PwC-podden: Schrems II: Er det mulig å overføre personopplysninger lovlig til USA?

Gjester i PwC-podden:

Bjørn Erik Thon, Leder i Datatilsynet
Christine Ask Ottesen, personvern-ekspert og advokat i PwC
Lars Erlend Leganger, AI (kunstig intelligens)-direktør i PwC

IT-support, felles HR-systemer og amerikanske skytjenester  - er informasjonsflyten ulovlig? 

Personvernforordningen (GDPR) gjelder i EU og EØS og gir regler for flyt av slike opplysninger til tredjeland.

- Schrems II-dommen i EU setter nye hindre for overføring av personopplysninger utenfor EU, og mest aktuelt for mange er USA. Det var den østerrikske studenten Max Schrems som klaget saken inn for retten, forklarer Ottesen. Og resultatet er at flyt av personopplysninger ved for eksempel IT-support, felles HR-system og skytjenester via såkalte Privacy Shield, ikke lenger er lovlig.

Les også: Schrems II: Hva nå med overføring av personopplysninger?

Ikke alle bedrifter vet at de kanskje bryter loven

Privacy Shield: Avtale mellom EU og USA om overføring av data. 

– Det kan nok hende at overføring til USA ikke er mulig å gjøre på en helt lovlig måte. 

- Det er vanskelig å tenke seg at to store økonomier som USA og Europa skal skille lag. Det er ikke økonomisk bærekraftig å ikke kunne overføre data mellom USA og Europa, forteller Thon i Datatilsynet. 

– Jeg tror mange har et litt fjernt forhold til det. Trolig er det ikke langt fremme i panna at de overfører personopplysninger til USA, de som har en skytjeneste eller e-post-server i USA, forklarer Thon. 

– Hva i all verden skal bedriftene gjøre? Spør programleder Signe Moen

– Selv om resultatet av Schrems II er at man ikke lenger kan benytte Privacy Shield som overføringsmekanisme, har EU-domstolen sagt at EUs standardkontrakter fortsatt kan benyttes. Det krever at man gjør en reell kartlegging av hvilke opplysninger som overføres, at risikoen ved overføringen vurderes og at man ved behov iverksetter  ytterligere tiltak for å sikre personopplysningene. Altså i tillegg til standardkontraktene, forteller advokat og personvernekspert Ottesen. 

Blir det bøter? 

– Vi kan ikke gi et svar på dette. Det er en dom som ligger der. Min mening er at vi må finne en politisk løsning så vi kan finne en måte å overføre opplysninger til USA lovlig, sier Thon. 

Man må gjøre en risikoanalyse etter beste evne

Denne dommen burde stått på forsiden av alle aviser. Men det er teknisk og ikke så helt lett å forklare, forteller Datatilsynet-sjefen. 

– Man må gjøre en risikoanalyse etter beste evne. Det er vanskelig å vite hvorvidt opplysningene er av interesse for amerikansk etterretning. 

Gladnyhet for Europa?

– Bekymringen ved forrige GDPR var at det skulle bli kostbart å utforske nye anvendelser av data. Hvis det blir dyrere med advokatutgifter og slikt pga. Schrems II kan det gjøre det mer attraktivt å investere i Europa, sier AI-direktør Leganger.

– Generelt så er dette ikke en gladnyhet for de store amerikanske selskapene, sier Thon.