Veileder fra EDPB: Hvordan skal man forholde seg til Schrems II?

18/11/20

Kloden, verdensomspennende

Etter at EU-domstolen i sommer avsa Schrems II-dommen, har overføring av personopplysninger til tredjeland vært et verdensomspennende tema. Foto: Adobe stock.

Det europeiske personvernrådet (EDPB) som gir retningslinjer og uttaler seg om hvordan GDPR skal forstås, har vedtatt flere retningslinjer om forståelsen av Schrems II. Fremover blir nok snarere spørsmålet hvordan man skal forholde seg til EDPBs veiledere, enn til dommen i seg selv. 

PwC hjelper deg med å navigere i dette farvannet og bistår virksomheter løpende med å finne fremgangsmåter for hvordan man best håndterer problematikken i det korte og lange løp. 

Kort om Schrems-II 

Som et utgangspunkt må man ha et gyldig overføringsgrunnlag etter GDPR for overføring av personopplysninger til tredjeland, altså land utenfor EU/EØS. I sommer avsa EU-domstolen Schrems II-dommen, som resulterte i strengere krav ved overføring av personopplysninger til tredjeland. 

Domstolen kom til at Privacy Shield, som var et overføringsgrunnlag for å overføre personopplysninger til USA, var ugyldig. Begrunnelsen var at USAs lovgivning gir amerikanske myndigheter vide hjemler til å behandle personopplysninger som strider mot det europeiske personvernregelverket, herunder også den grunnleggende retten til et privatliv som følger av EU-charteret. Privacy Shield har vært et av de mest benyttede grunnlagene for overføring av personopplysninger fra aktører i EU/EØS til USA. Konsekvensen av Schrems II er at all overføring basert på Privacy Shield har vært ulovlig siden Privacy Shield ble vedtatt i 2016.

Videre kom domstolen til at EUs standardavtaler (SCC), et alternativt overføringsgrunnlag, var gyldig, men under forutsetning av at partene undersøker om tredjelandet man overfører personopplysninger til gir et tilstrekkelig beskyttelsesnivå for de overførte personopplysningene, og at det innføres ytterligere beskyttelsestiltak dersom dette ikke er tilfellet. Et tilstrekkelig beskyttelsesnivå innebærer at lovgivningen i tredjelandet gir tilnærmet de samme plikter og rettigheter som etter GDPR. Det samme kravet til ytterligere beskyttelsestiltak vil gjelde også ved bruk av bindende virksomhetsregler (BCR). Vi har skrevet mer utførlig om dommen her.

 

EDPBs foreslåtte fremgangsmåte

I veilederen har EDPB utviklet en fremgangsmåte bestående av seks steg som kan benyttes av virksomheter som overfører eller planlegger å overføre personopplysninger til tredjeland, se figuren nedenfor. 

Les også: «Her er de viktigste endringene i EDPBs veileder om Schrems II»

Steg 1: Kartlegg og få kontroll på overføringene 

Den behandlingsansvarlige må kartlegge alle overføringer av personopplysninger til tredjeland. Overføringer kan for eksempel finne sted i forbindelse med:

  • skylagring 

  • outsourcing av IT-support 

  • bruk av eksternt HR-system 

  • at ansatte er utstasjonert i tredjeland  

  • bruk av videokonferanseutstyr 

I denne forbindelse er det også viktig å merke seg at man bør vurdere om de aktuelle overføringene er nødvendige, eller om man kan utelukke noen av overføringene.  

Steg 2: Identifiser overføringsgrunnlagene 

I dette steget må man identifisere hvilke overføringsgrunnlag i GDPR som ligger til grunn for overføringene som ble kartlagt i steg 1. Hvis EU-kommisjonen har besluttet at et av tredjelandene gir et tilstrekkelig beskyttelsesnivå i henhold til GDPR, vil det kun være nødvendig å undersøke med jevne mellomrom at de aktuelle avgjørelsene fra EU-kommisjonen fremdeles dekker de aktuelle overføringene. Hvis det aktuelle overføringsgrunnlaget er unntak for særlige situasjoner,  blir spørsmålet om den svært begrensede overføringen som dette overføringsgrunnlaget gir anledning til oppfyller kravene.

Hvis overføringsgrunnlagene derimot er for eksempel SCC eller bindende virksomhetsregler, må man fortsette til steg 3. 

Steg 3: Gir overføringsgrunnlagene en reell og tilstrekkelig beskyttelse i mottakerlandet?

Formålet ved bruk av et overføringsgrunnlag er å sikre at overføringen ikke vanner ut beskyttelsesnivået. Det sentrale er å forstå hvilket beskyttelsesnivå som gjelder i mottakerlandet. For eksempel vil du ikke ha en effektiv rett til sletting dersom leverandøren som henter inn personopplysningene dine i Norge viderefører disse til en lagringsplattform i et land hvor du kanskje ikke har den samme retten til sletting.

I Schrems II-dommen ble det pekt på at det foreligger en rekke gap mellom personvernrettslige plikter og rettigheter i USA og i EU/EØS, og at EUs standardavtaler ikke alene kunne lukke disse gapene. Selv om USA var hovedfokuset i Schrems II-dommen, er det klart at det vil finnes tilsvarende gap også i andre tredjeland. Målet med steg 3 er å forstå om det finnes gap, og eventuelt hva gapene går ut på slik at man er i stand til å vurdere om det gjeldende overføringsgrunnlaget kan fylle gapene. 

Mats Ruge Holte

– Etterretningsmyndigheter i andre land kan ha svært vide fullmakter til å skaffe seg innsyn i for eksempel kommunikasjonsdata og kameraovervåkningsdata. Dette er særlig aktuelt i land hvor demokratiet står svakt. I tillegg kan de ha relativt sett få begrensninger rundt bruken av slike data. Dette er et problem fra et personvernmessig ståsted, særlig sett med europeiske øyne, forteller Mats Ruge Holte, fagansvarlig for samfunnssikkerhet og beredskap i PwC og tidligere analytiker i etterretningstjenesten.

EDPBs retningslinjer 02/2020 angir hvordan den behandlingsansvarlige skal gjøre disse vurderingene. Veilederen gir anvisning på hvilke momenter som er relevant å vurdere i tredjelandets lokale lovgivning, samt hvilke europeiske rettigheter lovgivningen skal vurderes opp mot.

Steg 4: Hvis ikke, kan ytterligere beskyttelsestiltak lukke gapene?

Hvis man i steg 3 har avklart at det gjeldende overføringsgrunnlaget ikke lukker gapene, enten i det hele tatt eller bare delvis, blir spørsmålet om man klarer å identifisere beskyttelsestiltak som sammen med overføringsgrunnlaget kan lukke gapene slik at beskyttelsesnivået i tredjelandet blir tilnærmet det samme som i EU/EØS. Denne vurderingen må gjøres for hver enkelt leverandør, og tiltakene må tilpasses ut ifra hva som er effektivt i praksis. Virksomheters ressurser og tekniske infrastruktur er momenter som kan innebære at visse tiltak ikke vil være mulige å gjennomføre i praksis, eller ikke vil være effektive i praksis.

Vedlegg i 2 i EDPBs veileder angir en ikke-uttømmende liste over helt konkrete tekniske, kontraktsmessige og organisatoriske tiltak som virksomheter kan implementere for å fylle gapene mellom europeisk personvernlovgivning og det aktuelle tredjelandet. Vi har skrevet mer detaljert om tiltakene nedenfor.

Steg 5: Hvis ja, innfør de aktuelle tiltakene 

Dette steget handler om at de ekstra beskyttelsestiltakene må inkorporeres i avtaleforholdet mellom den behandlingsansvarlige i EU/EØS og virksomheten i tredjelandet. Dette skjer både ved hjelp av kontraktsmessige tiltak, men også gjennom organisatoriske tiltak som sikrer at tiltakene blir en integrert del av den daglige driften i virksomhetene som er involvert i avtaleforholdet. Problemet som gjennomsyrer Schrems II-avgjørelsen er nettopp at plikter og ansvar ikke har blitt fulgt opp i praksis.

Steg 6: Re-evaluer beskyttelsesnivået i mottakerlandet på regelmessig basis

Premissene som ligger til grunn for kartleggingene og vurderingene som nevnt ovenfor forandrer seg stadig. Lovgivning endres og leverandører forandrer på måten tjenesten bruker personopplysninger. Etter omstendighetene kan det bli nødvendig å innføre flere tiltak enn de som allerede er innført, eventuelt å stoppe overføringen midlertidig eller permanent. Det er viktig å gjennomgå tidligere kartlegginger og vurderinger regelmessig slik at man avdekker eventuelle endringsbehov.

Roadmap Principles data transfer

Hva innebærer ytterligere beskyttelsestiltak?

Dersom eksempelvis SCC eller bindende virksomhetsregler ikke alene fyller gapene mellom europeisk personvernlovgivning og det relevante tredjelandets lovgivning, blir spørsmålet om ytterligere beskyttelsestiltak sett i sammenheng med det gjeldende overføringsgrunnlaget kan avhjelpe situasjonen. 

For eksempel kan nasjonal sikkerhetslovgivning pålegge dataimportøren å dele personopplysninger med nasjonale myndigheter, uavhengig av hva dataimportøren har garantert for i standardavtalene. En for utstrakt nasjonal sikkerhetslovgivning kan bli ansett som GDPR-stridig, som er tilfellet når den ikke er nødvendig og forholdsmessig i et demokratisk samfunn. 

Her vil det handle om å begrense myndighetenes og andre uautorisertes tilgang til personopplysningene først og fremst gjennom tekniske tiltak. Eksempler på slike tekniske tiltak kan være: 

  • kryptering med nærmere angitte krav 

  • pseudonymisering som ikke gir en mulighet for re-identifisering hos leverandøren, gjennom ekstern nøkkelhåndtering hvor kun dataeksportøren i EU/EØS har tilgang til nøkkelen 

  • pseudonymisering som ikke gir en mulighet for re-identifisering hos leverandøren 

I tillegg må organisatoriske tiltak implementeres som et virkemiddel til å forsterke effekten av de tekniske tiltakene ved å sikre at de plikter og ansvar som følger av avtalen mellom partene blir fulgt opp i praksis. Eksempler på slike organisatoriske tiltak kan være:

  • opplæringsprosedyrer for ansatte som er involvert i innsynsforespørsler fra lokale myndigheter 

  • styringsdokumenter med klar ansvarsfordeling, rapporteringslinjer og prosedyrer for behandling av innsynsforespørsler fra lokale myndigheter 

  • regelmessige revisjoner som skal påse at man ikke behandler et større omfang av personopplysninger enn det som er nødvendig for et gitt formål, og at færrest mulige mennesker har tilgang til personopplysningene  

  • regelmessig publisering av såkalte “Transparency reports” som gir informasjon om tidligere innsynsforespørsler fra lokale myndigheter, i den grad lokal lovgivning tillater dette 

Endelig skal kontraktsmessige tiltak pålegge dataimportøren å innføre de tekniske og organisatoriske tiltakene og stille dem til ansvar om de ikke gjør det. I tillegg kan man ta i bruk for eksempel følgende tiltak: 

  • Innføring av en Warrant Canary-metode, hvor dataimportøren regelmessig sender en kryptografisk signert melding til dataeksport som informerer om hvorvidt de har fått innsynsforespørsler fra lokale myndigheter. 

  • En plikt til å bruke alle tilgjengelige rettsmidler til å motarbeide innsynsforespørsler fra lokale myndigheter 

Alt i alt skal adgang til personopplysninger fra lokale myndigheter og andre uautoriserte parter i tredjeland være underlagt like strenge begrensninger som i EU/EØS. I tillegg skal de registrerte ha samme rettigheter i tredjelandet som etter GDPR. 

Det er viktig å merke seg at EDPB legger til grunn at kontraktsmessige og organisatoriske tiltak ikke alene vil gi et tilstrekkelig beskyttelsesnivå uten at også nødvendige tekniske tiltak blir innført: 

“Contractual and organisational measures alone will generally not overcome access to personal data by public authorities in the third country”

Tilfeller hvor EDPB ikke har identifisert egnede tekniske beskyttelsestiltak

Den kanskje mer uventede delen av EDPBs veileder er at det er identifisert to scenarier hvor det ikke anses mulig å identifisere tilstrekkelige beskyttelsestiltak.

EDPB legger for det første til grunn at det ikke er mulig å benytte skytjenester eller andre databehandlere utenfor EU/EØS som fordrer tilgang til personopplysningene i klartekst, altså ukrypterte personopplysninger. Dette er en utfordring, ettersom et svært stort antall europeiske virksomheter bruker nettopp skytjenester basert i tredjeland. 

Flere av skytjenesteleverandørene viser til at de lagrer personopplysninger i datasentre innad i EU/EØS, og at de derfor ikke er underlagt kravet som følger med overføring av personopplysninger til tredjeland. Her må det bemerkes at ren teknisk tilgang i seg selv anses som en overføring av personopplysninger. Skytjenesteleverandører kan ofte ha kundestøttefunksjoner og personell med universaltilganger, med tilgang til alle kjernesystemer og personopplysninger. Dermed vil man ikke komme rundt overføringsvilkåret ved å alene legge datasentrene i EU/EØS.

Det andre eksempelet på scenarioer hvor EDPB ikke har identifisert egnede beskyttelsestiltak er i tilfeller hvor virksomheten har enheter lokalisert i tredjeland med et utilstrekkelig beskyttelsesnivå, hvis enhet har et tjenstlig behov for tilgang til personopplysninger om europeiske borgere. Slike enheter kan være for eksempel IT-supportavdelinger, filialer eller selskaper i samme konsernstruktur. utplassering av operative enheter innebærer GDPR-stridig behandling av personopplysninger. Denne typen fordeling av operative oppgaver vil ikke lenger være mulig. 

Noen refleksjoner rundt veilederen 

Både før og etter at GDPR ble implementert har den alminnelige tilnærmingen til personvernregelverket vært en risikobasert tilnærming. Dette betyr at plikter og ansvar som følger av personvernregelverket må skreddersys til det gjeldende risikobildet. Et legemiddelforetak behandler personopplysninger med større risiko enn en leverandør av lønnsføringssystemer, og må klart nok innføre andre typer sikkerhetstiltak. 

Vi har merket oss at veilederen ikke inneholder noen bemerkninger om at personvernforordningen må tolkes i lys av risikoen for individers rettigheter og friheter, som blant annet følger av forordningens fortalepunkt 74. De foreslåtte tiltakene i Vedlegg 2 virker til å gjelde uavhengig av hvilke typer personopplysninger det er tale om, og i hvilket omfang det skal behandles personopplysninger utenfor EØS. For å sette det på spissen vil det ikke ha noe å si om et legemiddelforetak outsourcer all behandling av personopplysninger knyttet til brukertesting av en ny vaksine eller om de outsourcer lønnskjøringen til de ansatte. 

Vi stiller spørsmål ved om det ikke skal være adgang til å tilpasse bruk av de foreslåtte tiltakene ut i fra risikoen som blir assosiert med den konkrete overføringsaktiviteten. Stadig flere virksomheter, særlig i USA, har publisert såkalte Transparency reports som viser til antallet innsynsbegjæringer fra lokale myndigheter. Statistikken som kommer frem i disse rapportene kan være relevante for å avgjøre hvilken risiko den aktuelle overføringen reelt sett innebærer for individets rettigheter. De plikter og ansvar som følger av GDPR er tross alt tuftet på denne risikoen. 

Hva kan vi vente oss i tiden som kommer?

Forbudet mot bruk av visse typer skytjenester vil kunne få merkbare ringvirkninger, både på tjenestenivå og kanskje på politisk nivå. De største skytjenestene er i dag organisert på en måte som innebærer at de faller inn under ett av de to scenariene hvor EDPB ikke kunne identifisere tilstrekkelige beskyttelsestiltak. For å komme seg på trygg grunn må de gjennomføre en omorganisering som innebærer at skytjenestene ikke fordrer tilgang til personopplysninger om europeiske borgere fra tredjeland. 

Det er ikke usannsynlig at de store teknologiselskapene vil motarbeide føringene som nå kommer fra europeisk hold. Ettersom disse selskapene har en kjent lobbyvirksomhet i amerikansk politikk, vil det heller ikke være usannsynlig at vi ser en viss aktivitet fra amerikanske myndigheters side. Personopplysninger er tross alt markedsført som “the new oil”, og teknologiselskapene har tjent store summer nettopp på omsetningen av personopplysninger. 

Christine Ask Ottesen

– Tiltakene som EDPB har foreslått i retningslinjene kan være krevende, om ikke umulig, å etterleve. Det blir spennende å se hvordan tilsynsmyndigheter og EU-organer forholder seg til temaet i tiden som kommer, sier Christine Ask Ottesen, advokat i Advokatfirmaet PwC og nasjonal leder for avdelingen Personvern, Sikkerhet og Teknologi.

Hva bør de behandlingsansvarlige gjøre nå?

Vi anbefaler at virksomheter legger en strategi for hvordan de skal forholde seg til kravene, som bør skille mellom eksisterende og nye avtaleforhold. Eksisterende avtaleforhold som faller inn under kategoriene som EDPB mener det ikke er mulig å finne effektive tiltak for, kan fordre en avviklingsplan. 

Når det gjelder vurderingen av potensielt nye leverandører, bør deler av tilnærmingen være å kartlegge hvilke aktører som finnes i markedet. Den foretrukne løsningen er å finne EU-/EØS-baserte leverandører eller leverandører basert i tredjeland med et tilstrekkelig beskyttelsesnivå i henhold til GDPR artikkel 45. Dersom leverandøren er etablert i et tredjeland med et utilstrekkelig beskyttelsesnivå, må man gjennomføre vurderingen i steg 1 til 5.

PwCs advokater og sikkerhetsressurser kan bistå med å legge en plan for tiden som kommer. Vi har kontorer i 155 land og kan trekke på ressurser fra hele verden for å sikre et godt og pålitelig kartleggingsarbeid, og vurdere personvernrisiko ved overføring av personopplysninger ut av EU/EØS. 

 

Kontakt oss

Christine Ask Ottesen

Christine Ask Ottesen

Advokat | Partner, PwC Norway

Tlf: 928 09 229

Mats  Ruge Holte

Mats Ruge Holte

Partner | Consulting, PwC Norway

Tlf: 952 60 122

Maria Fonneløp  Inderberg

Maria Fonneløp Inderberg

Advokat | Manager, PwC Norway

Tlf: 478 65 144