For å avgjøre om reglene i personvernforordningens kapittel V kommer til anvendelse på den behandlingen du gjør som behandlingsansvarlig er det nødvendig å avklare hva som er en "overføring" og hvorvidt det er du som offentlig virksomhet som overfører.
Denne teksten er under arbeid og en del av revisjonen av dagens veileder. Det som står her er et utkast og endringer kan forekomme.
1 Aktuelle spørsmål rundt overføringsbegrepet
Personvernforordningens kapittel V og Schrems II gjelder «overføring» av personopplysninger til tredjestater eller internasjonale organisasjoner. Overføringsbegrepet er ikke nærmere definert i personvernforordningens definisjonskatalog i artikkel 4 eller i bestemmelsene i kapittel V. Begrepet er nevnt i definisjonen av behandling, som en beskrivelse av én måte å utlevere opplysninger, jf. artikkel 4 nr. 2. Dette gir imidlertid ikke tilstrekkelig informasjon for å avgjøre hvordan en overføring er definert.
Det er mange forhold ved overføringsbegrepet som er nødvendig å avkare. Et sentralt spørsmål er om en «overføring» i personvernforordningen forutsetter en faktisk overføring av personopplysninger til utenfor EU/EØS eller om det også omfatter en mulighet for at en overføring kan skje. Et annet sentralt spørsmål er samspillet mellom artikkel 3 og kapittel V.
Med faktisk overføring av personopplysninger menes at det først er når digital informasjon i form av bits og bytes har krysset EØS-områdets grenser at overføring har skjedd.
Hvis overføringsbegrepet forutsetter en faktisk overføring utelukker det at en overføring skjer allerede på det tidspunktet fysiske eller juridiske personer i et tredjeland har muligheten til å i fremtiden hente ut digital informasjon fra EU/EØS.
I praksis er spørsmålet om en "faktisk overføring" særlig relevant ved fjerntilgang. Problemstillingen er da om en overføring skjer når en fjerntilganger gitt eller når den blir brukt. Dette er nokså stor betydning for offentlige virksomheter ettersom det kan eksistere muligheter for fjerntilgang, men hvor risikoen for at disse blir brukt er liten.
Det europeiske personvernråd (EDPB) har utgitt retningslinjer for samspillet mellom artikkel 3 og kapittel V, og denne er i foreløpig utgave. Datatilsynet bygger på denne når de definerer overføringsbegrepet i sin veileder.
Hvorvidt en overføring forutsetter en faktisk overføring er ikke drøftet i retningslinjene fra EDPB eller Datatilsynets veiledning. Fordi dette spørsmålet har stor betydning for offentlige virksomheter drøftes dette under. For forholdet mellom artikkel 3 og kapittel V, vises det til Datatilsynets og EDPBs veiledning.
2 Forutsetter en «overføring» en faktisk flyt av bits og bytes?
Spørsmålet er om en «overføring» i personvernforordningens kapittel V knytter seg til faktiske overføringer eller om det også omfatter en mulighet for at en overføring kan skje.
En naturlig språklig forståelse av ordet «overføring» tilsier at det skjer en faktisk flyt av bits og bytes. Dette kan eksemplifiseres med følgende:
Dersom person A "overfører" penger til person B er det naturlig å se det slik at dette skjer når pengene flytter seg fra kontoen til person A og til kontoen til person B. Motsetningsvis vil det ikke være naturlig å si at penger har blitt overført fra As konto til Bs konto, dersom det bare er en teoretisk mulighet for at A overfører penger til B. Dersom person A eksempelvis får disposisjonsrett til person Bs konto, har ikke person A overført penger når disposisjonsretten blir gitt. Pengene blir imidlertid overført dersom A flytter penger fra B sin konto. Tilsvarende må det være med bits og bytes.
En naturlig språklig forståelse av ordlyden taler altså for at en overføring kun omfatter faktiske overføringer. Dette støttes også av personvernforordningens artikkel 49, som er en bestemmelse om unntaksvis overføring i særlige situasjoner. Flere av overføringene det pekes på her er situasjoner hvor det kun gir mening å tenke på «overføring» som en faktisk overføring av bits og bytes, eksempelvis artikkel 49 nr. 1 bokstav e og f. Ordlyden i andre språkversjoner av personvernforordningen synes ikke å trekke i andre retninger.
Fjernaksess og andre liknende tilganger vil være en «overføring» når en slik tilgang benyttes fra et land utenfor EU/EØS. Når er en slik tilgang benyttes vil det skje en faktisk overføring, ved at bits og bytes krysser EU/EØS grenser. En «overføring» skjer da altså ikke når tilgangen blir gitt, men når tilgangen blir benyttet.
I Lindquist-saken vurderer EU-domstolen flere spørsmål fra Göta hovrätt i Sverige i en såkalt «Reference for a preliminary ruling». Saken gjaldt en person som hadde publisert personopplysninger på en nettside. Et av spørsmålene i saken er hvorvidt denne publiseringen i seg selv skal anses som en overføring. EU domstolen tolker det tidligere gjeldende personverndirektivet og ser både på formålet med overføringsbestemmelsene, og internetts tekniske natur. Et av EU-domstolens poeng er at dersom en overføring skulle anses som skjedd ved en tilgjengeliggjøring på internett, ville dette i prinsippet tilsi at det skjedde en overføring til alle land hvor en hadde tekniske muligheter til å nå denne nettsiden:
If Article 25 of Directive 95/46 were interpreted to mean that there is transfer [of data] to a third country every time that personal data are loaded onto an internet page, that transfer would necessarily be a transfer to all the third countries where there are the technical means needed to access the internet. The special regime provided for by Chapter IV of the directive would thus necessarily become a regime of general application, as regards operations on the internet.”
Avsnitt 69 i Lindquist-saken
På bakgrunn av blant annet dette poenget konkluderer EU-domstolen med at publisering av personopplysninger på en internettside i EU/EØS ikke utgjør en overføring.
EU-domstolens uttalelser i Lindqvist-saken taler for at en overføring må være en faktisk overføring. Situasjonen som beskrives i Lindqvist-saken med publisering av personopplysninger på internett er en form for å gi tilgang til servere i EU/EØS. Dette mente altså EU-domstolen at ikke utgjorde en overføring. Tilgjengeliggjøring på en offentlig tilgjengelig nettside, er riktignok en av de videste formene for tilgang. Tilgang er et gradspørsmål og det kan tenkes en mer begrenset tilgjengeliggjøring. Dette ville imidlertid åpne for noen vanskelige grensedragninger som «når er en tilgang til personopplysninger på servere i EU/EØS tilstrekkelig lukket til at det skal anses som en overføring». Det ville også åpnet for noen uklare situasjoner med hvilke overføringsgrunnlag som skulle vært benyttet.
Jussprofessor Christopher Kuner tar til ordet for at EU-domstolen i lys av Schrems-dommene trolig ikke ville kommet til samme resultat i Lindqvist i dag:
“The Lindqvist judgement suggests that a data transfer should be an active act which involves sending data, and not just making it passively accessible. However, this does not mean that granting access may not also constitute a “transfer”: indeed, the judgement seems to rest on a number of specific factors (the necessity for an internet user to personally take action to consult website, the fact that information was all in Swedish and was not intended to be read and used outside that country, and the early state of development of internet technologies at that time) that may limit the case to its facts. [...] The Schrems judgement demonstrate that the CJEU views the concept of an international data transfer in terms of requiring a high level of protection based on EU standards with regard to personal data that are sent or made available across national borders, rather than based on a set definition. The Grand Chamber of the Court then affirmed the Schrems rationale in Opinion 1/1516 and in Schrems II [Case C-311/18, Schrems II, para. 93]. Thus, if the CJEU were faced today with a case involving facts similar to those in Lindqvist, it woulds likely be reluctant to find that the GDPR does not apply to placing personal data on an internet site. The definition of international data transfer as interpreted by the Court is thus a broad one. The EDPB similarly applies a broad definition of the concept, and has found that ‘remote access from a third country (for example in support situations) and/or storage in a cloud situated outside the EEA, is also considered to be a transfer.” (våre tilpasninger i klammeparentes)
Side 762 og 763 i "The EU General Data Protection Regulation (GDPR): A Commentary" (med oppdateringer fra 2021)
EDPS (European Data Protection Supervisor) kom i 2014 med noe liknende uttalelser. Selv om EPBS i mindre grad uttaler seg om hvorvidt overføringsbegrepet forutsetter faktiske overføringer, understreker også EDPS at Lindquist må sees i lys av de spesifikke forholdene i saken. På den bakgrunn uttaler EDPS at:
Controllers should consider that this term would normally imply the following elements: communication, disclosure or otherwise making available of personal data, conducted with the knowledge or intention of a sender subject to the Regulation that the recipient(s) will have access to it.
Side EDPS position paper "The transfer of personal data to third countries and international organisations by EU institutions and bodies" fra 2014
Vi er enig i at EU-domstolen ved Schrems-dommene viser at det er behov for et sterkt vern ved overføring av personopplysninger. Dette betyr imidlertid ikke at EU-domstolen vurderer at overføringsbegrepet skal tolkes utvidende. Lindqvist-saken synes å bygge på en rekke rettstekniske hensyn som også gjør seg gjeldende i dag. EU-domstolen uttalelse i avsnitt 69 viser at dersom «overføring» også skulle omfatte publisering på internett vil en få en rettsregel som er vanskelig å anvende på det globale internettet. Dette hensynet gjør seg enda mer gjeldende i dag på grunn av den teknologiske utviklingen. Verken Kuner og EDPS synes å adressere dette rettstekniske hensynet, men fokuserer på at også tilgjengeliggjøring må ha vernet som overføringsregelverket medfører. Vi understreker at fjerntilgang eller liknende tilgjengeliggjøring, vil utgjøre en overføring idet tilgangen benyttes slik at den skjer en grenseoverskridende flyt av personopplysninger i form av "bits og bytes".
Formålet med forordningens kapittel V er «å sikre at det nivået for vern av fysiske personer som garanteres i denne forordning, ikke undergraves», jf. artikkel 44 annet punktum, jf. pvf. fortale nr. 101. Her omtaler vi formålet med kapittel V noe nærmere. Formålet gir lite direkte veiledning for overføringsbegrepet, men det er vanskelig å si at den registrertes rettigheter har blitt undergravd av behandling utenfor EU/EØS dersom informasjonen aldri har blitt overført ut av EU/EØS.
Det europeiske personvernråd har utgitt retningslinjer for samspillet mellom personvernforordningens kapittel V og artikkel 3. Denne er i foreløpig utgave og har nylig vært på høring. Datatilsynet omtaler disse i sin veileder hvor også kriteriene er oversatt til norsk. I det foreløpige retningslinjene forsøker EDPB å definere begrepet overføring, hvor EDPB lander på følgende tre kriterier:
- A controller or a processor is subject to the GDPR for the given processing.
- This controller or processor (“exporter”) discloses by transmission or otherwise makes personal data, subject to this processing, available to another controller, joint controller or processor (“importer”).
- The importer is in a third country or is an international organisation, irrespective of whether or not this importer is subject to the GDPR in respect of the given processing in accordance with Article 3.
For spørsmålet om en «overføring» forutsetter en faktisk flyt av informasjon er det særlig nummer to som er relevant. Med «discloses by transmission» antas det at EDPB sikter til en faktisk flyt av informasjon. Med «otherwise makes personal data, subject to this processing, available» kan det se ut til at EDPB også anser en tilgjengeliggjøring av informasjon som omfattet av begrepet «overføring» i personvernforordningen. Dette er likevel uklart. I punkt 2.2 i EDPBs utkast (side 5 flg.) utdyper EDPB det andre kriteriet. Her tar de ikke stilling spørsmålet om en "faktisk overføring". Begrunnelsen for kriterium nummer to synes derimot å knytte seg til at visse situasjoner hvor det utvilsomt har skjedd en faktisk overføring, likevel ikke er omfattet av overføringsbegrepet i lys av blant annet artikkel 3 i personvernforordningen og Lindqvist-dommen. Dette har en god sammenheng med at EDPB sine retningslinjer har som formål å klargjøre samspillet mellom kapittel V og artikkel 3.
Ved tolkningen av overføringsbegrepet trekker domstolspraksis, system- og ordlydstolkning i retning av at overføringsbegrepet kun omfatter faktiske overføringer. EDPB sin definisjon kan synes å trekke i en annen retning, men begrunnelsen er uklar. Ordlyden i personvernforordningen og Lindqvist-dommen veier dessuten tyngre enn EDPB sine uttalelser i et utkast til retningslinjer, og må derfor gis avgjørende vekt. Konklusjonen blir derfor etter dette blir at «overføring» kun omfatter faktiske overføringer.
3 Hva med en mulig overføring eller en risiko for overføring?
Vi må skille mellom en planlagt overføring og en risiko/mulighet for en overføring. Der det bare foreligger en risiko eller en mulighet, er det ikke sikkert at du skal foreta en vurdering etter kapittel V. Da er det kanskje mer nærliggende å ta utgangspunkt i bestemmelser som artikkel 24, 32 og 28 nr. 1. Dette begrunnes i det følgende:
Hvis du planlegger å overføre personopplysninger, vet du at du skal overføre og du vet hvilke personopplysninger som skal overføres. Ved en mulig overføring i fremtiden, vet du ikke om du skal overføre og du vet heller ikke hvilke personopplysninger som eventuelt overføres. Hvis ikke du vet hvilke opplysninger som eventuelt skal overføres vil det være vanskelig å få til en god vurdering etter kapittel V. Da er det kanskje mer nærliggende å ta utgangspunkt i bestemmelser som artikkel 24, 32 og 28 nr. 1.
Etter artikkel 24 skal den behandlingsansvarlige "gjennomføre egnede tekniske og organisatoriske tiltak for å sikre og påvise at behandlingen utføres i samsvar med denne forordning". Artikkel 24 oppstiller en relativ forpliktelse og hvor langt tiltaksplikten strekker seg beror på hva som er "egnet" sett i lys av momentene som innledningsvis i bestemmelsen.
Ved mulige overføringer og risiko for overføring, kan et egnet tiltak for å påvise være å ha en skriftlig vurdering av om virksomheten overfører personopplysninger. Da vil denne vurderingen kunne fremlegges overfor tilsynsmyndigheter dersom det skulle være behov for kontroll. Avhengig av hva som er "egnet" i lys av momentene innledningsvis i artikkel 24 kan en vurdering være svært kort, eller den kan være mer omfattende. Hvis det er nærliggende at det skal overføres personopplysninger, kan momentene i artikkel 24 tilsi at det må gjøres en full vurdering etter kapittel V for å sikre at en overføring er i tråd med reglene. Avhengig av momentene i 24 kan det også være nødvendig å iverksette tiltak og retningslinjer for å forhindre at en overføring skjer før den er vurdert, men her vil også artikkel 32 være relevant.
Skillet mellom en planlagt overføring og en risiko/mulighet for en overføring kan illustreres med følgende fiktive offentlige virksomhet «Storevik sykehus»:
«Storevik skal benytte en skyleverandør i sin behandling av personopplysninger. De setter opp skytjenesten med region i EU/EØS – altså slik at behandlingen skjer i EU/EØS. Virksomheten avtaler at support skal skje i EU/EØS, men dersom det går helt galt kan de få hjelp fra support i USA. Dersom Storevik benytter supporttjenestene utenfor EU/EØS og dette medfører at en flyt av personopplysninger til utenfor EU/EØS, overfører Storevik personopplysninger.
Hvorvidt og i hvilket omfang Storevik må gjøre/dokumentere vurderinger på forhånd, kommer an på momentene innledningsvis i artikkel 24. Storevik mener at risikoen er svært lav. Tredjelands support skal kun benyttes hvis det er krise. Storevik mener at risikoen for innhenting til etterretningsformål gjennom support i en slik situasjon er svært lav. For konkrete behandling velger Storevik derfor å gjøre en kort vurdering. De oppdaterer protokollen sin etter artikkel 30 nr.1 bokstav e og legger til at det i fremtiden kan tenkes overføring til USA, og at dersom dette skjer vil det kunne være i henhold til 49 nr. 1 bokstav d. Dette vet imidlertid Storevik først når en slik overføring er forestående.
Tjenesten kjører uten problemer og dagene går uten at det er nødvendig med support fra utenfor EU/EØS. En dag blir Storevik kontaktet av en av de registrerte som sier at bruken av denne supporttjenester ikke er lov fordi Storevik har overført den registrertes opplysninger. Storevik kan da berolige den registrerte med at det ikke har skjedd en overføring fordi det ikke har blitt brukt supportpersonell fra utenfor EU/EØS.»
I eksempelet ville en eventuell overføring skjedd fra Storevik selv. I praksis er det imidlertid ofte slik at offentlige virksomheter bruker skytjenester gjennom europeisk leverandører som databehandlere. Hvis det da skjer en overføring er det ikke nødvendigvis de offentlige virksomheter som overfører, men databehandleren. Dette kan du lese mer om i punktet under.
4 Hvem overfører personopplysningene?
Reglene i personvernforordningens kapittel V gjelder for den som skal overføre personopplysninger, jf. blant annet artikkel 44 og 46. Den som overfører opplysningene kalles ofte dataeksportør, og den som mottar opplysningene kalles ofte dataimportør. Dataeksportøren kan være databehandler eller behandlingsansvarlig.
Ved bruk av skytjenester har en offentlige virksomheter normalt en avtale med et europeisk underselskap av en skytjenesteleverandør, og ofte er også denne kontrakten forhandlet gjennom et mellomledd i Norge. I tillegg har også offentlige virksomheter normalt satt opp skytjenesten på en slik måte at regionen er satt til EU/EØS, slik at lagring og prosessering som utgangspunkt skjer i EU/EØS. Så lenge dataflyten er innad i EU/EØS skjer det ingen overføring.
Offentlige virksomheter benytter av og til tjenester fra skytjenesteleverandøren som leveres fra utenfor EU/EØS. Dette kan medføre overføring av personopplysninger. Det er imidlertid ikke sikkert at denne overføringen skjer fra en offentlig virksomhet. Dersom tjenesten utenfor EU/EØS benyttes gjennom den europeiske databehandleren, kan det være at det er denne databehandleren som overfører personopplysningene. Dette beror på en konkret vurdering hvem det er som overfører.
For overføringer basert på «nødvendige garantier» etter artikkel 46 i form av avtaleinstrumentet SCCer, er det dataeksportøren og dataimportøren som skal være kontraktsparter til SCCen. Dersom en offentlige virksomheten sin databehandler eller underdatabehandler er den som overfører, er det den aktuelle databehandleren som er dataeksportør og dermed kontraktspart til SCCen. Det er følgelig den overførende databehandleren som, sammen med dataimportøren, skal gjøre vurderingene etter kapittel V.
Selv om den offentlige virksomheten ikke overfører, og derfor ikke er den som skal gjøre vurderingene etter kapittel V, kan den offentlige virksomheten ha andre forpliktelser, slik som personvernforordningens artikkel 28 nr. 1 og artikkel 32. Disse kan du lese nærmere om her [referanse]
5 Oppsummering
Kapittel V gjelder kun ved overføring av personopplysninger. Hvis du vet at du skal overføre personopplysninger, bør du forholde deg til overføringsreglene og gjøre de nødvendige vurderingene for å sikre at overføringen er i henhold til kapittel V. Hvis du ikke overfører, behøver du normalt ikke å forholde deg til overføringsreglene. Er du usikker på om du overfører personopplysninger, bør du få avklart om dette er tilfellet.
For avgjøre om du overfører personopplysninger må du vite hva en overføring er og om det du eller er din databehandler/underdatabehandler som overfører.
Overføringsbegrepet i personvernforordningens kapittel V forutsetter at personopplysninger i form av digital informasjon faktisk krysser grensene til EU/EØS. Eksempler på dette er når opplysninger sendes og når en fjerntilgang blir benyttet. Overføringen skjer kun når personopplysningene sendes eller fjerntilgangen benyttes. En mulighet for at en overføring kan skje medfører altså ikke at opplysninger har blitt overført. Fjerntilgang eller muligheten for fjerntilgang innebærer i seg selv at det skjer en overføring, det er først når en slik fjerntilgang benyttes.
Vi må skille mellom en planlagt overføring og en risiko/mulighet for en overføring. Der det bare foreligger en risiko eller en mulighet, er det ikke sikkert at du skal foreta en full vurdering etter kapittel V. Da er det kanskje mer nærliggende å ta utgangspunkt i bestemmelser som artikkel 24, 32 og 28 nr. 1.
Kun der hvor du selv overfører personopplysninger, er det du som skal foreta vurderingene etter kapittel V. Dersom det er din databehandler eller underdatabehandler som overfører, har du likevel forpliktelser ved valg og oppfølging av databehandleren, samt plikt til å ivareta informasjonssikkerheten, jf. artikkel 32 og 28 nr. 1.