USAs president og EU-kommisjonen enige om prinsippene for nytt rammeverk for overføring av personopplysninger til USA. Ble "Schrems II"-problemet løst?

Som kjent kom EU-domstolen i Schrems II-dommen til at amerikansk lovgivning og presidentordre for overvåkning, tillater amerikanske myndigheter en tilgang til EØS-personopplysninger på en måte EU ikke aksepterer, blant annet under henvisning til brudd på grunnleggende personvernrettigheter. Dommen har ledet til at det er problematisk under GDPR for norske bedrifter å lovlig bruke amerikanske tjenester fra aktører som for eksempel Google, Facebook, Microsoft og AWS. Typiske tjenester dette gjelder er markedsføringstjenester som kundelistematching og utplassering av personlig tilpassede annonser, men også for CRM-systemer, underleverandører til apper, anayticsverktøy, som skybaserte kontorverktøy fra Microsoft og Google. Teknologier som rammes er for eksempel bruk av mange av de vanligste cookies og bruk av pixel.

Mange norske aktører har etter Schrems II valgt å fortsette bruken av amerikanske tjenester, selv om den juridiske risikoen har vært økende. I 2022 har europeiske datatilsynsmyndigheter startet å håndheve dommen. Dette gjelder i første omgang vedtak om «forbud» mot bruk av Google Analytics. Datatilsynet i Norge har akkurat nå en sak om GA til behandling, og det er ventet at vedtaket vil bli at bruk av GA er i strid med GDPR og Schrems II.

Fra Europeisk side har holdningen vært at en løsning på Schrems II vil kreve at USA endrer sine regler for overvåkning, noe mange har trodd ikke ville skje.

Dette har, litt overraskende, likevel skjedd.  USA og EU er nå er enige om prinsippene for et nytt rammeverk som skal gjøre det lovlig å overføre personopplysninger til USA.

Foreløpig tilgjengelig informasjon publisert hos EU-kommisjonen 25 mars ligger: https://ec.europa.eu/commission/presscorner/detail/en/IP_22_2087

USA erklærer at de vil reformere sine overvåkningsregler for å styrke personvernet. USA erklærer også at overvåkning vil begrenses til nødvendig og proporsjonal overvåkning (slik EUs regler og domstolpraksis krever) og at det skal innføres et toinstanssystem som gir personer adgang til reell klagebehandling og som vil inkludere en egen personverndomstol. Dette slik at kritikken i Schrems II dommen møtes, og slik at overføring igjen blir lovlig.

Det gjenstår samtidig viktig arbeid på begge sider av havet. Både USA må juridisk sett innføre disse reglene hvilket er planlagt gjennom en presidentordre (Executive Order) og EU kommisjonen må formelt vedta at USA blir et såkalt godkjent tredjeland for overføring (adequacy decision). Amerikanske tjenesteleverandører vil måtte selv-sertifisere seg ved å erklære at de vil følge de nye retningslinjene.

Hva skjer videre og hva betyr dette for norske bedrifters bruk av amerikanske tjenester?

Det vil ta noe tid å formelt innføre rammeverket i USA og for EU å formelt godkjenne USA som mottaker. Etter hva vi forstår vil EU kommisjonen måtte avvente Personvernrådets (EPDB) uttalelse før USA kan settes på «godkjentlisten».  Dette tilsier at det vil gå noen måneder før den nye ordningen formelt kan bli aktiv og gjeldende. Som ved all politikk og juss så er ikke noe endelig før det er endelig, men det ser lovende ut.

For de fleste amerikanske tjenester vil det formelt sett inntil ny ordning er aktiv, fortsatt ofte være et GDPR-brudd å bruke dem.

Reelt sett derimot, medfører nyheten om enighet mellom USA og EU, at vi nå vet at det er enighet om en ny lovlig ordning, og som vi har grunn til å tro at vil komme om noen relativt få måneder.

Det er rimelig å tenke at nyheten om enighet burde tilsi at tilsynsmyndighetene ikke prioriterer tilsyn og vedtak for overføring av personopplysninger til USA i tiden fremover.

Imidlertid velger Datatilsynet dette selv. Teknisk sett er jo fortsatt bruk av amerikanske tjenester frem til ordningen blir aktiv, i de fleste tilfeller et GDPR brudd med tilhørende personvernulemper for personene i datasettene, slik EU-domstolen var opptatt av i Schrems II.

Datatilsynet har så langt ikke kommentert enigheten mellom USA og EU. Det blir dessuten spennende å se hva Datatilsynet nå gjør med Google Analytics-saken mot blant annet Telenor, hvor avgjørelsen er ventet i løpet av kort tid.

Vi mener den reelle Schrems II-risikoen over natten har blitt vesentlig redusert. Med risiko sikter vi særlig til sannsynligheten for vedtak mot norske bedrifter og hvor konsekvensen av vedtak blir alvorlige. Imidlertid ligger det i GDPRs regler at den enkelte bedrift, som behandlingsansvarlig, må vurdere selv.

Den mer generelle GDPR-etterlevelsen ved bruk av skybaserte tjenester som kontorverktøy, sosiale medier, cookies, CRM-systemer og markedsføringstjenester er stadig nødvendig. Behandlingsgrunnlag (samtykke for markedsføringstjenester?), dokumentasjon av dataflyt (behandlingsprotokoll) og å oppfylle informasjonsplikt til menneskene opplysningene gjelder (personvernerklæring), er generelle og evig aktuelle utfordringer som står på helt egne ben ved siden av spørsmålet om overføring til USA.  

Gledelig er det uansett at USA og EU er enige om prinsippene for en ny ordning.

Les vår nyeste artikkel om dette her