I dag, 16. juli 2020, kom EU-domstolen frem til at Privacy Shield er ugyldig.
Konsekvensen av dommen er at bruk og overføring av personopplysninger til databehandlere eller behandlingsansvarlige i USA, som tidligere har basert seg på Privacy Shield, nå må finne et annet grunnlag for å være lovlig.
Overføring til land utenfor EU/EØS er kun lovlig dersom mottakeren har gitt nødvendige garantier, og under forutsetning av at de registrerte har håndhevbare rettigheter og effektive
rettsmidler.
Privacy Shield-avtalen ble inngått mellom EU og USA for å gjøre det mulig for amerikanske selskaper å overholde de strenge kravene til personvern i EU.
Regelverket fungerer slik at et amerikansk selskap kan sertifisere seg selv, og dermed garantere for at de overholder kravene som Privacy Shield stiller. Hjemmesiden til Privacy Shield inneholder en offentlig tilgjengelig liste som angir alle sertifiserte selskap, tilgjengelig her.
Ikke første gang dette skjer
I 2015 fant EU-domstolen at den daværende avtalen mellom EU og USA som muliggjorde overføring av personopplysninger til USA, ikke ivaretok EU-borgeres personopplysninger i tilstrekkelig grad.
Dommen var resultatet av en klage fra den østerrikske personvernforkjemperen Max Schrems på Facebooks behandling av personopplysninger, herunder overføringen til USA.
Avtalen het Safe Harbour, og ble kjent ugyldig. Kort tid etter ble Privacy Shield introdusert som en forbedring, men nå er altså den også funnet ugyldig av EU-domstolen.
Igjen er det Max Schrems' klage på Facebooks behandling av personopplysninger, og da konkret overføringen av personopplysningene til USA, som står bak ugyldiggjøringen. Dommen kan leses i sin helhet her.
Hvorfor er Privacy Shield ugyldig?
Både EUs ekspertorgan innen personvern (tidligere kalt Artikkel 29-gruppen, nå kalt EDPB) og EUs datatilsyn (EDPS) uttrykte bekymring da Privacy Shield ble introdusert i 2016.
_logo.svg.png){kind=logo}
Artikkel 29-gruppen stilte spørsmål ved Privacy Shields evne til å ivareta personvernet til europeiske borgere. EDPS påpekte blant annet muligheten for at EU-domstolen kunne finne at Privacy Shield er ugyldig.
Årsaken til at Privacy Shield ble kjent ugyldig er i hovedsak amerikanske myndigheters brede adgang til å få tilgang til personopplysninger som behandles i USA. Denne tilgangen er uten de samme kravene til proporsjonalitet og nødvendighet som kreves etter EU-retten, og uten å ivareta rettighetene til personene som personopplysningene gjelder.
Hvorfor trengte vi Privacy Shield?
EU har strenge regler for behandling av personvern, og gir personer som det behandles personopplysninger om (de registrerte) flere rettigheter enn mange land utenfor EU/EØS.
EUs personvernregelverk, som for mange ble kjent da EUs generelle personvernforordning (GDPR) trådte i kraft i 2018, skal blant annet sikre at personopplysninger om EU-borgere ikke blir overført utenfor EU/EØS uten at personvernet til borgerne er ivaretatt.
Derfor følger det av GDPR at personopplysninger kun kan sendes utenfor EU/EØS hvis mottakerlandet eller mottakeren kan garantere at personopplysninger blir behandlet med tilnærmet samme grad av personvern som det som følger av EU-retten.
Privacy Shield skulle påse at kun de virksomhetene som kunne garantere for et adekvat nivå av personvern ville kunne motta personopplysninger fra EU/EØS. Dette har vært en enkel og foretrukken løsning for mange som overfører personopplysninger til USA, for eksempel europeiske virksomheter som bruker en skytjenesteleverandør som lagrer personopplysninger på servere i USA.
Hva bør din virksomhet gjøre?
Det finnes alternativer til Privacy Shield. For å overføre personopplysninger utenfor EU/EØS, må virksomheten innhente garantier fra mottakeren og sikre at rettighetene til de registrerte etter GDPR kan håndheves.
Et hjelpemiddel som GDPR åpner for, er en standardavtale som EU har utarbeidet. Disse kalles gjerne EU Standard Contractual Clauses (SCC), og er tilgjengelig på EU-kommisjonens hjemmeside. Dette er egne maler fra EU-kommisjonen som ikke skal endres, men skal fylles ut.
I dommen publisert tidligere i dag vurderer EU-domstolen SCC-ene også, men kommer frem til at det ikke er grunn til å kjenne disse ugyldige. EU-domstolen er likevel tydelig på at den som er ansvarlig for behandlingen og overfører personopplysninger ut av EU/EØS har et selvstendig ansvar for å påse at det er gitt nødvendige garantier, og at de registrertes rettigheter er sikret.
Dersom man ser at SCC-ene ikke kan overholdes av mottakeren, for eksempel fordi nasjonal rett gjør det umulig eller mottakeren ikke har gode nok løsninger, holder det ikke å ha inngått en SCC.
EU-domstolen presiserer også at det relevante datatilsyn kan suspendere eller forby overføringen av personopplysninger til land utenfor EU/EØS dersom datatilsynet mener at EUs standardavtale ikke kan overholdes, og personvernet til de registrerte ikke kan ivaretas i mottakerlandet.
Husk at kravet til SCC kommer i tillegg til kravet om å ha en gyldig databehandleravtale med databehandlere i henhold til GDPR artikkel 28. Bruk av SCC vil altså ikke erstatte en databehandleravtale, og en databehandleravtale oppfyller ikke kravene til en SCC.
