Den 16. juli 2020 avsa EU-domstolen en ny og prinsipiell dom vedrørende overføring av personopplysninger fra EU til USA (Schrems II). Etter denne avgjørelsen er ikke lenger Privacy Shield et gyldig rettsgrunnlag for overføring av personopplysninger fra EU til USA. Det har vært mange spørsmål tilknyttet selskapers behandling av personopplysninger og overføring til tredjeland i ettertid. Det europeiske datatilsynet har nå kommet med retningslinjer vedrørende problematikken. Slik kan du sikre deg at overførselen er lovlig.

Kjenn dine overføringer

Som behandlingsansvarlig og databehandler må du kartlegge alle overføringene av personopplysninger utenfor EU/EØS som enten du eller dine underdatabehandlere foretar seg. Det må også kartlegges om tjenesteleverandører som regnes for å være dine underdatabehandlere foretar seg en overførsel utenfor EU. I tillegg må du ta høyde for at dersom du benytter deg av en internasjonal skytjenesteinfrastruktur, som Google, Microsoft, m.m. er det viktig å kartlegge hvorvidt denne overfører personopplysninger utenfor EU. I tillegg må en kartlegge hvorvidt en eventuell overførsel skjer i tråd med “dataminimeringsprinsippet”. Dette innebærer at overførselen ikke skal inneholde mer data enn nødvendig for å foreta behandlingen, altså, må det være en proporsjonalitet mellom overførselen og hvilket behov behandlingen skal dekke.

Dette er en nokså krevende jobb, men første steg vil være å gjennomgå avtaleverket med de enkelte leverandørene samt gjennomgå loggen for overførsel av data. Særlig i førstnevnte vil det fremgå hvorvidt personopplysninger faktisk overføres til tredjeland. En gjennomgang av loggen vil være en forsikring på om leverandøren faktisk opptrer i henhold til avtalen.

For det tilfelle at personopplysninger ikke overføres til tredjeland er det heller ikke behov for å gå gjennom de øvrige retningslinjene for selskapet.

Verifiser ditt grunnlag for overførsel

Dette punktet innebærer at du må forsikre deg at overføringsgrunnlaget som benyttes er tilstrekkelig for å ivareta samme vern som EU/EØS-borgere har innad i EU/EØS også ved overførsel til tredjeland. Tidligere var Privacy Shield nettopp dette grunnlaget frem til 16. juli 2020. Imidlertid ble det fastslått at dette ikke var tilstrekkelig. Etter GDPR artikkel 46 er det en rekke grunnlag som anses for å være tilstrekkelig for å sikre vernet, som blant annet standard kontraktsklausuler, bindende virksomhetsregler, m.m.

Det er imidlertid ikke tilstrekkelig å bare belage seg på at overføringsgrunnlaget er tilstrekkelig. En må i tillegg forsikre seg om at overføringsgrunnlaget faktisk gir EU/EØS-borgere det samme vernet for sine personopplysninger i tredjeland som de har innad i EU/EØS.

Et annet alternativ er å undersøke hvorvidt det er fattet en avgjørelse av EU-kommisjonen som tilsier at tredjelandet som du skal overføre personopplysninger til har tilstrekkelig vern i tråd med GDPR og således er dette å anse som et tilstrekkelig grunnlag.

Vurder vernet i tredjeland

Du må videre vurdere om det er noe i tredjelandets lovgivning eller praksis som kan påvirke effektiviteten og vernet som overføringsgrunnlaget du benytter skal gi, i sammenheng med din spesifikke overføring. Din vurdering bør primært være fokusert på tredjelandslovgivning som er relevant for overføringen din og GDPR artikkel 46, samt om lovgivningen igjen kan undergrave beskyttelsesnivået. Offentlige myndigheters tilgang til data med det formål å overvåke bør vurderes nøye når lovgivningen som regulerer slik tilgang er tvetydig eller ikke offentlig tilgjengelig.

I mangel av lovgivning som regulerer dette, bør du se på andre relevante og objektive faktorer, og ikke stole på subjektive faktorer som sannsynligheten for offentlige myndigheters tilgang til dine data på en måte som ikke er i tråd med EU-standarder.

Identifisere supplerende tiltak

Dette trinnet er bare nødvendig hvis vurderingen din viser at tredjelandslovgivningen påvirker effektiviteten og vernet av overføringsgrunnlaget du belager deg på eller du har til hensikt å belage deg på i forbindelse med overføringen.

Du vil være ansvarlig for avgjørelsene du tar, herunder om EU/EØS-borgere har tilstrekkelig vern i overførselen til tredjeland. Det kan også være behov for at du kombinerer flere supplerende tiltak. Du kan til slutt oppdage at ingen supplerende tiltak kan sikre tilsvarende beskyttelsesnivå for din spesifikke overføring. I slike tilfeller hvor ingen supplerende tiltak er tilstrekkelig, må du unngå, stanse eller avslutte overføringen for å unngå å kompromittere beskyttelsesnivået til personopplysningene.

Som eksempel på supplerende tiltak nevnes det tekniske tiltak som sterk kryptering av data, anonymisering av data m.m. Disse tiltakene kan ikke regnes for å være uttømmende og det må vurderes konkret for den spesifikke overførselen om supplerende tiltak er formålstjenlig å implementere.

Implementering av supplerende tiltak

Når du har tenkt å implementere tilleggstiltak i tillegg til, eksempelvis, standard kontraktsklausuler, er det viktig å forsikre deg om at klausuler som omhandler tiltakene som implementeres ikke, under noen som helst omstendigheter, fortrenger de rettighetene og forpliktelsene som følger av overføringsgrunnlaget eller under noen som helst omstendigheter minimerer vernet som skal nytes.

Jevnlig vurdere grunnlag og tiltak

Du må, avslutningsvis, jevnlig vurdere med passende intervaller vernet og implementerte tiltak til dataene du overfører til tredjeland. Og overvåke om det har skjedd eller vil være noen utvikling som kan påvirke det opprinnelige vernet. Prinsippet om ansvarlighet krever kontinuerlig årvåkenhet om beskyttelsesnivået for personopplysninger.

De gjennomgåtte retningslinjene er kun å regne som rådgivende, hvor det er viktig å vurdere spesifikke overføringer helt konkret.