforløpet, antallet aktører involvert og forholdet mellom dem (involverer for eksempel overføringen flere behandlingsansvarlige eller både behandlingsansvarlige og databehandlere, og hvem av dem foretar overføringen?)
  • gjennom hvilke teknikker eller basert på hvilke parametere tredjelandets problematiske lovgivning anvendes
  • muligheten for at dataene blir overført videre innenfor det samme tredjelandet eller til et annet tredjeland (for eksempel gjennom databehandlers underleverandør)

Dersom man iverksetter ytterligere tiltak som sikrer et tilstrekkelig beskyttelsesnivå, kan overføringen av personopplysninger begynne. Dersom ytterligere tiltak er påkrevd, men man ikke iverksetter eller lykkes med å identifisere effektive tiltak, kan overføringen ikke finne sted. Hvis man tidligere har overført data lovlig, men endringer i omstendighetene gjør at overføringen nå er ulovlig, må overføringene opphøre, og dataene allerede overført skal tilbakeføres eller slettes.

Vurderinger og dokumentasjon

Reglene om overføring av personopplysninger ut av EØS er kompliserte. Samtidig har EU-domstolen sagt at det er virksomhetene selv som må foreta vurderingene. Dette følger også av ansvarlighetsprinsippet i personvernforordningen. Det betyr at Datatilsynet ikke kan gå inn og "forhåndsgodkjenne" vurderingene til norske virksomheter, selv om mange ønsker dette.

I stedet er det viktig å foreta vurderingene samvittighetsfullt etter beste evne og å dokumentere dem godt. I en eventuell tilsynssak vil Datatilsynet være særlig opptatt av at vurderingene er dokumentert.

Mer informasjon

EDPBs anbefalinger om ytterligere tiltak inneholder mer utdypende informasjon om dette temaet (edpb.europa.eu). Datatilsynet vil tolke loven likt som EDPB i en eventuell tilsynssak.