Compliance post Schrems II

La det være sagt først som sist: Du må forholde deg til Schrems II-dommen. Dernest: Det er, for de fleste, ingen grunn til panikk, men du må ta noen grep.

I juli 2020 avsa EU-domstolen den såkalte Schrems II-dommen. Avgjørelsen er kontroversiell og har store konsekvenser for virksomheter som direkte eller indirekte overfører personopplysninger til land utenfor EØS-området. EU-domstolen oppstiller en rekke krav som må være oppfylt for at slik overføring skal være lov. Vilkårene som oppstilles er vanskelig tilgjengelig og svært krevende å etterleve for de aller fleste virksomheter. Det europeiske personvernrådet (European Data Protection Board – EDPB) har nå kommet med en utfyllende veiledning om Schrems II-dommen. Disse viser seg å ikke være den redningsplanken mange hadde håpet. Veiledningen foreligger ikke i endelig versjon ennå, men det er ikke ventet at det blir gjort vesentlige endringer som følge av høringsinnspillene som har kommet. Det er derfor verdt å ta grep om dette allerede nå.

Hva handlet egentlig Schrems II-dommen om?

Juristen og personvernaktivisten Max Schrems har brukt Facebook Inc. som brekkstang til å sette personvern på dagsorden internasjonalt. Han har krevd at irske myndigheter skulle stoppe overføringer av personopplysninger mellom Facebook Irland og Facebook Inc. i USA, og begrunnet kravet med at personopplysningene hans som var lagret hos Facebook ikke var underlagt et tilfredsstillende sikkerhetsnivå i USA.

Den europeiske Personvernforordningen (GDPR) inneholder spesielle krav som regulerer overføring av personopplysninger til et tredjeland, det vil si land utenfor EØS. Formålet er å sikre at beskyttelsesnivået som gjelder i EØS, ikke undergraves ved overføring av opplysninger til tredjeland med dårligere personvernrettslig regulering. Overføring av personopplysninger til tredjeland kan etter forordningen kun gjøres dersom visse vilkår er oppfylt. Inntil dommen ble avsagt var et ofte brukt overføringsgrunnlag Privacy Shield, som var en internasjonal avtale mellom EU og USA. Forordningen oppstiller også enkelte andre overføringsgrunnlag, men også de mest brukte av disse berøres av Schrems II-avgjørelsen. Domstolen underkjente ikke disse alternative overføringsgrunnlagene som sådan, men domstolen sa at å bruke slike grunnlag i seg selv ikke er nok.

Kjernen i Schrems II er forholdet mellom europeisk personvern og amerikanske overvåkingslover når personopplysninger blir overført fra Europa til USA. Domstolen kom til at overføringsgrunnlaget kjent som Privacy Shield ikke lenger var gyldig. Domstolen brukte imidlertid også anledningen til å si noe om overføring til tredjeland generelt – altså til andre land utenfor EØS enn bare USA.

Som følge av Schrems II oppstilles det nå altså strengere krav til overføring av personopplysninger til tredjeland.

Hva er en overføring til tredjeland?

Hva som skal regnes som en overføring er presisert av blant annet det norske Datatilsynet. "Med overføring av personopplysninger mener vi at personopplysningene sendes eller overføres til et annet land, eller at noen i et annet land får fjerntilgang til opplysningene." Tredjeland er i utgangspunktet alle land utenfor EØS-området.

Det er særlig viktig å merke seg at dersom en leverandør eller samarbeidspart har fjerntilgang (remote access) til din virksomhets data, så vil dette være å regne for en overføring. Veiledningen fra EDPB fremhever særlig

  • Skylagring
  • Outsourcing av IT-support
  • Eksterne HR-systemer
  • Ansatte som er på ex pat-kontrakter i tredjeland
  • Videokonferanseutstyr

Hvordan kan vi så overføre opplysninger til tredjeland lovlig?

Det følger av Personvernforordningen at overføring av personopplysninger ut av EØS i utgangspunktet ikke er lov, med mindre virksomheten har et særskilt overføringsgrunnlag. Formålet med slike overføringsgrunnlag er å sikre at personopplysninger som overføres ut av EØS underlegges et tilsvarendevern i mottakerlandet. Før Schrems II så listen over overføringsgrunnlag slik ut:

1. "Beslutning om tilstrekkelig vernenivå" fra EU Kommisjonen

  • Personopplysninger kunne fritt overføres til land godkjent av Kommisjonen. Godkjente land er Andorra, Argentina, Canada (kommersielle organisasjoner), Færøyene, Guernsey, Israel, Isle of Man, Japan, Jersey, New Zealand, Sveits og Uruguay.
  • Personopplysninger kunne også overføres til mottakere i USA, dersom den amerikanske parten hadde signert EU – US Privacy Shield.

2. Nødvendige garantier fra behandlingsansvarlig og databehandler, herunder

  • Dersom partene hadde signert en av EUs standardavtaler (SCC), var dette et overføringsgrunnlag som sikret tilstrekkelig vern av opplysningene.
  • Bindende konsernregler (BCR) gir et overføringsgrunnlag mellom de juridiske enhetene som er omfattet av konsernreglene, og er ofte brukt av store internasjonale konsern.

3. Unntak for særlige situasjoner – dette er presisert å gi en svært snever adgang til overføring og kun ad-hoc

  • Dersom den registrerte gir sitt samtykke til overføringen
  • Dersom det er nødvendig for å oppfylle eller inngå avtale
  • Personopplysninger kunne også overføres dersom nødvendig for å fastsette, gjøre gjeldende eller forsvare rettskrav

Avgjørelsen i Schrems II medfører som nevnt at overføringer som baserer seg på Privacy Shield ikke lenger er lovlig. Amerikansk lovgivning gir ikke tilstrekkelige personverngarantier, og myndighetenes rett til kontroll, overvåkning og etterretning er for vid. Dette handlingsrommet for amerikanske myndigheter strider mot det europeiske personvernregelverket.

Overføringer etter Schrems II

Som en følge av Schrems II står man altså igjen med følgende overføringsgrunnlag med noen presiseringer:

1. "Beslutning om tilstrekkelig vernenivå" fra EU Kommisjonen

  • Personopplysningene kan fremdeles overføres til land godkjent av Kommisjonen. Godkjente land er ikke endret.

2. Nødvendige garantier fra behandlingsansvarlig og databehandler, herunder

  • EUs standardavtaler (SCC) kan fremdeles brukes, forutsatt at den behandlingsansvarlige foretar konkrete vurderinger av beskyttelsesnivået i mottakerlandet. Dersom dette ikke er tilstrekkelig godt, må det iverksettes en rekke tilleggstiltak, for å mitigere personvernrisiko.
  • Dersom en virksomhet har implementert Bindende konsernregler (BCR), så vil disse trolig også kunne benyttes, med de samme forutsetningene som for SCC.

3. Unntak for særlige situasjoner

  • Som beskrevet ovenfor, gir dette overføringsgrunnlaget en svært snever adgang til overføringer.

Vi ser nå at både myndighetene i EU og mange virksomheter fokuserer på standardavtalene fra EU (SCC) som det mest hensiktsmessige alternativet å bruke akkurat nå. Det er altså fremdeles mulig å bruke SCC, men ikke uten at det gjøres visse vurderinger. I henhold til veilederen fra EDPB, så forutsetter SCC som overføringsgrunnlag etter Schrems II, at partene gjør en rekke undersøkelser rundt forholdene i det aktuelle tredjelandet som personopplysningene skal overføres til, og vurderer om dette landet gir tilstrekkelig beskyttelsesnivå. Dersom dette ikke er tilfelle, må partene bli enige om ytterligere tiltak som tetter dette identifiserte gapet. Dette presenterer vi nærmere nedenfor.

Hva må gjøres?

Alle virksomheter må forholde seg til konsekvensene av Schrems II-dommen. Hvor omfattende grep som må tas, vil selvsagt variere. Det sentrale spørsmålet er naturlig nok mot hvilke tredjeland man er eksponert og hvordan risikoprofil disse landene kan sies å ha. Videre vil momenter som virksomhetens størrelse, hvilken type virksomhet eller bransje man er i, om man kun opererer i Norge eller har internasjonal tilstedeværelse, omfanget og arten av personopplysninger som behandles og overføres, og virksomhetens risikovillighet være viktig å få kartlagt.

Virksomheter av en viss størrelse eller som behandler et stort omfang av personopplysninger, bør utarbeide og implementere en egen prosedyre for dataoverføring, som del av sitt data management compliance program. Har man ikke et slik compliance program på plass, så er dette en veldig god anledning for å etablere dette.

En dataoverføringsprosedyre er post Schrems en viktig del av virksomheters internkontroll og data management. For virksomheter i finansbransjen, som er underlagt finansregulatoriske krav til utkontraktering, så vil det være behov for å sikre data og dermed gjøre noe av den samme jobben med å sikre etterlevelse av og dokumentere compliance med retningslinjene fra EBA, EIOPA og ESMA. De berørte foretakene har frist til å gjøre de nødvendige endringer i sine skytjenesteavtaler innen utløpet av 2021 for banker, betalingsforetak mv. og utløpet av 2022 for forsikringsselskaper og verdipapirforetak/fondsforvaltere. Tilgjengelighet, integritet, konfidensialitet og sikkerhet av data er viktige aspekter også etter det finansregulatoriske regelverket, så virksomhetene bør vurdere muligheten for å samkjøre de to sporene.

Mange virksomheter opplever at gjeldende krav nå i realiteten er så strenge at det i en del tilfeller fremstår som svært vanskelig å finne en løsning som er i tråd med gjeldende regler. Dette er ikke helt ukjent innen compliance, og det er grunn til å understreke at det er behov for å ta grep for å mitigere risiko uansett. Det å ha en systematisk tilnærming som omfatter dokumentasjon av de vurderinger og valg virksomheten gjør, vil være sentralt i slik risikomitigering. Etter at virksomheten har skaffet seg oversikt over sine overføringer, og gjort seg opp en mening om hvor den største risikoen ligger, vil det være nødvendig å jobbe systematisk med å få på plass nye eller endrede ordninger som skal sikre at personvernet ivaretas. I noen tilfeller kan dette innebære at overføringen avsluttes. I arbeidet med å etterleve kravene vil virksomhetene måtte vurderer hvilke overføringer man kan klare seg uten og hvilke som man mener må fortsette. Her vil det også ligge et behov for å gjøre noen valg med hensyn til hvilken risiko virksomheten kan akseptere.

Seks steg mot compliance

Hvilke grep som må gjøres, vil være forskjellig fra allerede inngåtte avtaler og nye avtaler. Datatilsynet har vært tydelige på at de vil stille strengere krav til nye avtaler og nye overføringer. Dette vil kunne omfatte både nye leverandører og nye gruppeselskaper som kommer inn i en allerede eksisterende ordning. Virksomhetens drift stanser jo ikke opp, selv om man står ovenfor et nytt regelverk. Det er derfor nødvendig å ha to tanker i hodet samtidig, all den tid man både må rydde i gamle kontrakter og sikre at nye kontrakter som inngås er lovlige. Vi gir her en oversikt over begge prosessene.

Veilederen til EDPB gir anvisning på en fremgangsmåte med seks steg som er ment å muliggjøre overføring av personopplysninger til tredjeland.

Avtaler inngått før Schrems II

For eksisterende avtaler er det viktig å vurdere risiko, identifisere mitigerende tiltak og håndtere avvik.

Steg 1 – Oversikt over overføringer

Virksomheten må sørge for å ha og dokumentere oversikt over alle avtaler med leverandører, kunder, samarbeidsparter, datterselskaper etc, som innebærer at personopplysninger er tilgjengelig eller på annen måte overføres ut av EØS.

Her er det viktig å være klar over at selv om avtaleparten befinner seg innenfor EØS vil det kunne være underleverandører og andre samarbeidsparter som har tilgang til dine data utenfor EØS.

 

Steg 2 – Identifiser overføringsgrunnlag som er benyttet

Hvis noen av avtalene med amerikanske parter baserer seg på Privacy Schield, må disse endres. Her må man gå i dialog med avtaleparten i USA og sørge for en annen overføringsmekanisme.

Overføringer som baserer seg på SCC eller BCR må vurderes særskilt. Dette beskrives i steg 3.

 

Steg 3 – Konkret vurdering av beskyttelsesnivå

Man må så foreta en konkret vurdering av om overføringsgrunnlaget gir reell og tilstrekkelig beskyttelse i mottakerlandet. Vurderingen må dokumenteres.

Det sentrale på dette punktet er å danne seg et bilde og en forståelse av hvilket beskyttelsesnivå som gjelder i mottakerlandet.

Sentralt i denne vurderingen er om det finnes overvåkingslover som gir et dårligere vern av personopplysninger enn det man har i EØS. Her har EDPB gitt en veiledning for hvordan man skal vurdere overvåkingslover og hva man skal se etter. Dokumentet "Recommendations on the European Essential Guarantees for surveillance measures" finner du her.

Målet med dette steget er å identifisere eventuelle gap mellom personvernrettslige plikter og rettigheter mellom EØS-vernet og vernet som gis i mottakerlandet, for eksempel USA eller India.

Hvis man finner at det er gap mellom avsender og mottakerlandet hva gjelder vernenivå, må disse beskrives.

Avtalemotparten bør på banen for å bistå med kartleggingen basert på kjennskap til lokale lover og regler. Databehandlere er pliktige å bistå den behandlingsansvarlige på dette området.

 

Steg 4 – Ytterligere sikkerhetstiltak

Under steg 4 beskriver EDPB ytterligere sikkerhetstiltak som skal avhjelpe og tette identifiserte gap.

Disse tiltakene må vurderes for hver enkelt leverandør.

Vedlegg 2 i veiledningen fra EDPB gir en liste over konkrete tekniske, organisatoriske og kontraktsmessige tiltak som kan benyttes. Denne listen er ikke uttømmende.

Tiltakene kan være

  • Tekniske
  • Organisatorisk
  • Avtalerettslige

Det er viktig å merke seg at EDPB uttaler at tekniske sikkerhetstiltak alltid må være en del av tiltakene.

Eksempler på sikkerhetstiltak

Tekniske sikkerhetstiltak

  • Kryptering
  • Pseudonymisering som hindrer re-identifisering hos leverandøren, gjennom ekstern nøkkelhåndtering hvor kun dataeksportøren i EU/EØS har tilgang til nøkkelen

Organisatoriske tiltak

  • Opplæringsprosedyrer for ansatte
  • Styringsdokumenter med klar ansvarsfordeling, rapporteringslinjer og prosedyrer for behandling av innsynsforespørsler fra lokale myndigheter
  • Regelmessige revisjoner, med fokus på omfang av personopplysninger og tilgang til personopplysningene
  • Regelmessig publisering av såkalte "Transparency reports" som gir informasjon om tidligere innsynsforespørsler fra lokale myndigheter

Kontraktsmessige tiltak

  • Innføring av en Warrant Canary-metode, hvor dataimportøren regelmessig sender en kryptografisk signert melding til dataeksportør som informerer om hvorvidt de har fått innsynsforespørsler fra lokale myndigheter
  • En plikt til å bruke alle tilgjengelige rettsmidler til å motarbeide innsynsforespørsler fra lokale myndigheter

 

Steg 5 – Implementering

Når man har funnet og dokumentert de sikkerhetstiltakene som man mener er nødvendige for å sikre tilstrekkelig beskyttelsesnivå i mottakerlandet, må disse implementeres.

Tiltakene må bli en del av avtaleforholdet mellom partene.

 

Steg 6 – Oppfølging og verifikasjon

Sentralt i Schrems-avgjørelsene er at avtaler alene ikke sikrer tilstrekkelig beskyttelsesnivå, men mindre de blir håndhever, fulgt opp, eventuelt korrigert og versifisert av partene. En plan for videre oppfølging som sørger for at de avtalte sikkerhetstiltakene blir fulgt og overholdt, er derfor nødvendig. I dette ligger en plikt til å jevnlig verifisere og sikre at avtaler overholdes.

Virksomheten som er behandlingsansvarlig må også holde seg oppdatert på beskyttelsesnivået i tredjelandet. Dersom det skjer endringer i lovgivning, rettspraksis eller politisk, kan det være nødvendig å gjøre en ny vurdering av avtaleforholdet.


Nye avtaler

For nye avtaler og partskonstellasjoner bør man ha en strategi for håndtering av risikoen knyttet til overføringer.

Virksomheten bør i denne strategien gi veiledning til ansatte, for eksempel innkjøpsavdelinger, internadvokater eller kontraktsansvarlige, for hvordan de skal gå frem.

Steg 1 – Strategi for overføringer

Virksomheten må ha en strategi for inngåelse av nye avtaler og samarbeid med nye parter eller selskaper i konsern.

Man må sørge for å ha kontroll og oversikt over når en ny avtale medfører overføring av data til tredjeland. Dette innebærer å ha kontroll med hele kjeden av involverte parter.

Vil inngåelsen av avtale med en ny leverandør, kunde eller samarbeidspart medføre at data direkte eller indirekte overføres til tredjeland?

Dokumenter hvilke tredjeland data overføres til.

 

Steg 2 – Identifiser overføringsgrunnlag som kan benyttes

Det mest praktiske akkurat nå er trolig SCC. Dette avtaleverket kan imidlertid ikke brukes alene. Man må som et minimum dokumentere at det er gjort en vurdering av beskyttelsesnivået i tredjelandet og hvordan dette står seg i forhold til SCC.

Forordningens artikkel 49 kan være et alternativt overføringsgrunnlag i konkrete tilfeller.

 

Steg 3 – Konkret vurdering av beskyttelsesnivå

Man må så foreta en konkret en vurdering av om overføringsgrunnlaget gir reell og tilstrekkelig beskyttelse i mottakerlandet. Vurderingen må dokumenteres.

Her kan det ofte være hensiktsmessig å involvere avtalemotparten dersom denne har kjennskap til lokale lover og regler. Databehandlere er pliktige å bistå den behandlingsansvarlige på dette området.

  • Hvilket beskytelsesnivå gjelder i mottakerlandet?
  • Er det gap mellom det vernet som gis under EØS-retten og det som gjelder i mottakerlandet?

Sentralt også i vurderingen for nye kontrakter er om det finnes overvåkingslover som gir et dårligere vern av personopplysninger enn det man har i EØS. Her har EDPB gitt en veiledning for hvordan man skal vurdere overvåkingslover og hva man skal se etter. Dokumentet "Recommendations on the European Essential Guarantees for surveillance measures" finner du her.

Hvis gap blir identifisert, så må man beskrive konkret hva disse går ut på. Dette er viktig for å sikre at det overføringsgrunnlaget man velger, faktisk dekker opp det identifiserte gapet.

 

Steg 4 – Ytterligere sikkerhetstiltak

Stegene beskrevet i veilederen steg 4 er relevante også for nye kontrakter som skal inngås.

Virksomheten må vurdere hvilke konkrete tiltak som er nødvendige for avtaleforholdet som vurderes inngått. Videre må tiltakene tilpasses virksomhetenes størrelse, ressurser, teknisk infrastruktur og organisasjonens kompleksitet.

Vedlegg 2 i veiledningen fra EDPB gir en liste over konkrete tekniske, organisatoriske og kontraktsmessige tiltak som kan benyttes. Denne listen er ikke uttømmende.

Tiltakene kan være

  • Tekniske
  • Organisatorisk
  • Avtalerettslige

Det er viktig å merke seg at EDPB uttaler at tekniske sikkerhetstiltak alltid må være en del av tiltakene.

Eksempler på sikkerhetstiltak

Eksempler på aktuelle sikkerhetstiltak vil være det samme som for allerede eksisterende avtaler. Disse er beskrevet ovenfor.

 

Steg 5 – Implementering

Når man har funnet og dokumentert de sikkerhetstiltakene som man mener er nødvendige for å sikre tilstrekkelig beskyttelsesnivå i mottakerlandet, må disse implementeres.

Tiltakene må bli en del av avtaleforholdet mellom partene.

 

Steg 6 – Oppfølging og verifikasjon

Avtalen må sikre at den behandlingsansvarlige jevnlig kan verifisere og kontrollere, enten selv eller ved eksterne verifikasjonsmekanismer, at sikkerhetsnivået er tilfredsstillende.

Virksomheten må også holde seg oppdatert på beskyttelsesnivået i tredjelandet. Dersom det skjer endringer i lovgivning, rettspraksis eller politisk, kan det være nødvendig å gjøre en ny vurdering av avtaleforholdet.

Det er også viktig å tenke gjennom og være klar over hvilke krav som gjelder dersom virksomheten ikke kommer i mål med avtaler og sikkerhetstiltak, men likevel finner at de må fortsette behandling som innebærer overføring til tredjeland.

De fleste virksomhetene vi er i kontakt med, syns dette er et svært vanskelig og uoversiktlig farvann. Wikborg Rein bistår både norske og internasjonale klienter med å forstå og finne løsninger på utfordringene som har oppstått i kjølevannet av Schrems II og kan bistå både med å utarbeide en strategi for å sikre etterlevelse og med rådgivning i konkrete saker. Vi har lang og praktisk erfaring i å sette etablere og implementere compliance programmer på dette området, og bistår på alle nivåer i å få på plass og håndheve et compliance program. Har du spørsmål eller ønsker bistand, ta kontakt med Line Coll eller Gry Hvidsten. Vi teamer opp med våre spesialister på det finansregulatoriske regelverket, dersom virksomheten ønsker å sikre compliance også på dette området.

Du finner EDPBs veiledning om Schrems II-dommen her. Selve Schrems II-avgjørelsen finner du her.

Les våre siste artikler om personvern

  • Personvern, Teknologi og digitalisering

    2021

    EDPB med oppdatert veiledning om Schrems II-dommen

    Det europeiske personvernrådet (EDPB) har kommet med den endelige versjonen av sine anbefalinger om overføring av personopplysninger til land utenfor EØS.

  • Personvern, Compliance og krisehåndtering, Finansregulatorisk

    2021

    Nye standardkontrakter fra EU-kommisjonen

    De endelige kontraktsvilkårene fra EU-kommisjonen har kommet, og de vil være sentrale i arbeidet med å etterleve reglene som følger av personvernforordningen og Schrems II-dommen. I denne artikkelen gir vi en kort oversikt over det du må vite om standardavtalene.

  • Personvern, Teknologi og digitalisering

    2021

    Varsel ved personvernbrudd – har din virksomhet kontroll?

    Manglende varsling ved personvernbrudd kan medføre høye gebyrer, i tillegg til sanksjoner for selve personvernbruddet. Gode varslingsrutiner kan føre til at gebyrer settes ned, og er et svært sentralt verktøy i virksomheters praktiske etterlevelse av GDPR. Reduksjon viser at virksomheter har mye å tjene på gode interne rutiner og prosesser som sikrer at reglene overholdes.