Overføring av personopplysninger fra Europa til USA

USAs president og EU-kommisjonen kunngjorde tidligere i år, den 25. mars 2022, at de hadde oppnådd enighet om prinsipper for et nytt rammeverk for overføring av personopplysninger fra EU/EØS til USA.

Kunngjøringen kom som en direkte følge av at EU-domstolen den 16. juli 2020 avsa den mye omtalte Schrems II-dommen, som innebar at det tidligere overførings- grunnlaget for overføringer av personopplysninger til USA, Privacy Shield-rammeverket, ikke lenger var gyldig.

Bakgrunnen var bl.a. at USA har lovgivning som gir amerikanske etterretnings-myndigheter tilgang til personopplysninger om enkeltpersoner i langt større grad enn europeisk lovgivning tillater; bl.a. fordi den aktuelle lovgivningen ikke inneholder samme krav til nødvendighet og forholdsmessighet ved innsyn i personopplysninger, som lovgivningen i EU/EØS. I realiteten har dommen medført et tilnærmet absolutt forbud mot overføring av personopplysninger til USA, og dermed i praksis også mot bruk av amerikanske leverandører av skybaserte- og IT-tjenester innenfor EU/EØS.

Les mer om bakgrunnen for, og kunngjøringen i mars 2022, i vår tidligere artikkel om temaet her: USAs president og EU-kommisjonen enige om prinsippene for nytt rammeverk for overføring av personopplysninger til USA. Ble "Schrems II"-problemet løst? (raeder.no).

Hva betyr dette for norske bedrifter som bruker amerikanske leverandører? 

For norske bedrifter som bruker amerikanske leverandører av IT- og skybaserte tjenester, har Schrems II-dommen gitt mye juridisk hodebry. Norske virksomheter har i tomrommet som fulgte av Schrems II i prinsippet blitt henvist til å vurdere lovligheten av overføringer av personopplysninger til tredjeland etter et to-trinnet-system, som er utfordrende også for jurister.

Overføringen må for det første baseres på et av overføringsgrunnlagene etter GDPR som fortsatt er lovlige. Dette byr normalt ikke på de største problemene, og her er EUs Standard Kontraktsklausuler (SCC) mye brukt og et i utgangspunktet lovlig overføringsgrunnlag. Deretter må det imidlertid foretas en konkret sikkerhetsmessig vurdering av om overføringsgrunnlaget vil virke som tiltenkt i praksis (dvs. sikre samme beskyttelsesnivå for personopplysningene som i EU/EØS), og det er særlig denne vurderingen som er krevende. Dette skal bl.a. gjøres basert på en vurdering av om det er lovgivning eller andre faktorer i tredjelandet som vil forhindre kontraktsbestemmelsene fra å fungere som forutsatt i praksis.

For USAs vedkommende, har nettopp overvåkingslovene Foreign Intelligence Surveillance Act (FISA) seksjon 702 og Executive Order12333, skapt tvil om overføringsgrunnlaget vil fungere slik forutsatt i praksis, med den følge at overføring av personopplysninger vanskelig kan skje på en lovlig og risikofri måte.  

Hvordan skal vernet av personopplysninger styrkes i USA fremover?

Presidentens signering av den utøvende ordren er neste skritt på veien for USA når det gjelder å møte kritikken etter Schrems II, og med hensyn til å få på plass et nytt rammeverk for lovlig overføring av personopplysninger til USA. Enigheten mellom USA og EU-kommisjonen innebærer imidlertid ingen «avtale» med to parter, men at beslutninger må tas og implementeres på begge sider av Atlanteren. Presidentens signering av den utøvende ordren innebærer at USA nå har fulgt opp enigheten fra mars 2022 på sin side, og at en viktig brikke i prosessen fremover dermed har falt på plass.

Ifølge Det Hvite Hus skal den signerte ordren fra presidenten forsterke personvernet i USA på flere måter fremover. Den utøvende ordren stiller for det første klarere krav om nødvendighet og proporsjonalitet mellom mål og middel for så vidt det gjelder amerikanske etterretningsaktiviteter og borgeres personvern. Det er imidlertid ikke helt klart hvordan disse vilkårene om nødvendighet og forholdsmessighet konkret vil komme til uttrykk basert på den tilgjengelige informasjonen fra Det Hvite Hus, ei heller om det vil bli noen konkrete lovendringer i amerikansk overvåkningsregelverk. Ordren krever imidlertid at elementer i retningslinjer og prosedyrer knyttet til det amerikanske etterretningsfelleskapet skal oppdateres, for å gjenspeile de nye sikkerhetstiltakene, samt at ansvaret til ledere innenfor juridisk-, tilsyns- og compliance skal utvides for å sikre at passende tiltak kan iverksettes ved manglende etterlevelse av de forsterkede sikkerhetstiltakene.

Den signerte ordren bestemmer også at det skal etableres klagemekanismer i det amerikanske rettssystemet, som skal sikre at enkeltpersoner får en reell, uavhengig og bindende gjennomgang av påstander og krav knyttet til deres personvern i to instanser. I den forbindelse skal det blant annet opprettes en uavhengig domstol som skal fungere som andreinstans, «Data Protection Review Court («DPRC»), og som skal foreta en uavhengig og bindende gjennomgang av enkeltpersoners saker etter at saken først er vurdert av Civil Liberties Protection Officer (CLPO). Dommerne i domstolen skal hentes utenfra det amerikanske statsapparatet, ha relevant erfaring innen personvern og nasjonal sikkerhet, og nyte beskyttelse mot å bli fjernet fra sitt embete. Det er ikke klart ut ifra informasjonen fra Det Hvite Hus om domstolen vil ha full beslutningsmyndighet til å overprøve vedtak om utlevering av personopplysninger, og/eller om det vil bli noen lovendringer i amerikansk rett når det gjelder overprøving av slike vedtak. Det er også et interessant spørsmål om DPRC vil oppfylle kravene til domsmyndighet etter EU-retten.

Endelig oppfordrer den utøvende ordren tilsynsmyndighetene for personvern og borgerrettigheter til å gjennomgå retningslinjer og prosedyrer for etterretningsfellesskapet for å sikre at de er i samsvar med det forsterkede sikkerhetsnivået. Tilsynsmyndighetene skal også gjennomføre en årlig gjennomgang av den skisserte klageprosessen knyttet til overprøving av enkeltpersoners påstander og krav når det gjelder personvernet.

Les mer om innholdet i den utøvende ordren som er signert av President Joe Biden her: FACT SHEET: President Biden Signs Executive Order to Implement the European Union-U.S. Data Privacy Framework - The White House.  

Signeringen av den utøvende ordren innebærer at det ikke er nødvendig at det utarbeides en føderal lov gjennom kongressen, som ville tatt tid og vært en langt mer omfattende prosess. Den utøvende ordren vil på egenhånd danne selve grunnlaget for en eventuell beslutning om tilstrekkelig beskyttelsesnivå (adekvansbeslutning), som EU-kommisjonen kan fatte etter GDPR, og som i tilfelle vil innebære at det blir lovlig å overføre personopplysninger til USA igjen.

EUs personvernråd (EDPB) og EU-parlamentet skal imidlertid konsulteres i forbindelse med en godkjennelse av den nye ordningen, og det er derfor grunn til å forvente at prosessen som gjenstår fortsatt vil ta noe tid på europeisk side. Det er også et spørsmål om detaljene i ordningen er utformet på en måte som gir tilstrekkelig tillit til at beskyttelsesnivået for personopplysninger i USA faktisk vil bli hevet, slik at en godkjennelse etter GDPR kan skje.

Det er som nevnt flere spørsmål som kan reises med hensyn til de reelle og praktiske virkningene av ordrens innhold. Signeringen er uansett et nødvendig skritt i prosessen videre, og innebærer at ballen nå trolig ligger på europeisk banehalvdel fremover.