For å avgjøre om reglene i personvernforordningens kapittel V kommer til anvendelse på den behandlingen du gjør som behandlingsansvarlig er det nødvendig å avklare hva som er en "overføring".
Hvor er jeg i veiledningen?
1 Innledning
Personvernforordningens kapittel V gjelder «overføring» av personopplysninger til tredjestater eller internasjonale organisasjoner. Schrems II omhandlet også «overføring» av personopplysninger etter kapittel V. Overføringsbegrepet er ikke nærmere definert i personvernforordningens definisjonskatalog i artikkel 4 eller i bestemmelsene i kapittel V. Begrepet er nevnt i definisjonen av behandling, som en beskrivelse av én måte å utlevere opplysninger, jf. artikkel 4 nr. 2. Dette gir imidlertid ikke tilstrekkelig informasjon for å avgjøre hvordan en overføring er definert.
2 Aktuelle spørsmål rundt overføringsbegrepet
Det er mange forhold ved overføringsbegrepet det kan være nødvendig å avklare. Arbeidsgruppen finner det hensiktsmessig å systematisere spørsmålene slik:
- Faktiske forhold ved overføringsbegrepet: Inngangsspørsmålet er om en «overføring» i personvernforordningen forutsetter en faktisk overføring av personopplysninger til utenfor EU/EØS eller om det også omfatter en mulighet for at en overføring kan skje. Med faktisk overføring av personopplysninger menes at det først er når digital informasjon i form av bits og bytes har krysset EØS-områdets grenser at overføring har skjedd. Med en mulighet for at overføring kan skje, menes at en overføring har skjedd allerede når fysiske eller juridiske personer i et tredjeland har fått muligheten til å i fremtiden hente ut digital informasjon fra EU/EØS.
- Andre rettslige forhold ved overføringsbegrepet: Selv om det rent faktisk har skjedd en overføring (en flyt av bits og bytes) kan det være andre rettslige forhold ved overføringsbegrepet som gjør at det likevel ikke har skjedd en overføring.
I første trinn i figuren forutsettes det at overføringsbegrepet forutsetter en faktisk overføring. Dette er imidlertid et spørsmål som må vurderes nærmere. Spørsmålet synes i liten grad å være direkte behandlet i eksisterende veiledningsmateriell. Datatilsynet og EDPB har uttalelser om overføringsbegrepet, men først og fremst i relasjon til figurens "Andre trinn". Dette skyldes i stor grad samspillet mellom forordningens artikkel 3 og kapittel V. Artikkel 3 i personvernforordningen gjelder forordningens geografiske virkeområde. Det europeiske personvernråd har utgitt retningslinjer for dette samspillet. Denne er i foreløpig utgave og har nylig vært på høring.
Fordi spørsmålet om overføringsbegrepet forutsetter en faktisk overføring i liten grad er behandlet, drøfter arbeidsgruppen dette under. For de øvrige juridiske forholdene ved overføringsbegrepet, særlig forholdet mellom artikkel 3 og kapittel V, vises det til Datatilsynets og EDPBs veiledning.
3 Forutsetter en «overføring» en faktisk flyt av bits og bytes?
Spørsmålet er om en «overføring» i personvernforordningens kapittel V knytter seg til faktiske overføringer eller om det også omfatter en mulighet for at en overføring kan skje.
En naturlig språklig forståelse av ordet «overføring» tilsier at det skjer en faktisk flyt av bits og bytes. Dette kan eksemplifiseres med følgende:
Dersom person A "overfører" penger til person B er det naturlig å se det slik at dette skjer når pengene flytter seg fra kontoen til person A og til kontoen til person B. Motsetningsvis vil det ikke være naturlig å si at penger har blitt overført fra As konto til Bs konto, dersom det bare er en teoretisk mulighet for at A overfører penger til B. Dersom person A eksempelvis får disposisjonsrett til person Bs konto, har ikke person A overført penger når disposisjonsretten blir gitt. Pengene blir imidlertid overført dersom A flytter penger fra B sin konto. Tilsvarende må det være med bits og bytes.
En naturlig språklig forståelse av ordlyden taler altså for at en overføring kun omfatter faktiske overføringer. Dette støttes også av personvernforordningens artikkel 49, som er en bestemmelse om unntaksvis overføring i særlige situasjoner. Flere av overføringene det pekes på her er situasjoner hvor det kun gir mening å tenke på «overføring» som en faktisk overføring av bits og bytes, eksempelvis artikkel 49 nr. 1 bokstav e og f. Ordlyden i andre språkversjoner av personvernforordningen synes ikke å trekke i andre retninger.
Arbeidsgruppen understreker at fjernaksess og andre liknende tilganger vil være en «overføring» når en slik tilgang benyttes fra et land utenfor EU/EØS. Når er en slik tilgang benyttes vil det skje en faktisk overføring, ved at bits og bytes krysser EU/EØS grenser. En «overføring» skjer da altså ikke når tilgangen blir gitt, men når tilgangen blir benyttet.
I Lindquist-saken vurderer EU-domstolen flere spørsmål fra Sveriges Høyesterett i en såkalt «Reference for a preliminary ruling». Saken gjaldt en person som hadde publisert personopplysninger på en nettside. Et av spørsmålene i saken er hvorvidt denne publiseringen i seg selv skal anses som en overføring. EU domstolen tolker det tidligere gjeldende personverndirektivet og ser både på formålet med overføringsbestemmelsene, og internetts tekniske natur. Et av EU-domstolens poeng er at dersom en overføring skulle anses som skjedd ved en tilgjengeliggjøring på internett, ville dette i prinsippet tilsi at det skjedde en overføring til alle land hvor en hadde tekniske muligheter til å nå denne nettsiden:
If Article 25 of Directive 95/46 were interpreted to mean that there is transfer [of data] to a third country every time that personal data are loaded onto an internet page, that transfer would necessarily be a transfer to all the third countries where there are the technical means needed to access the internet. The special regime provided for by Chapter IV of the directive would thus necessarily become a regime of general application, as regards operations on the internet.”
Avsnitt 69 i Lindquist-saken
På bakgrunn av blant annet dette poenget konkluderer EU-domstolen med at publisering av personopplysninger på en internettside i EU/EØS ikke utgjør en overføring.
EU-domstolens uttalelser i Lindqvist-saken taler for at en overføring må være en faktisk overføring. Situasjonen som beskrives i Lindqvist-saken med publisering av personopplysninger på internett er en form for å gi tilgang til servere i EU/EØS. Dette mente altså EU-domstolen at ikke utgjorde en overføring. Tilgjengeliggjøring på en offentlig tilgjengelig nettside, er riktignok en av de videste formene for tilgang. Tilgang er et gradspørsmål og det kan tenkes en mer begrenset tilgjengeliggjøring. Dette ville imidlertid åpne for noen vanskelige grensedragninger som «når er en tilgang til personopplysninger på servere i EU/EØS tilstrekkelig lukket til at det skal anses som en overføring». Det ville også åpnet for noen uklare situasjoner med hvilke overføringsgrunnlag som skulle vært benyttet.
Jussprofessor Christopher Kuner tar til ordet for at EU-domstolen i lys av Schrems-dommene trolig ikke ville kommet til samme resultat i Lindqvist i dag:
“The Lindqvist judgement suggests that a data transfer should be an active act which involves sending data, and not just making it passively accessible. However, this does not mean that granting access may not also constitute a “transfer”: indeed, the judgement seems to rest on a number of specific factors (the necessity for an internet user to personally take action to consult website, the fact that information was all in Swedish and was not intended to be read and used outside that country, and the early state of development of internet technologies at that time) that may limit the case to its facts. [...] The Schrems judgement demonstrate that the CJEU views the concept of an international data transfer in terms of requiring a high level of protection based on EU standards with regard to personal data that are sent or made available across national borders, rather than based on a set definition. The Grand Chamber of the Court then affirmed the Schrems rationale in Opinion 1/1516 and in Schrems II [Case C-311/18, Schrems II, para. 93]. Thus, if the CJEU were faced today with a case involving facts similar to those in Lindqvist, it woulds likely be reluctant to find that the GDPR does not apply to placing personal data on an internet site. The definition of international data transfer as interpreted by the Court is thus a broad one. The EDPB similarly applies a broad definition of the concept, and has found that ‘remote access from a third country (for example in support situations) and/or storage in a cloud situated outside the EEA, is also considered to be a transfer.” (våre tilpasninger i klammeparentes)
Side 762 og 763 i "The EU General Data Protection Regulation (GDPR): A Commentary" (med oppdateringer fra 2021)
EDPS (European Data Protection Supervisor) kom i 2014 med noe liknende uttalelser. Selv om EPBS i mindre grad uttaler seg om hvorvidt overføringsbegrepet forutsetter faktiske overføringer, understreker også EDPS at Lindquist må sees i lys av de spesifikke forholdene i saken. På den bakgrunn uttaler EDPS at:
Controllers should consider that this term would normally imply the following elements: communication, disclosure or otherwise making available of personal data, conducted with the knowledge or intention of a sender subject to the Regulation that the recipient(s) will have access to it.
Side EDPS position paper "The transfer of personal data to third countries and international organisations by EU institutions and bodies" fra 2014
Arbeidsgruppen er enig i at EU-domstolen ved Schrems-dommene viser at det er behov for et sterkt vern ved overføring av personopplysninger. Dette betyr imidlertid ikke at EU-domstolen vurderer at overføringsbegrepet skal tolkes utvidende. Lindqvist-saken synes å bygge på en rekke rettstekniske hensyn som også gjør seg gjeldende i dag. EU-domstolen uttalelse i avsnitt 69 viser at dersom «overføring» også skulle omfatte publisering på internett vil en få en rettsregel som er vanskelig å anvende på det globale internettet. Dette hensynet gjør seg enda mer gjeldende i dag på grunn av den teknologiske utviklingen. Verken Kuner og EDPS synes å adressere dette rettstekniske hensynet, men fokuserer på at også tilgjengeliggjøring må ha vernet som overføringsregelverket medfører. Arbeidsgruppen understreker at fjerntilgang eller liknende tilgjengeliggjøring, vil utgjøre en overføring idet tilgangen benyttes slik at den skjer en grenseoverskridende flyt av personopplysninger i form av "bits og bytes".
Formålet med forordningens kapittel V er «å sikre at det nivået for vern av fysiske personer som garanteres i denne forordning, ikke undergraves», jf. artikkel 44 annet punktum, jf. pvf. fortale nr. 101. Her [referanse] omtaler vi formålet med kapittel V noe nærmere. Formålet gir lite direkte veiledning for overføringsbegrepet, men det er vanskelig å si at den registrertes rettigheter har blitt undergravd av behandling utenfor EU/EØS dersom informasjonen aldri har blitt overført ut av EU/EØS.
Det europeiske personvernråd har utgitt retningslinjer for samspillet mellom personvernforordningens kapittel V og artikkel 3. Denne er i foreløpig utgave og har nylig vært på høring. Datatilsynet omtaler disse i sin veileder hvor også kriteriene er oversatt til norsk. I det foreløpige retningslinjene forsøker EDPB å definere begrepet overføring, hvor EDPB lander på følgende tre kriterier:
- A controller or a processor is subject to the GDPR for the given processing.
- This controller or processor (“exporter”) discloses by transmission or otherwise makes personal data, subject to this processing, available to another controller, joint controller or processor (“importer”).
- The importer is in a third country or is an international organisation, irrespective of whether or not this importer is subject to the GDPR in respect of the given processing in accordance with Article 3.
For spørsmålet om en «overføring» forutsetter en faktisk flyt av informasjon er det særlig nummer to som er relevant. Med «discloses by transmission» antas det at EDPB sikter til en faktisk flyt av informasjon. Med «otherwise makes personal data, subject to this processing, available» kan det se ut til at EDPB også anser en tilgjengeliggjøring av informasjon som omfattet av begrepet «overføring» i personvernforordningen. Dette er likevel uklart. I punkt 2.2 i EDPBs utkast (side 5 flg.) utdyper EDPB det andre kriteriet. Her tar de ikke stilling spørsmålet om en "faktisk overføring". Begrunnelsen for kriterium nummer to synes derimot å knytte seg til at visse situasjoner hvor det utvilsomt har skjedd en faktisk overføring, likevel ikke er omfattet av overføringsbegrepet i lys av blant annet artikkel 3 i personvernforordningen og Lindqvist-dommen. Dette har en god sammenheng med at EDPB sine retningslinjer har som formål å klargjøre samspillet mellom kapittel V og artikkel 3.
Ved tolkningen av overføringsbegrepet trekker domstolspraksis, system- og ordlydstolkning i retning av at overføringsbegrepet kun omfatter faktiske overføringer. EDPB sin definisjon kan synes å trekke i en annen retning, men begrunnelsen er uklar. Ordlyden i personvernforordningen og Lindqvist-dommen veier dessuten tyngre enn EDPB sine uttalelser i et utkast til retningslinjer, og må derfor gis avgjørende vekt. Konklusjonen blir derfor etter dette blir at «overføring» kun omfatter faktiske overføringer.
4 Behandlingsansvarlige overfører i utgangspunktet ikke ved bruk av skytjenester med region i EU/EØS
Virksomhetene i arbeidsgruppen søker å benytte skytjenester hvor regionen er satt til EU/EØS, slik at lagring og prosessering som utgangspunkt skjer i EU/EØS. All den tid behandling av personopplysninger kun skjer innenfor EU/EØS overfører behandlingsansvarlig som utgangspunkt ikke personopplysninger til tredjeland. Arbeidsgruppen legger til grunn at den behandlingsansvarlige i slike situasjoner ikke må gjøre vurderinger etter personvernforordningens kapittel V. Den behandlingsansvarlige må likevel gjøre andre vurdering ved bruk av skytjenesten. Dette kan du lese mer om her.
Dersom skytjenesteleverandøren likevel overfører personopplysninger, må det vurderes om dette skjer på bakgrunn av en instruks fra den behandlingsansvarlige eller om dette er noe skytjenesteleverandøren selv er behandlingsansvarlig for. Et eksempel på dette er dersom skytjenesteleverandøren overfører for å imøtekomme en utleveringsbegjæring fra tredjelands etterretningsmyndigheter. I slike situasjoner mener arbeidsgruppen at det er mye som tilsier at dette ikke er en instruks, men noe som skytjenesteleverandøren selv er behandlingsansvarlig for. Du kan lese mer om dette her:
Kontakt
Har du spørsmål eller tilbakemeldinger? Ta kontakt med oss!
E-post: markedsplassen [at] dfo.no (markedsplassen[at]dfo[dot]no)