Spiller det noen rolle hvilken type data du tenker å overføre til USA? Om du overfører navnene til brukerne av en datingtjeneste for skeive eller IP-adressene til brukerne av en webbasert designprogramvare for jobbruk? Nei, mener flere europeiske datatilsyn med støtte fra det europeiske personvernrådet. Ja, mener vi.
Diskusjonen dreier seg om de som overfører persondata til USA og andre såkalte usikre land utenfor EØS, selv kan vurdere konkret risiko som den aktuelle typen data representerer. Datatilsynene, inkludert vårt eget, er skeptiske. Tilsynene mener at så lenge overføringen gjelder personopplysninger, så skal overføringene vurderes likt. Tilsynenes absolutte tilnærming har medført at bruk av Google Analytics og andre amerikanske skytjenester kan bli forfulgt av tilsynene. Denne absolutte tilnærmingen har skapt mye frustrasjon og har etter vår mening ikke godt nok grunnlag.
Kort fortalt støttes datatilsynenes absolutte tilnærming verken av personvernforordningens ordlyd og fortale, praksis fra EU-domstolen eller personvernrådets egen veiledning. Videre ligger det en klar forutsetning i EUs grunnleggende lover, Charteret og Traktaten, at alle EU-regler skal praktiseres med forholdsmessighet. Det vil si med tanke på andre hensyn enn bare personvern. Disse reglene er relevante for Norge fordi EU-domstolens praksis skal vektlegges tungt ved tolkningen av personvernforordningen (GDPR).
Andre hensyn kan være retten til å drive næringsvirksomhet og samfunnsøkonomi. Samfunnsøkonomisk vil en absolutt tilnærming til dataeksport ha store negative konsekvenser. Hvis man ikke kan benytte seg av skytjenester utenfor EØS, vil europeisk næringsliv påføres et handikap i den internasjonale konkurransen. Europeiske forbrukere vil måtte betale mer for tjenester og innovasjonen hemmes. Et eksempel kan være at en konsulentvirksomhet tvinges til å vurdere alle overføringer like grundig. Det i seg selv vil være kostbart. Men verst vil det være om virksomheten må avstå fra å bruke en tjeneste som vil gi økt kvalitet og redusert tidsbruk i daglig produksjon. Det skader muligheten til å drive næring, som er et hensyn spesielt nevnt også i GDPRs fortale. Med regler som i praksis er nær umulige å etterleve, vil også respekten for personvernreglene kunne undergraves.
DNB: Opplever stadig færre alvorlige cyberhendelser
Tidligere har vi skrevet i Finansavisen om forvirringen som oppstod da Digitaliseringsdirektoratet (Digdir) og Direktoratet for forvaltning og økonomistyring (DFØ) lanserte sin veiledning om bruk av skytjenester 15. september 2022. Veiledningen støttet en risikobasert tilnærming til overføring, mens Datatilsynet altså er imot en slik tilnærming.
GDPR krever risikobasert vurdering
GDPR har to bestemmelser om det vi kaller ansvarlighet ved behandlingen av personopplysninger. Én står sammen med alle de overordnede grunnprinsippene om databehandling, og er taus om risiko (art. 5). Én annen står i kapittelet om ansvarlighet, og sier rett ut at dataeksportøren skal ta hensyn til «risikoene [...] for fysiske personers» personvern (art. 24). Datatilsynene mener at regelen om risikovurdering ikke gjelder dataeksport siden risiko ikke eksplisitt er nevnt i reglene for slik eksport (kap. 5), og fordi grunnprinsippene i art. 5 er taus om risiko. Vi uenige fordi art. 24 ikke gjør unntak for dataeksport, men viser til hele forordningen.
Hva sier Schrems II om risikovurdering?
Heller ikke Schrems II-dommen uttrykker et absolutt standpunkt. Tvert imot sier EU-domstolen at også andre rettigheter enn personvern må vektlegges. Selv om risikobasert tilnærming til overføring ikke eksplisitt nevnes, ligger det i domstolens krav om passende tilleggsbeskyttelse, en forutsetning om at tiltakene må tilpasses risikoen. Slik forholdsmessighet i praktiseringen av personvernregelverket følger også av tidligere praksis i EU-domstolen. I Lindqvist-dommen fra 2003 uttalte EU-domstolen at datatilsynene i Europa måtte se det svært vide omfanget av dagjeldende personverndirektiv opp mot andre fundamentale rettigheter, i samsvar med blant annet proporsjonalitetsprinsippet og at alle omstendigheter måtte vurderes. Siden GDPR er enda videre, økes behovet for å se reglene opp mot andre hensyn.
Veilederen fra datatilsynene åpner for risikobasert tilnærming
Overraskende nok åpner også veiledningen fra fellesorganet for datatilsynene i EØS (personvernrådet, EDPB) opp for at en risikobasert tilnærming kan anlegges. I det første utkastet av veiledningen skrev rådet nemlig at subjektive faktorer som sannsynlighet for tilgang fra offentlige myndigheter, ikke skulle vektlegges. Denne absolutte tilnærmingen ble imidlertid kritisert for være i strid med GDPR og ble endret i den endelig utgaven av veiledningen.
Overføring til USA forenkles
Den risikobaserte tilnærmingen vi mener kan brukes, vil forenkles av presidentdekretet fra president Joe Biden fra 7. oktober i år. Dekretet er skreddersydd for å avhjelpe manglene som EU-domstolen påpekte i Schrems II-dommen. Manglene gikk særlig på den ukvalifiserte masseinnsamlingen av persondata og manglende rettsmidler for ikke-amerikanere til å bestride en krenkelse av personvernet. Blant annet etablerer amerikanerne nå overvåkingsorganer, en administrativ domstol, etterretningstjenester skal ha sin egen personvernansvarlige og en rekke krav fastsettes for at overvåking skal kunne iverksettes. Prinsipper som dataminimering, formålsbegrensning, informasjonssikkerhet og opplæring innføres også, slik at personvernet styrkes.
At en risikobasert tilnærming skal benyttes, betyr naturligvis at man må vurdere risikoen. Men terskelen for å bruke skyleverandører i USA og andre land utenfor EØS blir lavere.
Personvern: En løsning som var god nok i 2018, holder kanskje ikke mål i år
