EDPB med oppdatert veiledning om Schrems II-dommen
Det europeiske personvernrådet (EDPB) har kommet med den endelige versjonen av sine anbefalinger om overføring av personopplysninger til land utenfor EØS.
Vi har tidligere skrevet om Schrems II-dommen fra EU-domstolen, og EDPBs første veiledning om dommen (01/2020) fra november 2020. I disse anbefalingene drøftet EDPB en rekke supplerende tiltak som er ment å sikre at overføringer av personopplysninger til tredjeland hvor det ikke foreligger en beslutning om tilstrekkelig beskyttelsesnivå fra EU-kommisjonen, er i samsvar med EU-nivået for beskyttelse av personopplysninger. Anbefalingene ble sendt på høring, og nylig kom EDPB med den endelige versjonen av sine anbefalinger (versjon 2.0).
Fortsatt seks steg mot compliance, men steg 3 er utdypet
I den første versjonen ga EDPB anvisning på en fremgangsmåte med seks steg for å vurdere risiko og hvilke grep som må gjøres for å oppnå et i hovedsak tilsvarende beskyttelsesnivå ("an essentially equivalent level of protection") ved overføring av personopplysninger til tredjeland.
De seks stegene er fortsatt viktige. Likevel har EDPB nå presisert og utdypet steg 3.
Steg 1: Oversikt over overføringer
Steg 2: Identifiser overføringsgrunnlag som benyttes
Steg 3: Konkret vurdering av beskyttelsesnivå
Steg 4: Ytterligere sikkerhetstiltak
Steg 5: Implementering
Steg 6: Oppfølging og verifikasjon
Under steg 3 må virksomheten vurdere om det er noe i tredjelandets lovgivning eller offentlige myndigheters praksis som kan påvirke effektiviteten av de nødvendige garantiene i det overføringsgrunnlaget som er benyttet (eller skal benyttes) i forbindelse med en konkret overføring.
Analyse av praksis i tillegg til lovgivning
I den endelige versjonen av anbefalingene, presiserer nå EDPB at steg 3 også innebærer en analyse av tredjelandets offentlige myndigheters praksis når det gjelder vedkommende myndigheters innsyn eller tilgang til personopplysningene som overføres eller er overført. Dette gjelder både praksis rundt offentlige myndighets tilgang gjennom selve dataimportøren eller via andre kanaler slik som telekommunikasjonstilbydere, og uavhengig av om dataimportøren får kunnskap om slik tilgang eller ikke. Det er med andre ord ikke nok å analysere tredjelandets lovgivning. Et tredjeland kan ha relevant lovgivning som formelt ser ut til å være i samsvar med EUs grunnleggende friheter og rettigheter, men som i praksis åpenbart ikke er overholdt eller etterlevd. Det kan også hende at tredjelandet ikke har lovgivning som uttrykkelig gir offentlige myndigheter tilgang til personopplysninger som behandles av private aktører, men hvor praksis i vedkommende land er uforenlige med EU-retten og forpliktelsene inntatt i overføringsgrunnlaget (for eksempel standardkontraktene "SCC'ene"). I disse to tilfellene kan dataeksportøren enten stanse overføringen eller implementere ytterligere tiltak dersom han ønsker å gå videre med overføringen.
EDPB nevner dessuten et tredje mulig utfall av analysen. Analysen kan avdekke at en såkalt problematisk lov gjelder eller kan komme til å gjelde for dataimportøren eller for personopplysningene som overføres. Dette betyr at eventuelle overføringer vil være i strid med de avtalerettslige garantiene i overføringsgrunnlaget som er ment å sikre et tilstrekkelig beskyttelsesnivå. Slik overføringer oppfyller derfor ikke EUs krav vedrørende grunnleggende rettigheter, nødvendighet og forholdsmessighet. Hvis dette tredje utfallet oppstår, har dataeksportøren etter EDPB tre alternativer:
- stanse overføringen,
- fortsette med overføringen etter å ha implementert ytterligere sikkerhetstiltak, eller
- fortsette med overføringen uten å implementere ytterligere tiltak – så lenge eksportøren mener og kan påvise og dokumentere at det er ingen grunn til å tro at relevant og problematisk lovgivning kan bli fortolket eller i praksis kan komme til anvendelse for data som overføres og/eller for dataimportøren.
Det er altså ikke bare fritt fram for dataeksportøren å gå for alternativ 3. Tvert imot må dataeksportøren kunne "påvise og dokumentere" i en detaljert rapport at den problematiske lovgivningen i praksis ikke kommer til anvendelse vedrørende dataene som overføres og/eller overfor dataimportøren.
Vurdering av forhold rundt en konkret overføring
Under steg 3 har EDPB nå også presisert at vurderingen som dataeksportøren, med hjelp av dataimportøren, er pålagt å gjøre skal gjelde lovgivning og praksis i tredjelandet som er relevante for beskyttelsen av de konkrete data som skal overføres. Hvilken lovgivning og praksis vil være relevant avhenger av de spesifikke forhold rundt den konkrete overføringen som skal vurderes. Forhold som blant annet bransje (f.eks. finans, telekommunikasjon), om det skal foregå videreoverføring til andre tredjeland, hvilket format personopplysninger overføres i (som åpen tekst, pseudonymisert eller kryptert) er viktige.
Kilder til informasjon
EDPB understreker at dataimportøren bør være behjelpelig med identifisering av relevante informasjonskilder når det gjelder lovgivning og praksis i tredjelandet det skal overføres personopplysninger til. Slike kilder bør være relevante, objektive, pålitelige, verifiserbare og helst offentlige tilgjengelige ("relevant, objective, reliable, verifiable and publicly available"). Vedlegg 3 til EDPBs anbefalinger oppstiller en lang liste – som ikke er uttømmende – av mulige kilder til informasjon som kan hjelpe i analysen av tredjelandets lovgivning og praksis.