Nytt innen personvern: Overføring av personopplysninger til land utenfor EØS – veiledning i kjølvannet av Schreems II dommen

Utgangspunktet i henhold til GDPR er at overføring av personopplysninger til land utenfor EU/EØS, er ulovlig, med mindre et av lovens unntak kommer til anvendelse. 

Noen få land har EU-Kommisjonen godkjent som sikre å overføre personopplysninger til. Dette gjelder per i dag: Andorra, Argentina, Canada (gjelder ikke hvis mottakeren er et offentlig organ), Færøyene, Guernsey, Israel, Isle of Man, Japan, Jersey, New Zealand, Sveits og Uruguay.

I andre tilfeller hvor personopplysninger skal overføres til land utenfor EU/EØS, «tredjeland», er det et krav at et av overføringsgrunnlagene som fremgår av kapittel V i GDPR-forordningen benyttes. Overføringsgrunnlagene i kapittel V sikrer at europeerne sine personopplysninger blir like godt beskyttet etter overførselen til tredjeland som de blir i EU/EØS.

Frem til i sommer har kommisjonsbeslutningen om Privacy Shield vært benyttet som overføringsgrunnlag for overføringer til USA. Denne beslutningen omfattet selskaper etablert i USA som hadde sertifisert seg etter Privacy Shield-avtalen. I den såkalte Schrems II-dommen kom imidlertid EU-domstolen til Privacy Shield er ugyldig som overføringsgrunnlag, da de mener at beskyttelsesnivået for personopplysninger i USA ikke er tilstrekkelig. EU-domstolen viser særlig til vide hjemlene til amerikansk etterretning og at europeiske borgere ikke har god nok mulighet til å overprøve beslutningene om overvåking. 

Samtidig oppstilte domstolen flere krav som må være oppfylt, i tillegg til overføringsgrunnlagene i kapittel V. Domstolen påpekte blant annet at den som eksporterer data må vurdere om det påkrevde beskyttelsesnivået blir tilstrekkelig respektert i det tredjeland personopplysningen overføres til. Domstolen legger her opp til at den som skal eksportere data må vurdere om lovgivning og praksis i det aktuelle tredjeland forhindrer mottakeren fra å overholde sine forpliktelser i en avtale som ellers oppfyller EUs standard personvernbestemmelser.

Dette er en svært krevende og komplisert øvelse for den enkelte virksomhet, og Datatilsynet varslet tidlig at de ville samarbeide med andre tilsynsmyndigheter og gi en nærmere veiledning til hvordan virksomheter skal kunne overholde de krav som nå stilles. En overordnet veiledning fra Datatilsynet kom tidligere i sommer. 

Nå har også det europeiske Personvernrådet vedtatt en mer utfyllende veiledning, som består av to dokumenter som skal hjelpe virksomheter med å etterleve reglene:

1. Dokumentet «Recommendations on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data» gir veiledning om hvilke vurderinger virksomheten må foreta før de kan overføre personopplysninger til land utenfor EØS. Det har eksempler på «ytterligere tiltak» som kan iverksettes for å sikre at personopplysningene er godt nok beskyttet. Det fremkommer også et par eksempler på tilfeller der det ikke er mulig å iverksette tiltak som i tilstrekkelig grad sikrer personopplysningene. I slike tilfeller er det i praksis ulovlig å overføre personopplysninger ut av EØS. 
2. Før en virksomhet overfører personopplysninger til land utenfor EØS, må det blant annet vurderes beskyttelsesnivået i landet eller landene det skal overføres personopplysninger til. Inn under denne vurdereringen hører hvorvidt det finnes overvåkingslover som gir et dårligere vern av personopplysninger enn det vi har i EØS. Dokumentet «Recommendations on the European Essential Guarantees for surveillance measures» handler om hvordan man skal vurdere overvåkingslover og hva man skal se etter.

Veiledningen er praktisk og forståelig, og gir i utgangspunktet en god oversikt for hvordan unngå å bryte GDPRs krav til beskyttelse. Samtidig følger det av det ovennevnte at det fortsatt legges opp til omfattende og svært krevende vurderinger som den enkelte virksomhet må foreta. 

Likevel bør alle virksomheter som overfører eller planlegger å overføre personopplysninger til land utenfor EØS, gå gjennom rutiner, overføringsgrunnlag og databehandleravtaler opp mot denne veilederen. Virksomheter må i alle tilfeller vise at tiltak iverksettes, både av hensyn til kunder og publikum, og overfor Datatilsynet.

Millionbot for brudd på personvernregelverket

H&M ble nylig ilagt en bot tilsvarende 387 millioner kr av det tyske datatilsynet for ulovlig overvåking av flere hundre ansatte. Siden 2014 hadde H&M-ledere i Nürnberg samlet detaljerte opplysninger om forhold i privatlivet til ansatte, inkludert helsediagnoser, familieproblemer og religiøs tro. Dette ble igjen brukt i grunnlag for beslutninger om den ansatte, for eksempel ved spørsmål om forfremmelse.  

Opptil 50 ledere i selskapet hadde tilgang til disse digitale dataene til enhver tid, men i oktober 2019 ble informasjonen ved en feil gjort tilgjengelig for hele virksomheten på noen timer. 

Selv om det tyske datatilsynet var enig i at H&M hadde håndtert bruddet bra, blant annet ved å være raske med å gi de berørte både unnskyldninger og tilbud om erstatning, ble overtredelsesgebyret satt til ett av de største siden personvernforordningen trådte i kraft i 2018. Den rekordhøye boten kom samtidig med at H&M måtte ta drastiske grep som følge av coronakrisa, og varslet at de stenger 250 butikker.

Saken er dermed svært illustrerende for at manglende etterlevelse av regelverket kan få store økonomiske konsekvenser for en virksomhet.