24. mars kommenterte de tre Schjødt-advokatene Eva Jarbekk, Jeppe Songe-Møller og Inge Kristian Brodersen to av punktene i vår liste over fire mulige løsninger på utfordringene med å overføre personopplysninger til land utenfor EØS (tredjeland), og da særlig USA. Siden blant annet Google Analytics er en hodepine for mange virksomheter, vil vi knytte noen kommentarer til Schjødts synspunkter.
Først vil vi minne om utgangspunktet, som mange kanskje har glemt etter snart tre år med en uoversiktlig rettstilstand: Du kan overføre data utenfor EØS så lenge du har et overføringsgrunnlag. I Telenor-saken har overføringen vært regulert av standardavtalene vedtatt av EU-kommisjonen. En slik overføring kan kun skje dersom en samtidig sikrer et tilstrekkelig beskyttelsesnivå. Kravet følger av Schrems II-dommen.
I vurderingen av hva som er lovlig, må vi være bevisst på hvor mye vekt vi legger på veiledninger fra EDPB og Datatilsynet. Veiledningene er ikke lover eller forskrifter, men gir uttrykk for hvordan tilsynsmyndighetene tolker kravene. Disse veiledningene gir ikke nødvendigvis uttrykk for andre relevante løsninger som også kan være lovlige.
Vi opplever at veldig mye av fokuset har vært på overføringsvurderingene de siste årene. Konsekvensen er at kravet til ansvarlige vurderinger fra virksomheten selv (ansvarlighetsprinsippet) kan bli uthulet i frykt for store bøter. Praktisk tenkning forsvinner med andre ord på grunn av overdreven compliance. Det er en uheldig utvikling, og det var i denne konteksten vi presenterte våre løsninger for bruk av Google Analytics.
Denne boksen kan overvåke hva som helst, og spyr ut data. Det skaper jobber
Om å delegere
Den første muligheten vi nevnte var beskrevet slik:
Deleger problemet. Det kan virke som Telenors oppsett av Google Analytics (GA) var koblet rett opp til USA, slik som for eksempel i en tidligere sak om GA fra Østerrike. Dermed oppstår problemet med manglende tilleggssikringer ved dataeksport, som Schrems II-dommen krevet. Et motmiddel mot denne svakheten er å la Googles irske datterselskap være avtalemotpart. Dermed vil den norske behandlingsansvarlige ikke overføre data ut av EØS, og problemet med overføringsgrunnlag delegeres til Google Ireland.
I likhet med mange andre løsninger innenfor personvernet er ikke denne nødvendigvis en mirakelkur. Men det er ikke til å komme bort fra at Google Ireland i utgangspunktet vil være behandlingsansvarlig i sitt forhold til Google USA. Dermed følger det av ansvarlighetsprinsippet i forordningen at Google Ireland vil være ansvarlig for lovlig overføringsgrunnlag til USA for en eventuell dataeksport.
Google Ireland vil også være bedre i stand til å maskere data og redusere tilganger enn det en kunde som Telenor kan være. Det gjelder også såkalte «device fingerprint», som ble sentralt i Telenor-saken.
En god illustrasjon på forskjellen i et direkte oppsett mot USA og mot Irland er utarbeidet av det sveitsiske advokatfirmaet Vischer:
Som man ser, er det mange tiltak som kan gjennomføres, fra innhenting av samtykke (1) til redusert administratortilgang (6). En av de viktigste forbedringene som kan gjøres, er å unnlate å overføre full IP-adresse, men kun beholde region (3). Sammen med pseudonymisering vil muligheten til å koble statistiske data til en fysisk person dermed være kraftig redusert.
Motmiddelet vi beskrev, var mot de manglende tilleggssikringene som ble påpekt av EU-domstolen i Schrems II-dommen. Som figuren viser, gir bruk av Google Ireland ikke bare en formell fordel, men også mulighet for flere sikringstiltak. Tiltakene kan hjelpe i vurderingen alle som bruker slike løsninger må gjøre.
Enighet om EUs AI Act gir forutsigbarhet for norske selskaper
I denne forbindelse er det også på sin plass å minne om at Schrems II-dommen primært slo ned på masseinnsamlingen av persondata som skjedde i USA, kombinert med manglende rettsmidler for ikke-amerikanske borgere til å utfordre behandlingen. CLOUD act, som muliggjør tilgang til data i amerikanske tjenester utenfor USA, ble ikke ansett som problematisk. Videre er det også slik at personvernforordningen faktisk trekker et formelt skille ut fra hvor data behandles og av hvem. I den grad en leverandør som Google overtrer grensene for sitt oppdrag, vil leverandøren selv måtte ta ansvar som behandlingsansvarlig.
Datatilsynet har tidligere stilt seg bak dette synpunktet: Det er ikke dataeksport hvis virksomheten bruker amerikanskeide skyløsningstjenester eller datterselskap som lagrer personopplysninger i EU/EØS, selv om selskapet forbeholder seg retten til overføring til USA. Da vil skyløsningstjenesten selv være behandlingsansvarlig for overføringen.
Schjødt viser videre til veiledningene fra Datatilsynet og det europeiske personvernrådet (som består av datatilsynene i EØS). Vi anbefaler naturligvis ingen omgåelse av reglene. Samtidig har EU-domstolen uttalt at personvernreglene er så bredt anlagt at de må balanseres mot andre interesser. I innledningen til forordningen selv poengteres det nettopp at en slik interesseavveining skal gjøres. I den norske veiledningen går Datatilsynet etter vår mening ganske langt i å slå fast at man ved vurderingen av hva som «gir tilstrekkelige garantier» må anlegge en risikobasert tilnærming – «en form for risikovurdering». Dette er Bull enig i.
I denne forbindelse vil vi nevne at vi jevnlig jobber med innsynskrav fra amerikanske myndigheter – alt fra lokale politikontor til FBI. Sakene omhandler utelukkende alvorlig kriminalitet (mord, ran) som skjer på amerikansk jord. Vi har aldri hørt om utlevering av Google Analytics-data fra en norsk nettside. Det er mest sannsynlig en helt ubetydelig risiko for dette, særlig for lite følsomme nettsider. Følgelig kan bruk av Google Analytics og andre amerikanske skyleverandører være forsvarlig og i tråd med ansvarlighetsprinsippet. Det må man vurdere, men det er en mulighet.
Ble saksøkt for 50 milliarder for privatmodusen i Chrome – nå endrer Google definisjonen
Ta en pause
Den andre muligheten Schjødt kommenterer, er følgende:
Ta en pause. I løpet av året vil det nye EU-US Data Privacy Framework trolig bli godkjent som overføringsgrunnlag. Dermed hvitlistes USA av EU-kommisjonen. En hvitlisting av amerikanske selskaper er imidlertid ikke nødvendigvis løsningen på alle problemer. Det fremgår av varselet om vedtak mot Telenor at Google ikke selv opplyser fra hvilke land tilgang til dataene blir gitt.
Schjødt påpeker at det ikke er USA som hvitlistes med selskapene. Det er riktig – og også det vi skriver i tredje setning. Samtidig vil en positiv adekvansvurdering (EUs hvitlisting) i realiteten innebære også en form for hvitvasking av USA som importland for europeiske persondata. Grunnsteinen for at en slik EU-godkjenning skal kunne skje, er nemlig det amerikanske presidentdekretet av 7. oktober 2022. Dekretet tar tak i hovedproblemet som Schrems II-dommen peker på: den nærmest ukontrollerte masseinnsamlingen av persondata, kombinert med manglende rettsmidler for EØS-borgere.
Den kraftige forbedringen dekretet innebærer, påvirker all overføring til USA, og ikke bare til selskapene som sertifiserer seg i den nye ordningen. Endringen gjør at overføring også til usertifiserte selskaper vil forenkles. I den forbindelse må det gjøres en risikovurdering, noe EDPB og Datatilsynet har vært skeptiske til. Vi mener forordningen, EU-domstolens praksis og veiledningene støtter dette synet og har begrunnet synspunktet i denne kronikken.
Vi har identifisert noen alternative muligheter som finnes. Men enhver virksomhet må samtidig gjøre en egen vurdering i tråd med ansvarlighetsprinsippet, den konkrete bruken som er aktuell og egen risikoappetitt.
«Alle» vil bruke KI – så å si ingen har nok penger, folk eller kunnskap
