Dommen fra EU er på mange måter historisk. Artikkel 29-gruppen, som består at representanter fra ledelsen i europeiske personvernmyndigheter, fulgte opp dommen i sin pressemelding fredag 16. oktober 2015. Gruppen konkluderer helt riktig med
- at enhver overføring av personopplysninger basert på Safe Harbour er å anse som ulovlig
- at berørte virksomheter umiddelbart må etablere andre grunnlag for overføring av personopplysninger til USA
Ett alternativ for både offentlige og private virksomheter, er å inngå avtaler med databehandlere ved bruk av for eksempel såkalte EUs modellavtaler. Dersom modellavtalene skal benyttes, må virksomheten være klar over at modellavtalen etablerer helt reelle og viktige forpliktelser både for behandlingsansvarlige og databehandleren.
Den som er behandlingsansvarlig må sette seg ordentlig inn i avtalen og sørge for at virksomheten har nødvendige rutiner som samsvar med avtalen. Dette blir mye viktigere fremover enn hva det har vært så langt. Datatilsynene i hele Europa har nå et meget skarpt blikk for om avtalene følges – og dette vil etter all sannsynlighet fortsette å være slik uavhengig av hva nye forhandlinger om et «Safe Harbour 2.0» måtte føre til.
Les også: Må finne en løsning innen februar
Sensitive data
Det er særlig en forpliktelse i modellavtalene som det kan oppleves litt uventet eller tungt å måtte oppfylle. Vi sikter til informasjonsplikten som er beskrevet i artikkel 4 f i modellavtalen. Der fremgår det at hvis overføringen omfatter sensitive personopplysninger, f eks opplysninger om at en ansatt har sykefravær (uavhengig av årsak) eller helseopplysninger om en sykehjemsinnlagt eller om noen kan mistenkes for kriminelle forhold, så plikter behandlingsansvarlig å informere den registrerte enten før eller så raskt som mulig, om at personopplysningene kan bli overført til et tredjeland som ikke sikrer en forsvarlig behandling av opplysningene.
Det er altså den enkelte registrerte som man må gi slik informasjon til. Slike tredjeland vil være de fleste land utenfor EØS. Det vil f.eks. gjelde land som USA, men også land som India, Indonesia og Ukraina. Alle disse landene er land hvor norske private og offentlige virksomheter ofte legger IKT-tjenester.
Les også: Dette kan gi muligheter for norsk IT-bransje
Informasjonsplikten
Konsekvensene av dette, er at alle som inngår modellavtalene for å overføre sensitive personopplysninger til tredjeland, må oppfylle denne informasjonsplikten. Det er ikke vanskelig å konstatere om eller når informasjonen skal gis. Informasjonen skal gis – og det i mange flere tilfeller enn mange har tenkt på.
Den rettslige utfordringen ligger i hvorledes informasjonsplikten skal gjennomføres i praksis. Er det tilstrekkelig at ansatte for eksempel informeres via intranett. Trolig er svaret ja. Men hva vil gjelde i andre tilfeller f.eks. der det berører pasienter eller innlagte ved et privat sykehjem? Må informasjonen da gis eksplisitt ved henvendelse til hver enkelt? Vil det være tilstrekkelig å innta en generell bestemmelse om muligheten for overføring til tredjeland i avtalevilkårene slik at man er føre var? Er det tilstrekkelig å gi informasjon på en internettside?
Les også: Safe Harbour, Snowden og keiserens nye klær
Vær tydelig
Svarene på disse spørsmålene er uklare, selv om virksomheter nå går fra Safe Harbour til Modellavtalene. Vårt råd er å være tydelige på overføringen i informasjonskanaler som den registrerte benytter. Uansett håper vi at kommisjonen og datatilsynene i Europa kommer med klarere retningslinjer på hvordan denne informasjonsplikten skal ivaretas.
Grunnlaget og bakgrunnen for behandlingen av personopplysninger kan være forskjellig. Og individer er forskjellige. Det kan derfor bli mange ulike reaksjoner fra de registrerte når de får beskjeden om at «data kan overføres til land uten forsvarlig behandling av opplysningene». Det er ikke mulig å se bort fra at en reaksjon kan være at personopplysninger kreves slettet eller nektes overført.
Innlegget er skrevet av advokatene Eva Jarbekk og Siv Owing Maanum i advokatfirmaet Føyen Torkildsen DA.
