Vi har laget en ny veileder om overføring av personopplysninger til områder utenfor EØS. Her er noen ting du kanskje bør vite.
Ut av hjemmekontorvinduet ser jeg en myk ås formet gjennom sikkert millioner av år (forbehold: jeg er ikke geolog). Så skifter jeg fokus til PC-skjermen og ser en taggete epostinnboks formet av et år med Schrems II-dommen. «Skal vi slutte med digitalisering?» «Er det ikke bedre å dele data med amerikanerne hvis det gir oss bedre sikkerhet mot ondsinnede hackere?» «I can haz risikovurdering?!»
Spørsmålene er mange. Forhåpentligvis kan den nye veilederen vår pense tanken inn på rett spor. Dessuten har vi allerede noen planer for hvordan vi kan gjøre neste versjon av veilederen bedre og mer til hjelp. Uansett håper vi det er nyttig at all informasjonen vår om tredjelandsoverføringer er samlet på ett sted og at informasjonen er oppdatert.
Veilederen finner du her: Overføring av personopplysninger ut av EØS | Datatilsynet
Hva er greia?
Schrems II-dommen er en dom fra EU-domstolen. Dommen handler om mange ting, men det mest sentrale er at det skal mer til for å overføre personopplysninger ut av EØS nå enn før. I tillegg til å ha papirarbeidet på plass, må virksomheter vurdere beskyttelsesnivået for personopplysninger i landene som data flyter til. Hvis beskyttelsesnivået i praksis er lavere enn i EØS, må man iverksette ytterligere tiltak hvis mulig eller la være å overføre.
Mange har nok håpet at man kan ha en risikobasert tilnærming til tredjelandsoverføringer. Det dommen sier, er imidlertid at man må foreta en helthetsvurdering. En helhetsvurdering kan gi handlingsrom, men det er ikke det samme som en risikovurdering.
Som min gamle kjemilærer pleide å si: «If you’re not confused, you’re not paying attention.»
Europeisk enhet
Veilederen vår er i tråd med anbefalingene til Det europeiske personvernrådet, eller EDPB. Ett av hovedmålene med GDPR er at vi skal tolke regelverket likt i hele Europa. Det er nettopp dette som er EDPBs oppgave: Å sørge for at tilsynsmyndighetene i EØS håndhever loven på samme måte. At vi skal tolke EU-lover likt som i Europa er også en sentral forutsetning i EØS-avtalen. Derfor er vi lojale mot EDPB.
Veiledere er av natur bare veiledende. Samtidig er veilederne fra Datatilsynet og EDPB uttrykk for hvordan vi vil tolke lover og dommer når vi kommer på tilsyn, enten saken er grenseoverskridende eller ikke. Hvis man med vilje viker fra disse veilederne, må man også være forberedt på at man kan bli ilagt forbud og sanksjoner. Hvis man tar noen snarveier, er det fort gjort å gå feil og ende opp tilbake der man begynte. Med andre ord tar man en risiko hvis man velger sin egen vei.
Menneskerettigheter til besvær
Når vi skal forstå Schrems II-dommen, er det viktig å huske at den handler om menneskerettigheter. Å opprettholde menneskerettigheter er nesten alltid vanskelig og ofte litt vondt. EU-domstolen mener at vi har tolket GDPR feil frem til nå. Vi har gjort oss veldig avhengige av ting vi nå må endre eller kutte ut. Hvis ikke bryter vi personvernet.
Norske og europeiske virksomheter sliter med å finne gode alternativer til dagens løsninger. Ofte tilbyr store, amerikanske tjenester bedre informasjonssikkerhet enn de små, europeiske. Derfor føler mange at man må velge mellom pest eller kolera (eventuelt pesto eller cola, sier Tobias, som ikke liker noen av delene).
Vi forstår godt at de fleste virksomhetene ikke er i mål ennå og at omstilling tar tid. Det viktigste for oss er at man er godt i gang med vurderingene og at man i alle fall har plukket lavthengende frukt. Det er nok naturlig å se på Schrems II som et noe mer langsiktig prosjekt. Kanskje kan Schrems II-dommen gi grobunn for mer europeisk innovasjon på sikt? Kanskje vil dette bidra til å opprettholde høy tillit til digitale tjenester i Europa? Helt sikkert er det at presset som europeiske virksomheter legger på amerikanske leverandører, har nådd Det hvite hus. Ryktene vil ha det til at amerikanske myndigheter nå ønsker en politisk avtale med EU om å få på plass en ordning for overføring av personopplysninger til USA innen året er omme.
Mange har dratt seg i håret i frustrasjon over hvor vag GDPR kan være. Dagen man slutter å dra seg i håret over GDPR er dagen man ikke har mer hår igjen. Til gjengjeld kan vi ta på tupeene våre i et ganske fritt samfunn der vi kan mene, interagere, stemme og leve som vi vil.