Hvor er jeg i veiledningen?

Tilbake til hovedsiden

Tilbake til siden for personvernrisiko for etterretning ved bruk av skytjenester

1         Innledning

Bruk av skytjenester hvor dataflyten kun skjer i EU/EØS medfører som utgangspunkt ikke en overføring av personopplysninger. Det kan likevel være behov for å vurdere risikoen for tredjelands etterretning.

Dersom du overfører personopplysninger i henhold til definisjonen i personvernforordningens kapittel V, må du gjennomføre en ytterligere vurdering i tillegg til vurderingene etter artikkel 32, jf. 28 nr. 1.

Det er mange rettskilder du må forholde deg til dersom du overfører personopplysninger i henhold til personvernforordningens kapittel V. Målet med informasjonen på denne siden er å sammenstille de ulike rettskildene og oppsummere rettskildebildet.

Oppsummeringen av rettskildene som presenteres her ligger til grunn for vår veiledning om hvordan du skal vurdere risikoen for etterretning i helhetsvurderingen ved overføringer av personopplysninger.

2         Relevante rettskilder

2.1        Personvernforordningens kapittel V

Det sentrale utgangspunktet for overføring av personopplysningene er bestemmelsene i personvernforordningens kapittel V. Datatilsynet har laget en god gjennomgang av bestemmelsene og vi viser til denne:

Formålet med forordningens kapittel V er «å sikre at det nivået for vern av fysiske personer som garanteres i denne forordning, ikke undergraves», jf. artikkel 44 annet punktum, jf. pvf. fortale nr. 101. Det er trolig flere aspekter ved at vernet ikke skal «undergraves».

Fra et systematisk perspektiv hindrer reglene i kapittel V at virksomheter overfører personopplysninger til land utenfor EU/EØS for å omgå det vernenivået som personvernforordningen etablerer i EU/EØS, for eksempel fordi de opplever etterlevelse av regelverk som byrdefullt. Med et perspektiv hindrer overføringsreglene en type «personvern-skatteparadis».

Fra den registrertes perspektiv skal reglene i kapittel V sikre at den registrerte ikke stilles dårligere dersom personopplysningene overføres. For å vurdere hvorvidt formålet er ivaretatt fra den registrertes perspektiv er det relevant å se på de ulike bestanddelene i «nivået for vern», for deretter å vurdere om disse er blitt «undergravd» ved en overføring. 

Med Schrems II kan ikke lengre Privacy Shield benyttes som et grunnlag for overføringer. Overføringer på bakgrunn av personvernforordningens artikkel 46 om "nødvendige garantier", herunder overføringer med SCC, har derfor blitt særlig aktuelt. Formålet bak artikkel 46 kommer særlig til uttrykk i personvernforordningens fortale 108. Denne peker på rettigheter og prinsipper som skal ivaretas ved en overføring når en overføring skjer på bakgrunn av "nødvendige garantier":

De nødvendige garantiene må «sikre samsvar med kravene til vern av personopplysninger og de registrertes rettigheter i forbindelse med behandling» i Norge og gi de «registrerte … tilgang til håndhevbare rettigheter og effektive rettsmidler, herunder retten til effektiv administrativ eller rettslig prøving og til å kreve erstatning i Unionen eller i en tredjestat. Garantiene bør særlig omfatte samsvar med de allmenne prinsippene om behandling av personopplysninger og prinsippene om innebygd personvern og personvern som standardinnstilling.»

Personvernforordningens fortale avsnitt 108

For å ivareta formålet med overføringer på bakgrunn av "nødvendige garantier", herunder SCC, må en på et overordnet nivå sikre at vernenivået ikke blir undergravd. Nødvendige garantier skal derfor sikre håndhevbare rettigheter og effektive rettsmidler. Som fortalen indikerer vil dette i hovedsak si at den registrerte har en rett til klage og adgang til en domstol dersom den registrerte mener at rettighetene ikke blir ivaretatt. Klage- og domstolsadgangen kan gis i EU/EØS, det ikke et krav om at dette må være direkte i tredjestaten. Garantiene må videre sikre at behandlingsprinsippene i forordningen samt prinsippet om innebygd- og standardinnstilt personvern ivaretas.

2.2         Særlig om Schrems II-dommen

EU-domstolen opphevet i 16. juli 2020 EUs landgodkjenning av USA i sak C-311/18, Data Protection Commissioner v. Facebook Ireland and Maximillian Schrems.

I dommen vurderer EU-domstolen flere spørsmål fra High Court of Ireland i en såkalt «Reference for a preliminary ruling». For å besvare spørsmålene vurderer EU-domstolen blant annet hvilket vernenivå den registrerte skal ha ved en overføring, gyldigheten av SCC som overføringsmekanisme og EU-kommisjonens beslutning om Privacy Shield.

I vurderingen av Privacy Shield ser EU-domstolen på amerikansk etterretningslovgivning og hvorvidt Privacy Shield som overføringsmekanisme ville kunne sørge for et tilstrekkelig vernenivå ved overføring av personopplysninger til USA. EU-domstolens vurderte at den aktuelle etterretningslovgivningen i USA ikke var tilstrekkelig klar og avgrenset. Lovgivningen hadde heller ikke tilstrekkelige minimumsgarantier (avsnitt 180). Privacy Shield som mekanisme sikret heller ikke håndhevbare rettigheter og effektive rettsmidler for den registrerte (avsnitt 186).

Schrems II-dommen avskjærer ikke muligheten for å bruke skytjenester, eller bruk av skytjenester levert av selskaper fra USA.

På bakgrunn av EU-domstolens uttalelser i Schrems II og de menneskerettslige rammene legger arbeidsgruppen til grunn at det må foretas en helhetsvurdering ved en overføring av personopplysninger med SCC.

2.3        Menneskerettslige og konstitusjonelle rammer

En sentral del av vurderingen i Schrems II er at den registrerte må sikres et vern som er «essentially equivalent» til det vernet den registrerte har i EU/EØS. Fordi dommen omhandler innhenting av personopplysninger til etterretningsformål, er det relevant å se på hvilket vern innbyggere har i EU/EØS.

Her beskriver arbeidsgruppen hvilket vern mot etterretning norske innbyggere har etter Grunnloven og menneskerettslige forpliktelser slik som EMK artikkel 8. Slik vi ser det, må vernet mot etterretning vurderes ut ifra hvilken relasjon det er til landet. Vi stiller opp fire tilfeller:

1. Hvilket vern har innbygger i land A mot etterretning fra sitt eget land?
2. Hvilket vern har innbygger i land A mot etterretning fra land B når begge er underlagt EMK og personvernforordningen?
3. Hvilket vern har innbygger i land A mot etterretning fra tredjeland C ved overføring av personopplysninger til land C, når kun land A er underlagt EMK og personvernforordningen? (Schrems II)
4. Hvilket vern har innbygger i land A mot etterretning fra tredjeland C når kun land A er underlagt EMK og personvernforordningen? (typisk situasjon ved bruk av skytjenester i EU/EØS)

For punkt 1 finnes det mye rettspraksis som kan gi veiledning. For punkt 2 og 4 anser arbeidsgruppen situasjonen for usikker til at det er mulig å konkludere. For punkt 3 følger det noen føringer av Schrems II, og de kan oppsummeres slik når de leses i lys av EMK artikkel 8:

• Land som ikke har ratifisert EMK har ingen forpliktelse til å avstå fra inngrep i våre rettigheter etter EMK. Lovgivningen der kan ikke i seg selv utgjøre et inngrep i våre rettigheter. Derfor er det overføringen til et slikt land som utgjør inngrepet i våre rettigheter. Dette understøttes av at EU-domstolen i Schrems II vurderer den amerikanske etterretningslovgivningen i forlengelse av Privacy Shield
• En overføring med SCC må oppfylle vilkårene i EMK artikkel 8 nr. 2. Arbeidsgruppen anser vilkåret «necessary in a democratic society» som er det avgjørende punktet.
• Vi har ikke et absolutt vern mot innhenting til etterretningsformål etter EMK artikkel 8. Det kan gjøres et inngrep, men dette må ikke medføre en krenkelse.
• Vurderingen av om inngrepet som overføringen medfører er "necessary in a democratic society" innebærer en forholdsmessighetsvurdering hvor inngrepets størrelse sammenliknes med eventuelle mekanismer som avhjelper de negative konsekvensene av inngrepet. Dersom inngrepet er uforholdsmessig stort, skjer det en krenkelse.

2.4        SCC

EU-kommisjonen vedtok i 2021 nye standard personvernbestemmelser (SCCs). Du kan lese mer om SCCene oppbygging og bakgrunn i Datatilsynets veiledning punkt 4. Kommisjonen har tatt hensyn til Schrems II-dommen ved utforming av bestemmelsene. Når du overfører data til et tredjeland, og bruker de nye SCC-ene er det viktig at partene involvert i behandlingen har tatt hensyn til lovgivningen i importlandet. SCC-ene inneholder en bindende garanti fra partene om at de ikke kjenner til forhold – lov og praksis – i det aktuelle landet som hindrer deres etterlevelse av standard personvernbestemmelsene. I dette erkjenner partene at lover som respekterer grunnleggende rettigheter ikke går lengre enn det som er nødvendig i et demokratisk samfunn for å sikre legitime formål fastsatt i lov. I denne vurderingen skal partene etter Clause 14 bokstav b ta rimelig hensyn til:

• Overføringens natur/karakter, inkl. antall parter som behandler data, om det vil skje en videreoverføring til andre etter mottak, kategorier av mottakere, formål med behandlingen, opplysningskategorier og lagringssted.
• Lov og praksis i landet, inkludert myndighetsinnsyn som er relevante for den aktuelle overføringen, og aktuelle begrensninger og garantier knyttet mot inngrep.
• Relevante supplerende tiltak (avtalemessige og sikkerhetsmessige tekniske og organisatorisk tiltak) for å beskytte opplysningen under behandlingen.

For vurderingen av lov og praksis i landet, følger det av klausul 14 bokstav b (ii) fotnote 12 at det må gjennomføres en helhetsvurdering av hvorvidt mottaker er underlagt lovgivning som vil kunne påvirke mottakers evne til å ivareta den registres rettigheter. I fotnoten peker Kommisjonen på relevante momenter som i stor grad knytter seg til sannsynlighet. I helhetsvurderingen kan man ta hensyn til relevant og dokumentert praktisk erfaring med tidligere anmodninger om utlevering av opplysninger til offentlige myndigheter, eller mangel på slike anmodninger, i en passende og tilstrekkelig representativ periode. Dokumentasjonen skal kombineres med objektiv informasjon – eks. rettspraksis eller offentlige rapporter - som understøtter en konklusjon om at slike myndighetspålegg ikke forekommer innenfor samme sektor.

2.5        Veiledning fra EDPB og Datatilsynet

EDPB anbefaler en trinnvis overføringsvurdering, også kjent som Transfer Impact Assessment (DTIA), av om overføring til tredjeland vil være i tråd med gjeldende regelverk. Datatilsynet bygger også på denne i sin veiledning etter Schrems II. Basert på den norske veiledning til Datatilsynet er trinnene:

1. Kjenn overføringene
2. Identifiser overføringsgrunnlag
3. Vurder om overføringsgrunnlaget vil være effektivt i lys av alle omstendighetene ved overføringen
4. Iverksett ytterligere tiltak
5. Re-evaluer med jevne mellomrom

Vi anbefaler å lese veiledning fra Datatilsynet for å få oversikten over deres fremstilling. Vi vil likevel trekke frem følgende:

I tilknytning til steg 3 peker Datatilsynet på skillet mellom inngrep og krenkelse ved vurderingen av lovgivningen i tredjelandet. Arbeidsgruppen til grunn at Schrems II må leses slik at det er selve overføringen som utgjør et inngrep og eventuelt en krenkelse. Dette skyldes at tredjeland, slik som USA, ikke er part til EMK.

Ved vurderingen av inngrep og krenkelse etter EMK artikkel 8 er det naturlig å først se hvorvidt det er skjedd et inngrep og størrelsen på inngrepet. Deretter ser på om dette kan rettferdiggjøres etter EMK artikkel 8 nr. 2. Dette innebærer en proporsjonalitetsvurdering, hvor det også vil være naturlig å se hen til eventuelle ytterligere tiltak. Det er altså først etter at en har vurdert både inngrepets størrelse og hvorvidt dette kan rettferdiggjøres det kan avgjøres om rettigheten er blitt krenket.

På denne bakgrunn kan det være naturlig å se det slik at steg 3 og 4 i Datatilsynets DTIA samlet i stor grad gir uttrykk for en vurdering slik som den i EMK artikkel 8. Det er først etter at begge stegene er gjennomført at det vil være mulig å avgjøre om inngrepet er så uproporsjonalt at det foreligger en krenkelse.

3         Konklusjon og oppsummering

På bakgrunn av det som er skrevet her, herunder det som er skrevet om menneskerettslige rammer og hva Schrems II sier legger arbeidsgruppen til grunn at følgende gjelder ved overføring av personopplysninger til ikke-godkjente tredjeland, herunder USA, når du bruker EU-Kommisjonens standard personvernbestemmelser – såkalte SCCs.

• Den registrerte har krav på et beskyttelsesnivå som «hovedsakelig» er «likeverdig», jf. personvernforordningen artikkel 45, til det vern vedkommende nyter i EU/EØS.

• Beskyttelsesnivået skal leses i lys av menneskerettslige forpliktelser. EMK artikkel 8 er den sentrale menneskerettslige bestemmelsen for personvern i Norge. EMK artikkel 8 gir ikke et absolutt vern mot personvernrisikoer. Det må foretas en helhetsvurdering hvor det avgjørende er at overføringen ikke utgjør et større inngrep i den registrertes rettigheter enn det som er nødvendig i et demokratisk samfunn. Dette innebærer en proporsjonalitetsvurdering hvor inngrepets størrelse sammenholdes med rettsikkerhetsmekanismer og eventuelle ytterligere tiltak.

• Veiledning fra Personvernrådet og Datatilsynet gir i stor grad anvisning på en helhetsvurdering som i EMK artikkel 8 i sine steg 3 og 4.

• EU-kommisjonenes standard personvernbestemmelser (SCC) gir under normale forutsetninger effektive rettssikkerhetsgarantier, herunder håndhevbare rettigheter for de registrerte, samt effektive rettsmidler som sikrer at overføringen og viderebehandlingen er i tråd med personvernforordningen og EMK artikkel 8.

• Importør og eksportør må sammen foreta en helhetsvurdering av risikoen for at SCC-ene i praksis ikke etterleves i tredjelandet. Avhengig av risikoens størrelse, kan det være nødvendig for partene å supplere SCC-ene med andre tiltak, særlig sikkerhetsmessige, avtalemessige, og organisatoriske tiltak slik at den registrertes rettigheter etter personvernforordningen og EMK artikkel 8 ikke blir krenket. Arbeidsgruppen legger til grunn at alle skytjenesteleverandører er underlagt etterretning. Lovgivningen gir et utgangspunkt for å vurdere denne risikoen, men den er ikke uttømmende. Det er alltid en risiko, og størrelsen på risikoen er avgjørende. For å sikre den registrertes rettigheter i praksis bør helhetsvurdering av den konkrete overføring sees i sammenheng med eventuelle risikovurderinger etter artikkel 32, jf. 28 nr. 1.

• Tilsynsmyndigheten i eksportlandet kan stanse eller forby overføring til et tredjeland når den ikke er forsikret om overføringen vil være i tråd med EØS-retten. Denne adgangen er en rettsikkerhetsmekanisme som gir de registrerte et effektivt rettsmiddel mot videre inngrep. SCC skiller seg her fra Privacy Shield. For Privacy Shield hadde ikke tilsynsmyndighetene adgang til å overprøve EU-kommisjonens adequacy decision og dermed ikke adgangen til stanse en overføring. Dette er et viktig moment i helhetsvurderingen ved bruk av SCC.

---