Offentlige virksomheter bruker hovedsakelig skytjenester hvor behandlingen skjer innad i EU/EØS. Da skjer det normalt ikke en overføring av personopplysninger. Unntaksvis benytter offentlige virksomheter visse løsninger og tjenester som gjør at de overfører personopplysninger. Her kan du lese mer om kravene til overføring av personopplysninger.
Denne teksten er under arbeid og en del av revisjonen av dagens veileder. Det som står her er et utkast og endringer kan forekomme.
1 Overfører du personopplysninger til tredjeland?
Reglene i personvernforordningens kapittel V gjelder for den som skal overføre personopplysninger til tredjeland. For å avgjøre om du overfører personopplysninger må du vite hva en overføring er og om det du eller er din databehandler/underdatabehandler som overfører.
2 Hvorfor har vi regler om overføring av personopplysninger?
Formålet med kapittel V fremgår av artikkel 44, som har tittelen «Generelt prinsipp for overføring». Av andre punktum følger det at «Alle bestemmelser i dette kapittel skal få anvendelse for å sikre at det nivået for vern av fysiske personer som garanteres i denne forordning, ikke undergraves».
Formålet med personvernforordningen er å sikre godt og harmonisert vernenivå for personopplysninger for å igjen sikre fri flyt av personopplysninger innad i EU/EØS, jf. blant annet artikkel 1 nr. 3. Det kan derfor legges til grunn til at overføring til et land i EU/EØS ikke medfører at vernenivået undergraves.
Land utenfor EU/EØS er ikke underlagt personvernforordningen. Behandling av personopplysninger i disse landene er som utgangspunkt ikke vernet av vårt regelverk i EU/EØS, men for visse unntakstilfeller se artikkel 3. Uten overføringsbegrensninger ville virksomheter i EU/EØS kunne behandle personopplysninger utenfor EU/EØS. Dette ville undergravet vernet i personvernforordningen, se Schrems I avsnitt 73 og Schrems II AG-opinion avsnitt 117.
Selv om behandling utenfor EU/EØS som utgangspunkt ikke er vernet av personvernforordningen er det likevel ønskelig med dataflyt utenfor EU/EØS for å stimulere dataøkonomien, jf. fortalens avsnitt 6 siste punktum. Overføringsregler skal dermed sikre personvernforordningens vern også ved behandling utenfor EU/EØS.
Forholdet til tredjelands etterretningsmyndigheter er en kompleks problemstilling som innebærer vanskelige avveininger av hensyn på tvers av flere rettsområder. Det fremgår ikke av formålet med kap. V at den er tiltenkt til å regulere tredjelands etterretningsvirksomhet. Formålet med kapittel V er å sikre at vernenivået til den registrerte ikke undergraves ved overføringer av personopplysninger. Tredjelands etterretningslovgivning er relevant fordi det er ett av mange elementer i en slik vurdering.
3 Systematikken i kapittel V
Kapittel V er bygd opp slik at de mest generelle bestemmelser står først, mens de påfølgende bestemmelser forutsetter en mer konkret vurdering av forhold ved den aktuelle overføringen.
Utgangspunktet for lovlige overføringer er adekvansbeslutninger («Adequacy decisions») etter artikkel 45. Dersom det ikke foreligger en adekvansbeslutning, gir artikkel 46 anvisning på rettslige grunnlag for overføring i form av nødvendige garantier. Dersom verken artikkel 45 eller 46 kan fungere som overføringsgrunnlag, kan det likevel skje overføringer i samsvar med unntaksbestemmelsen i artikkel 49.
For å forstå kapittel V er det helt sentralt å forstå forskjellen mellom en adekvansbeslutning etter artikkel 45 og en vurdering av nødvendige garantier etter artikkel 46 (herunder SCC-vurdering):
For adekvansbeslutninger etter artikkel 45 skal EU-kommisjonen skal gjøre en omfattende vurdering av et land, blant annet deres rettsstat og relevant lovgivning. Dette gir grunnlag for en juridisk metodisk tilnærming som likner den EMD og EU-domstolen anvender når de gjør en domstolskontroll av europeiske lands lovgivning opp mot Charteret og EMK. Med en adekvansbeslutning skal EU-kommisjonen på en måte vurdere om det er grunnlag for å gi «grønt lys» for alle overføringer til et land. Kommisjonens adekvansbeslutning er tilstrekkelig, og det er ikke krav om å vurdere særskilte tilleggstiltak i disse tilfellene.
For overføringer basert på «nødvendige garantier» etter artikkel 46 er utgangspunktet at det skal overføres til et land som ikke anses som adekvat, jf. at artikkel 46 innleder med «Dersom det ikke foreligger en beslutning i henhold til artikkel 45 nr.3». Selv om landet ikke anses som adekvat, kan er det likevel mulig å overføre så lenge det gis «nødvendige garantier». Den behandlingsansvarlige eller databehandleren skal altså ikke gi «grønt lys» for et land, men skal gi nødvendige garantier som sikrer den konkrete overføringen. Dette innebærer at dataeksportøren og dataimportøren må sikre for at den registrerte har håndhevbare rettigheter og effektive rettsmidler for den konkrete overføringen.
4 Overføring med standard contractual clauses (SCC)
4.1 Artikkel 46 – nødvendige garantier
Det følger av artikkel 46 nr. 1 at, dersom det ikke foreligger en beslutning i henhold til artikkel 45 nr. 3, kan det kun overføres personopplysninger dersom det det er gitt «nødvendige garantier» og under forutsetning av at den registrerte har «håndhevbare rettigheter» og «effektive rettsmidler».
4.1.1 Håndhevbare rettigheter
Den første forutsetningen er vilkåret «håndhevbare rettigheter». Her er det naturlig å ta utgangspunkt rettighetskapittelet i personvernforordningen, kapittel III. Kapittelet oppstiller en rekke rettigheter, blant annet knyttet til innsyn og rett til sletning. Rettighetene kan gjøres gjeldende overfor en behandlingsansvarlig lokalisert i EU/EØS uavhengig av om det overføres personopplysninger. Dersom den behandlingsansvarlige er en norsk offentlig virksomhet, vil den registrerte kunne gjøre disse rettighetene gjeldende overfor denne virksomheten. En behandlingsansvarlig i EU/EØS kan imidlertid ha behov for støtte fra sin databehandler for å følge opp rettighetene til den registrerte. De håndhevbare rettighetene henger derfor sammen med de «nødvendige garantiene» som behandles nedenfor.
4.1.2 Effektive rettsmidler
Den andre forutsetning for en overføring er at det foreligger «effektive rettsmidler». Dette henger også sammen med «håndhevbare rettigheter» ettersom «effektive rettsmidler» kan være nødvendig for å sørge for at rettighetene blir håndhevbare.
Når vilkåret leses i sammenheng med fortalens avsnitt 108 fremkommer det at «retten til effektiv administrativ eller rettslig prøving og til å kreve erstatning i Unionen eller i en tredjestat» er sentralt for «effektive rettsmidler».
For spørsmålet om administrativ prøving er det viktig å skille mellom artikkel 45 og artikkel 46. I motsetning til artikkel 45, hvor EU-kommisjonen er pliktsubjektet, er den behandlingsansvarlige og/eller databehandleren pliktsubjekt etter artikkel 46. Dette betyr at Datatilsynet kan stoppe overføringen dersom de mener den ikke er i henhold til personvernforordningen. Dermed har den registrerte adgang til «administrativ prøving».
For «rettslig prøving» fremgår det av fortalens 108 er det ikke et krav om domstolsadgang i tredjelandet. Så fremt den registrerte kan bringe saken inn for domstoler i EU/EØS har også den registrerte adgang til «rettslig prøving» og adgang til å kreve «erstatning i Unionen».
4.1.3 Nødvendige garantier
I tillegg til forutsetningene «håndhevbare rettigheter» og «effektive rettsmidler», er det et vilkår etter artikkel 46 at det er gitt «nødvendige garantier». Disse garantiene kan sikres ved hjelp av ett av instrumentene som er listet opp i artikkel 46 nr. 2. Særlig aktuelt er bruken av «standard personvernbestemmelser vedtatt av Kommisjonen», jf. art 46 nr. 2 bokstav c, ofte kalt SCC. I det følgende behandler vi kun «nødvendige garantier» ved bruk av SCC.
De «nødvendige garanti[ene]» skal i henhold til fortalen 108, «sikre samsvar med kravene til vern av personopplysninger». Fortalen viser at dette henger sammen med de håndhevbare rettighetene og de effektive rettsmidlene. Dette er en naturlig sammenheng: for at et pliktsubjekt i EU/EØS skal kunne etterleve sine forpliktelser, slik som å ivareta den registrertes rettigheter etter kapittel III, kan det være nødvendig med bistand fra dataimportøren i tredjelandet. Ved en overføring er det tross alt hos dataimportøren at personopplysningene befinner seg. Dataimportøren i tredjelandet er imidlertid ikke underlagt personvernforordningen, og det er derfor nødvendig med en annen mekanisme for å sikre at dataimportøren forplikter seg – nemlig de nødvendige garantiene. For en overføring fra en behandlingsansvarlig i EU/EØS til en databehandler i et tredjeland kommer dette til uttrykk i SCC clause 10 module two bokstav b.
De «nødvendige garanti[ene]» er kun en kontraktsmekanisme. Det betyr at det kan oppstå et spenningsforhold dersom det er praksis eller lovgivning i mottakerlandet som forhindrer dataimportøren fra å etterleve forpliktelsene i kontrakten. Dette er sentralt spørsmål i Schrems II, se dommens avsnitt 133.
4.2 Schrems II
I Schrems II behandler EU-domstolen spesifikt spørsmålet om hvilket vernenivå den registrerte skal ha ved overføringer med SCC, jf. artikkel 46 nr. 2 bokstav c. Her knyttes vilkårene i artikkel 46 til artikkel 44 og de overordnede menneskerettslige forpliktelsene. EU-domstolen konkluderer og oppsummerer i avsnitt 105 med at vernenivået skal være «a level of protection essentially equivalent to that guaranteed within the European Union by that regulation, read in the light of the Charter»
EU-domstolen gir en anvisning på en bred helhetsvurdering av den konkrete overføring, se særlig avsnitt 133 og 134. Det avgjørende er hvorvidt SCCene som kontraktsgarantier i tilstrekkelig grad vil kunne sikre et vernenivå som er «essentially equivalent» for den konkrete overføringen. Mottakerlandets lovgivning er ett element i denne helhetsvurderingen.
Hva betyr det at mottakerlandets lovgivning er relevant?
I vurderingen av «essentially equivalent» er det relevant å vurdere tredjelandets rettssystem. I tilknytning til vurderingstemaet i avsnitt 105 uttaler EU-domstolen videre:
“…the assessment of the level of protection afforded in the context of such a transfer must, in particular, take into consideration both the contractual clauses agreed between the controller or processor established in the European Union and the recipient of the transfer established in the third country concerned and, as regards any access by the public authorities of that third country to the personal data transferred, the relevant aspects of the legal system of that third country, in particular those set out, in a non-exhaustive manner, in Article 45(2) of that regulation.»
EU-domstolen i Schrems II avsnitt 105
Det er usikkert hva EU-domstolens uttalelser betyr i praksis. Dersom en legger til grunn at den som overfører personopplysninger med SCC skal gjøre en vurdering av tredjelandets lovgivning slik som «Privacy Shield»-vurderingen i avsnitt 168 flg., legger en til grunn omfattende krav til vurderingen av tredjelandets lovgivning. Det er usikkert om det er dette EU-domstolen har ment med henvisningen til momentene i artikkel 45 nr. 2.
Bakgrunnen for at EU-domstolen ser deler av artikkel 45 nr. 2 som relevant for vurderingen etter artikkel 46 nr. 2 bokstav c er at de på et overordnet nivå har det samme formålet, slik dette er angitt i artikkel 44, se avsnitt 92 flg. Som påpekt i punkt 3, er det imidlertid en systematikk i kapittel V. For adekvansbeslutninger etter artikkel 45 skal EU-kommisjonen skal gjøre en omfattende vurdering av et land, blant annet deres rettsstat og relevant lovgivning. For vurderinger av «nødvendige garantier» etter artikkel 46, må den behandlingsansvarlige foreta en konkret vurdering i hvert enkelt tilfelle, og det er forholdene ved den konkrete overføring som skal vurderes. EU-domstolen synes ikke å gå vekk fra denne systematikken. Tvert imot, understreker EU-domstolens uttalelser i avsnitt 129 flg. at det er en forskjell på artikkel 45 og 46.
Systematikken i kapittel V, jf. EU-domstolens uttalelser i avsnitt 129 flg. tilsier at den som overfører med SCC ikke er forpliktet til å gjennomføre en vurdering av tredjelands lovgivning slik som EU-domstolen vurderer den amerikanske lovgivningen i Privacy Shield. Hvilke krav til stilles til vurderingen er imidlertid usikkert.
EU-domstolen gir utgangspunkter for helhetsvurderingen, men det er det uklart hvor omfattende en slik den skal være og hvor sikker den behandlingsansvarlige eller databehandleren må være. EU-domstolen gir ikke svar på dette i Schrems II. Bestemmelser som artikkel 24 vil kunne sette visse rammer. Videre kan det følge av selve de «nødvendige garantiene» (SCCen) hvordan lovgivningen skal vurderes. Sistnevnte behandles i neste punkt.
4.3 SCC
EU-kommisjonen vedtok i 2021 nye standard personvernbestemmelser (SCCs). Kommisjonen har tatt hensyn til Schrems II-dommen ved utforming av bestemmelsene. SCC-ene inneholder i klausul 14 en bindende garanti fra partene om at de ikke kjenner til lov og praksis i det aktuelle landet som hindrer deres etterlevelse av standard personvernbestemmelsene.
SCCenes klausul 14 gir anvisning på en bred og konkret helhetsvurdering. Det sentrale er at partene «have no reason to believe» at lovgivning i mottakerlandet gjør at de «nødvendige garantiene» som SCCene gir ikke kan etterleves. Klausul 14 bokstav b og den tilhørende fotnoten angir mange momenter og kilder som er relevante i denne vurderingen. Listen over momentene er ikke uttømmende, og den er heller ikke obligatorisk. Dette følger av ordlyden «taken due account in particular of the following elements”. Formuleringen «due account» kan være naturlig å lese i lys av artikkel 24 som understreker at tiltakene den behandlingsansvarlige iverksetter «for å sikre og for å påvise» beror på momentene innledningsvis i artikkel 24.
4.3.1 SCCene gir uttrykk for en sannsynlighetsvurdering
I motsetning til Schrems II-dommen gir SCCene visse holdepunkter på hvor sikker de I motsetning til Schrems II-dommen gir SCCene visse holdepunkter på hvor sikker de overførende partene må være når de foretar vurderingen etter klausul 14. Formuleringen «have no reason to believe» kan trolig oversettes til «ikke grunn til å tro» eller «ingen grunn til å tro». Etter sin ordlyd synes dette å være en ikke-binær vurdering. "Grunn til å tro" gir, i motsetning til ja/nei, uttrykk for en grad av sannsynlighet.
«En person leser i avisen at 1 av 3 datasystemer blir utsatt for hackerangrep. Personen har da kanskje grunn til å tro at et gitt datasystem blir utsatt for hackerangrep. Hvis derimot personen leser at 1 av 100 datasystemer blir utsatt for hackerangrep, har kanskje personen ikke grunn til å tro at et gitt datasystem blir utsatt for et hackerangrep»
Det kan hevdes at hvorvidt en lov kommer til anvendelse er en binær vurdering, altså en ja/nei-vurdering. Dette ville i såfall forutsette at den som svarer ja/nei alltid er 100 prosent sikker. Det er imidlertid mer naturlig at så lenge det er en viss rom for tvil, er det uttrykk for en sannsynlighetsvurdering.
I realiteten er sannsynlighetsvurderinger komplekse. Elementer som verdi, innsats, sårbarheter og kontekst vil ha betydning for hvor en trekker grensen. Hvilke kilder som er tilgjengelig er også av stor betydning. Du kan lese mer om det her.
4.3.2 SCCene beskriver hvilke kilder som kan inngå i vurderingen
SCCene gir holdepunkter for hvilke kilder som bør benyttes i en vurdering av hvorvidt en har «grunn til å tro». Det fremgår av klausul 14 b nr. II fotnote 12 at for det tilfellet at praktisk erfaring vektlegges så må denne suppleres med «other other relevant, objective elements, and it is for the Parties to consider carefully whether these elements together carry sufficient weight, in terms of their reliability and representativeness, to support this conclusion.»
Kravet gjelder for en del av helhetsvurderingen og synes å være absolutt. Det er imidlertid noe usikkerhet rundt «absoluttheten» i lys av de overordnede formuleringene «due account» (klausul 14 b) og «may» (innledningsvis i fotnote 12). Det er mulig at relevanskravet og objektivitetskravet også varierer i henhold til bestemmelser som artikkel 24.
4.4 Anbefalinger fra EDPB og veiledning fra Datatilsynet
I etterkant av Schrems II-dommen kom Det europeiske personvernrådet (EDPB) med anbefalinger for tiltak for å supplere overføringsmekanismene for å sikre etterlevelse av personvernnivået i EU. EDPBs steg 3 og 4 synes å sammenfalle med SCCenes klausul 14. I EDPBs steg 3 benyttes også «grunn til å tro» at lovgivningen kommer til anvendelse. Datatilsynet bygger på EDPB i sin veiledning. Vi anbefaler å lese anbefalingene fra EDPB og Datatilsynet for å få oversikten over deres fremstilling.
5 Særlig om risikobasert tilnærming
5.1 Hva mener vi med en risikobasert tilnærming?
Med risikobasert tilnærming mener vi at personvernrisiko er relevant for anvendelsen av en bestemmelse i personvernforordningen. En bestemmelse som eksempelvis gir uttrykk for plikter, er risikobasert når tiltakene som iverksettes for å ivareta pliktene beror på personvernrisikoene for den konkrete behandlingen. Hvis risikoen er stor stilles det strengere krav til tiltak, enn dersom risikoen er lav. Med risiko mener vi kombinasjonen av sannsynlighet og konsekvens av en uønsket hendelse.
Hvorvidt en bestemmelse er risikobasert, kommer an på bestemmelsen. Den aktuelle bestemmelsen må med utgangspunkt i juridisk metode tolkes og så må det vurderes om den ferdigtolkede bestemmelsen åpner for å se hen til personvernrisikoer. Ordet risiko behøver ikke å komme eksplisitt til uttrykk i en bestemmelse for at den skal åpne for en risikobasert tilnærming.
Vi kan se for oss en fiktiv bestemmelse som sier at «den registrerte skal ha et tilstrekkelig vern». Selv om ikke ordet risiko brukes eksplisitt her, må vi klarlegge hva som ligger i tilstrekkelig vern. Dette må skje med utgangspunkt i juridisk metode. I en sammensatt og dynamisk verden er det nok vanskelig å fastsette «tilstrekkelig vern» en gang for alle. I mange sammenhenger vil nok «tilstrekkelig vern» avhenge av en risiko. Hvis en innbygger har personopplysninger det er særlig viktig å holde skjult for en trusselaktør, kan det tilsi at denne risikoen er så stor at den registrerte først har fått et «tilstrekkelig vern» når det er iverksatt spesifikke tiltak for å skjule informasjonen for den aktuelle trusselaktøren.
Når vi ser på risiko i forbindelse med juridiske vurderinger etter personvernforordningen sikter vi til risikoer som kan og skal vurderes etter personvernforordningen. Vi sikter derimot ikke til risikoen for om en virksomhet på et overordnet nivå etterlever hele eller deler av personvernforordningen. Sistnevnte ville være en etterlevelsesrisiko (compliancerisiko).
5.2 Gir kapittel V adgang til en risikobasert tilnærming?
For å avgjøre hvorvidt kapittel V gir adgang til en risikobasert tilnærming må kapittelet og bestemmelsene i kapittelet tolkes med utgangspunkt i juridisk metode.
Et naturlig utgangspunkt for vurderingen av om det er adgang til en risikobasert tilnærming er artikkel 44. Bestemmelsen bruker ikke begrepet risiko slik som eksempelvis artikkel 24 gjør. Dette kan tyde på at det ikke er adgang til en risikobasert tilnærming.
Samtidig gir bestemmelsen uttrykk for at kapittel V skal sikre at vernenivået som følger av forordningen ikke undergraves. Det vises altså direkte til resten av forordningen, og det er nødvendig å avklare hvilket vern som følger av de andre bestemmelsene i forordningen for å avklare om en ivaretar det generelle prinsippet etter artikkel 44. Risikovurderinger tydelig til uttrykk blant annet i artikkel 24, 25, 32, 35, samt fortalepunkter 74, 83, 89, 90 og 91.
5.2.1 Artikkel 24
Artikkel 24 har stor betydning for hvorvidt forpliktelsene etter kapittel V kan anses å være risikobaserte. I «Informasjonssikkerhet må sikres uavhengig av en overføring», går vi gjennom blant annet artikkel 24. Der peker vi på at artikkel 24 gir uttrykk for generell tilnærming til hvordan den behandlingsansvarlige skal ivareta sine forpliktelser, hvor risiko er et av flere momenter. Så lenge artikkel 24 gir et utgangspunkt for hvordan den behandlingsansvarlige skal tilnærme seg kapittel V taler dette tungt for en risikobasert tilnærming.
Vi henviser her videre til Professor ved universitetet i Tilburg Lokke Moerels analyse av forholdet mellom artikkel 24, artikkel 5 og kapittel V i spørsmålet om hvorvidt kapittel V rommer en risikobasert tilnærming. Lenke til kortversjon med videre henvisning:
5.2.2 Artikkel 32
Artikkel 32 er en av de tydelige risikobaserte bestemmelsene i personvernforordningen. I steg 1 beskriver vi artikkel 32 nærmere, hvor vi blant annet peker på:
- Uautorisert tilgang til personopplysningene fra andre lands myndigheter vil være en uønsket hendelse og et brudd på konfidensialitetshensynet, og kan vurderes som en risiko etter artikkel 32.
- Etter artikkel 32 kan det aksepteres risiko såfremt sikkerhetsnivået er "egnet med hensyn til risikoen".
I steg 1 viser vi med et eksempel risikoen for etterretning, etter omstendighetene kan være akseptabel etter artikkel 32. Også der det overføres personopplysninger vil en slik risiko kunne aksepteres etter artikkel 32. En risikovurdering ved behandling i USA kan eksempelvis tilsi følgende:
- Risikoen for russisk etterretning er av størrelse 3, kinesisk etterretning er av størrelse 4, amerikansk etterretning er av størrelse 7
- Risikoen for løsepengevirus ("ransomware") er av størrelse 30
- Virksomheten velger dermed å prioritere tiltak som sikrer mot risikoen for løsepengevirus.
Eksempelet er kun for å illustrere, men så fremt sikkerhetsnivået er "egnet med hensyn til risikoen" for den konkrete behandlingen kan det aksepteres en risiko for etterretning.
5.2.3 Hva sier Schrems II om en risikobasert tilnærming?
Den overordnede uttalelsen om vernenivået for SCCer i Schrems II sier at den registrerte har krav på et vern som er «essentially equivalent» til det den registrerte har i EU/EØS, jf. avsnitt 105. Dersom den registrerte har et risikobasert vern i EU/EØS, er det vanskelig å si at det den registrerte ikke skulle ha et risikobasert vern ved en overføring.
I tilknytning til spørsmålet om SCCenes gyldighet har EU-domstolen i Schrems II noen uttalelser som kan indikere hvordan en overføring skal vurderes. I avsnitt 134 uttales det at en overføring skal vurderes «on a case-by-case basis». Videre uttalelse det i avsnitt 146 at tilsynsmyndighetene skal vurdere overføringen «in the light of all the circumstances of that transfer». Ingen av disse uttalelsene inneholder ordet risiko, men det er vanskelig å se at et element som risiko ikke skulle kunne tas i betraktningen slik vurderingen beskrives av EU-domstolen.
5.2.4 Hva sier SCCene om risikobasert tilnærming?
SCCene er trolig for spisset til å si noe om hvorvidt kapittel V i sin helhet er risikobasert. SCCene er en av flere instrumenter som kan gi de «nødvendige garantiene», og knytter seg dermed til en del av en av bestemmelsene i kapittel V. For overføring med SCCene, får innholdet i SCCene naturligvis stor betydning.
SCCene sier ikke noe direkte om en risikobasert tilnærming. Som beskrevet i punkt 4.3, legger SCCene opp til en bred helhetsvurdering hvor «grunn til å tro» er vurderingstemaet, hvilket gir uttrykk for en sannsynlighetsvurdering. Ettersom en risikovurdering er en kombinasjon av både sannsynlighet og konsekvens blir spørsmålet om SCCene kan tas til inntekt for en risikobasert tilnærming.
Til fordel for en full risikobasert tilnærming er at SCCene gir uttrykk for at det skal foretas en helhetsvurdering. Det er svært vanskelig å se for seg at «konsekvensen for den registrere» ikke skulle ha betydning i en helhetsvurdering. Dette ville i såfall bety at selv der konsekvensen er stor for den registrerte, har det ikke betydning i en helhetsvurdering.
Videre er det slik at formuleringer som «grunn til å tro» trolig påvirkes av konsekvens. Terskelen for hva vi mener er «grunn til å tro» vil trolig påvirkes av den uønskede hendelsen som er gjenstand for vurderingen. Dette kan illustreres med følgende:
«Ikke grunn til å tro» peker ikke egentlig på selve sannsynlighetsvurderingen, men hvilken sannsynlighet vi kan akseptere. Hvis vi sier at noe inntreffer i 1 av 10 tilfeller, er det kanskje ikke «grunn til å tro» at hendelsen inntreffer. Det betyr at vi aksepterer en 10 % sannsynlighet for at hendelsen inntreffer.
En formulering som «grunn til å tro» påvirkes trolig av hva den uønskede hendelsen er. Vi kan kanskje akseptere en 10 % sannsynlighet for en spam-epost, men kanskje ikke en 10 % sannsynlighet for et kryptovirus. Altså vi har kanskje ikke «grunn til å tro» at vi mottar en spam-epost hvis dette skjer i 1 av 10 tilfeller, men vi har kanskje «grunn til å tro» at vi får et kryptovirus hvis dette skjer i 1 av 10 tilfeller.»
Mot en risikobasert tilnærming taler at SCCene ikke nevner elementer knyttet til konsekvens, slik som «betydning for den registreres», «verdi for den registreret» og liknende. Dette tilsier at SCCene bare gir uttrykk for en sannsynlighetsvurdering, og ikke en full risikovurdering.
For SCCene er det svært usikkert hvorvidt det er adgang til å vurdere konsekvens.
5.2.5 Hva mener EDPB?
EDPB adresserer ikke risikobasert tilnærming direkte i deres anbefalinger. Det er derfor usikkert hva EDPB mener om risikobasert tilnærming. Det er likevel grunn til å trekke frem:
- Endring fra første utkast og til endelig versjon: I førsteutkastet til anbefalingene hadde EDPB noen uttalelser som syntes å avskjære muligheten til å ta risiko i betraktningen ved vurderingen av tredjelandets lovgivning, [referanse]. EDPB fikk svært mange kritiske tilbakemeldinger på sitt utkast, og disse uttalelsene ble ikke med i den endelige versjonen.
- Forholdet til SCCene og vurderingstemaet «grunn til å tro»: Som nevnt i punkt 4.4, synes den nåværende versjonen av EDPBs retningslinjer trinn 3 og 4 å samsvare med SCCene. Også her benyttes vurderingstemaet «grunn til å tro». All den tid SCCene ikke utelukker en risikobasert tilnærming, gjør heller ikke EDPBs veiledning det.
- Kritikk mot EDPB manglende henvisning til artikkel 24: Den nevnte artikkelen fra Lokke Moerel kritiserer EDPB for å fremme artikkel 5 nr. 2 fremfor artikkel 24, og at dette er i strid med lovgivers intensjoner for personvernforordningen.
5.2.6 Hva mener Datatilsynet?
Det er usikkert hva Datatilsynet offisielt mener om «risikobasert tilnærming». Tilsynet har ikke skrevet noe om en risikobasert tilnærming i overføringsveiledningen. Datatilsynet i ulike presentasjoner og panelsamtaler har tatt til orde for at kun bestemmelser som inneholder ordet risiko er risikobaserte. Den rettskildemessige vekten av slike muntlige uttalelser er begrenset.
5.2.7 Overordnede betraktninger
Overføringsreglene gir ikke absolutt vern av personopplysninger ved overføring. De må leses i lys av overordnede menneskerettigheter. Personvern som en menneskerettighet er ikke en absolutt rettighet. Rettigheten kan på visse vilkår begrenses fordi personvern må balanseres mot andre viktige hensyn. Dette kommer tydelig til uttrykk i EMK artikkel 8 nr. 2, men også helt tydelig innledningsvis i personvernforordningen, se fortalens avsnitt 4.
Det relative vernet kommer direkte til uttrykk i kapittel V. I artikkel 49 oppstilles det unntak for overføringer i særlige situasjoner. Selv der det ikke foreligger adekvansbeslutninger eller nødvendige garantier, kan det overføres dersom det er tungtveiende hensyn i tråd med artikkel 49. Kapittel V gir dermed uttrykk for et sentralt poeng ved risikobetraktninger – i visse situasjoner må vi akseptere en risiko fordi risikoen/personvernulempene er mindre enn fordelene ved den aktuelle behandlingen.
Litt om EMK artikkel 8
EMK artikkel 8 nr. 1 sier at «Everyone has the right to respect for his private and family life, his home and his correspondence». Retten til personvern er omfattet av denne bestemmelsen.
Som for flere andre menneskerettigheter, gir ikke EMK artikkel 8 absolutte rettigheter. I bestemmelsens nr. 2 fremgår det på hvilke vilkår rettighetene i nr. 1, herunder retten til personvern, kan innskrenkes.
Det må skilles mellom et inngrep og en krenkelse. Først vurderes om det foreligger et inngrep i en eller flere av rettighetene i EMK artikkel 8 nr. 1. Dersom det foreligger et inngrep, må en se om dette inngrepet oppfyller vilkårene i EMK artikkel 8 nr. 2. Inngrepet må være «in accordance with the law» og «necessary in a democratic society» og forfølge et legitimt formål. Vilkårene er nærmere utviklet igjennom rettspraksis, se eksempelvis CENTRUM FÖR RÄTTVISA v. SWEDEN (sak nr. 35252/08) avsnitt 246 flg. med videre henvisninger. Det foreligger ingen krenkelse av rettigheten dersom vilkårene i annet ledd er oppfylt.
Vilkåret «necessary in a democratic society» gir uttrykk for en proporsjonalitetsvurdering. I denne vurderingen ser man hen til i hvilken grad de øvrige vilkårene er oppfylt og om de står i forhold til alvorligheten av inngrepet. Jo større inngrepet er, jo viktigere er det at det foreligge mekanismer som ivaretar individets rettsikkerhet.
I Schrems II understreker EU-domstolen i avsnitt 202 at artikkel 49 kan avhjelpe et eventuelt rettslig vakuum ved ugyldiggjøringen av Privacy Shield-beslutningen. Dette viser at EU-domstolen ikke har oppstilt et absolutt vern mot amerikansk etterretningslovgivning ettersom artikkel 49 fremdeles kan benyttes til overføringer.
Personvernforordningen oppstiller selv, i tråd med overordnede menneskerettslige forpliktelser, de vilkårene og rammene for begrensning av rettighetene i personvernforordningen, se blant annet artikkel 23. Det relative vernet synes imidlertid også å ha kommet til uttrykk i bestemmelser som artikkel 24.
5.2.8 Oppsummert – finnes det en risikobasert tilnærming i kapittel V?
Kapittel V peker eksplisitt til de øvrige bestemmelsene i personvernforordningen. Flere av disse bestemmelsene legger opp til risikobasert tilnærming, og særlig de bestemmelsene som er relevante når en skal sikre seg mot hendelser av usikker størrelse – hvilket andre lands etterretning er. Artikkel 24 er særlig relevant, og mye tyder på at denne er ment å ha horisontal anvendelse for hele personvernforordningen.
Schrems II legger opp til en bred vurdering som ikke utelukker en risikobasert tilnærming. SCCene er neppe egnet til å si noe om kapittel V generelt, men for en overføring med SCCer er det tillatt med en sannsynlighetsvurdering, selv om det er usikkert i hvilken grad konsekvensbetraktninger kan vektlegges.
Det er uklart om EDPB mener at det er adgang til en risikobasert tilnærming, men det er visse ting som tyder på det. Det er usikkert hva Datatilsynet mener offisielt, men muntlige uttalelser fra tilsynet viser at de ikke aksepterer en risikobasert tilnærming. Vekten av slike uttalelser er imidlertid begrenset.
Samlet sett mener vi at det kan legges en risikobasert tilnærming til grunn for personvernforordningens kapittel V. Det understrekes likevel at det er usikkerhet knyttet til dette spørsmålet, og selv om Datatilsynets uttalelser i seg selv ikke er en tungtveiende rettskilde, gir de uttrykk for tilnærming Datatilsynet vil ta.
5.3 Hva betyr det at en risikobasert tilnærming legges til grunn?
Det er mye som tyder på at det kan legges en risikobasert tilnærming til grunn for personvernforordningens kapittel V. Hva dette betyr i praksis for artikkel 46?
Vi forutsetter i det følgende at SCC-klausul-14-vurderingen kun innebærer en sannsynlighetsvurdering, og ikke en konsekvensvurdering. Det er altså en vurdering av hvorvidt sannsynligheten for at lover eller praksis vil hindre den etterlevelsen av forpliktelsene i SCCen tilsier «grunn til å tro».
Med denne forutsetningen ville en risikobasert tilnærming for artikkel 46 bety en tar resultatet fra SCC-klausul-14-vurderingen, og benytter denne som et av flere momenter i en risikobasert tilnærming til artikkel 46.
Eksempel på hvordan SCC-klausul-14-vurderingen benyttes i en risikobasert tilnærming
«En offentlig virksomhet i Norge har gjort en vurdering av et amerikansk IT-selskap som de vurderer å benytte som databehandler. Selskapet leverer tjenester i EU/EØS, men visse deler av tjenesten innebærer en overføring av personopplysninger til servere i USA.
Etter en SCC klausul-14-vurdering kommer den norske virksomheten til at sannsynligheten for at lover eller praksis i mottakerlandet vil hindre den etterlevelsen av forpliktelsene i SCCen er av en slik størrelse at terskelen «no reason to believe» ikke er oppfylt.
Den offentlige virksomheten ser på opplysningene som blir overført. Opplysningene som overføres er typisk opplysninger om de ansatte i den offentlige virksomheten, slik som navn, telefonnummer til jobb, IP-adresser til jobbmaskiner og liknende – mange av opplysningene er offentlig tilgjengelig eller enkelt tilgjengelig på andre måter.
Den offentlige virksomheten behandler løsninger med sensitiv informasjon om norske innbyggere, men disse opplysningene overføres ikke. Det amerikanske IT-selskapet tilbyr god sikkerhet, særlig mot løsepengevirus og andre sikkerhetstrusler fra land som Russland og Kina. Den offentlige virksomheten vurderer europeiske alternativer, men kommer til at ingen vil gi tilsvarende tjenester.
Den offentlige virksomheten må derfor gjøre et vanskelig valg. Virksomheten mener at kapittel V og artikkel 46 gir en risikobasert tilnærming, jf. særlig artikkel 24. De kommer derfor til at de benytter denne løsningen ettersom sannsynligheten for at SCCene ikke etterleves er mindre enn risikoen for trusler slik som løsepengevirus og eventuell etterretning fra land som Russland og Kina. Sistnevnte ville etter virksomhetens syn medføre en større risiko for den registrertes rettigheter.»
I eksemplet sees SCC-vurderingen i lys av andre risikoer ved behandling av personopplysninger og virksomheten prioriterer tiltak deretter. Dette vil være en risikobasert tilnærming. Tilnærmingen som den offentlige virksomheten har tatt kan naturligvis etterprøves av datatilsynet og domstoler. Det er ikke sikkert at deres vurdering av sikkerhet knyttet til løsningen stemmer, eller at de i tilstrekkelig grad har dokumentert det.
For en risikobasert tilnærming, kan det være naturlig å ta utgangspunkt i artikkel 24. Når kapittel V, og dermed artikkel 46 leses i lys av artikkel 24 kan det tilsi at tiltakene som den behandlingsansvarlige må iverksette for «å sikre og for å påvise» at behandlingen skjer i henhold til artikkel 46 beror på momentene innledningsvis i artikkel 24.
6 Oppsummering
6.1 Rettskildene sett i sammenheng
En forutsetning for at det kan overføres personopplysninger med SCC, jf. artikkel 46 er at den registrere har håndhevbare rettigheter og effektive rettsmidler. Så lenge det er en behandlingsansvarlig i EU/EØS, vil disse forutsetningen som utgangspunkt være oppfylt. Nødvendige garantier, som regel SCCene, skal bidra til å sikre dette ved en overføring.
På bakgrunn av Schrems II er det ikke nok at SCC formelt er på plass, de må også kunne sikre et vernenivå som er «essentially equivalent» til den den registrerte har i EU/EØS. Her er det relevant å se på mottakerlandets lovgivning. Det avgjørende er at SCCene ikke kommer i et slikt spenningsforhold at det ikke er mulig å etterleve forpliktelsene etter SCCene. Derfor er det også relevant å vurdere om denne lovgivningen kommer til anvendelse på den konkrete overføringen.
EU-kommisjonens nye SCC har i klausul 14 krav til vurderingen av tredjelandets lovgivning. Utgangspunktet for vurderingen er hvorvidt det er «grunn til å tro» at tredjelandets lovgivning vil hindre de overførende partenes etterlevelse av forpliktelsene i SCCen. Dette er en sannsynlighetsvurdering, men det er uklart om det også omfatter en konsekvensvurdering.
Hvor omfattende vurderingen etter SCCene klausul 14 og hvor omfattende dokumentasjon som er påkrevet varierer. Klausul 14 b oppstiller en ikke-uttømmende og ikke-obligatorisk liste med momenter. Omfanget av vurderingen beror trolig på bestemmelser slik som artikkel 24. For visse elementer oppstilles det et relevanskrav og objektivitetskrav, men det er noe usikkert hva som er rekkevidden av dette.
Kapittel V må sees i sammenheng med resten av personvernforordningen, og særlig artikkel 24. Det er mye som tilsier at det dermed er adgang til å ta en risikobasert tilnærming.
6.2 Forslag til vurderingstema
Det juridiske landskapet ved overføringer basert på artikkel 46 er svært komplekst. Det er derfor utfordrende å formulere et godt vurderingstema. Vi forsøker her å formulere et vurderingstema, men understreker at dette er et område preget av stor usikkerhet:
Personopplysninger kan kun overføres personopplysninger med SCC, jf. artikkel 46 hvis den registrerte har håndhevbare rettigheter og effektive rettsmidler. Dersom det er en behandlingsansvarlig i EU/EØS vil dette normalt være ivaretatt. Dersom du overfører med SCC for å overføre personopplysninger innestår du for at du «ikke har grunn til å tro» at det er lovgivning i mottakerlandet som hindrer deg eller dataimportøren i tredjelandet å etterleve forpliktelsene i SCCen. Dette er en sannsynlighetsvurdering og hvor omfattende vurderinger som må foretas og i hvilken utstrekning de skal dokumenteres beror på momentene innledningsvis i artikkel 24.
Resultatet fra ikke-«grunn til å tro»-vurderingen kan benyttes i en større risikobasert tilnærming i lys av artikkel 24.
Vurderingen som kreves i SCCene klausul 14 er svært komplisert. Det kan være vanskelig for virksomheter å gjennomføre dette på en god måte. Vi har blitt oppmerksom på et verktøy fra advokaten David Rosenthal som kan være til hjelp i denne vurderingen. Verktøyet er "open source og det er også skrevet en FAQ for hjelpe til med bruken av verktøyet: