Nytt grunnlag etter GDPR for overføring av personopplysninger mellom EU og USA

USA og EU har blitt enige om en etterfølger til Privacy Shield, “Trans-Atlantic Data Privacy Framework“, for overføring av personopplysninger etter GDPR. Privacy Shield ble funnet ulovlig i den såkalte Schrems II-dommen. Den endelige teksten til det nye grunnlaget er ikke klar, men EU-kommisjonens leder, Ursula von der Leyen og President Joe Biden har gitt en pressekonferanse hvor det ble informert om ordningen. I etterkant av pressekonferansen har det kommet frem mer informasjon om ordningen, og her er en oversikt over noe av det som er blitt kjent.

De fleste er kjent med at avtalen om overføring av personopplysninger fra EØS til USA, “Privacy Shield”, ble kjent ugyldig av EU-domstolen i 2020 i den såkalte “Schrems II-dommen”. En følge av dommen var også at de såkalte Standard Contractual Clauses fra EU-kommisjonen krevde særskilte tiltak for overføring. I realiteten medførte dommen et så godt som forbud mot overføring av personopplysninger til USA, samt bruk av amerikanske leverandører innenfor EØS. Dette har gjort situasjonen for nær alle virksomheter innenfor EØS meget vanskelig, og de fleste har trådt vannet i påvente at det skulle komme en løsning.

Gleden var derfor stor da det i dag, 25. mars 2022, ble annonsert at EU-kommisjonen og USA var kommet til en overenskomst til erstatning for Privacy Shield. Ordningen skal tilsynelatende kalles “Trans-Atlantic Data Privacy Framework”. Det er kommet begrenset informasjon om ordningen foreløpig, og det vil nok komme informasjon (eller lekkasjer) i tiden som kommer. Her er foreløpig en oversikt over noe av det som er blitt kjent, og jeg vil legge ut informasjon jeg får i kommentarer til denne posten. Om andre får informasjon som kan være av nytte, så legg gjerne inn i kommentarene.

De fleste pliktene etter ordningen er på amerikansk side, som også er naturlig siden det var mottaket av og behandlingen av personopplysninger i USA som var problematiske etter Schrems II-dommen. Tiltakene må derfor adressere de forholdene/kritikken som ble fremmet i dommen, og da spesielt amerikanske overvåkingsmyndigheters tilgang til personopplysninger om EU-borgere.

USA har derfor bl.a. forpliktet seg til å implementere tiltak for å sikre at begrensing til personopplysninger for amerikanske overvåkingsmyndigheter og det skal sikres at eventuelle overvåkingsaktiviteter, herunder utlevering av personopplysninger, er nødvendig og proporsjonale for amerikansk nasjonal sikkerhet opp mot personvernet til EU-borgere. Og dette er det kritiske punktet ved ordningen. Vurderinger av nødvendighet og proporsjonalitet har lang historie i EU-domstolen og i den europeiske menneskerettighetsdomstol, og vurderingene kan være meget kompliserte. Men samtidig medfører dette at det blir ingen endringer i amerikansk overvåkingslovgivning.

EU-borgere skal få flere muligheter til å fremme klager på utleveringer og andre overvåkingstiltak gjennom effektive klagemekanismer, som skal medføre at klager på utleveringer skal kunne overprøves i flere instanser. Hva som konkret blir løsningen her er heller ikke klart, men slike tiltak må nok innføres uten at det strider mot eller krever større endringer av amerikanske rett.

En slik instans som skal sikre overprøving av beslutninger om utlevering av opplysninger er en uavhengig domstol omtalt som Data Protection Review Court, som skal ha medlemmer utenfor det amerikanske statsapparatet. Domstolen skal ha full beslutningsmyndighet til å overprøve krav og pålegge tiltak knyttet til utleveringer. Dette er en endring fra ombuds-løsningen under Privacy Shield, som da ble funnet å ikke gi tilstrekkelig sikring av rettighetene til EU-borgere i Schrems II-dommen. Men domstolen må oppfylle kravene til domsmyndighet etter Den europeiske unions pakt om grunnleggende rettigheter artikkel 47, og etter EU-domstolens avgjørelser. Kravene til hva som skal anses som en domstol er omfattende, og det blir interessant å se hvordan disse kravene oppnås.

Så skal amerikanske overvåkingsmyndigheter implementere prosedyrer for å sikre at personvern og menneskerettigheter respekteres. Det er ganske uklart hva som menes her, og det vil kanskje ikke bli kjent i detalj hva dette innebærer siden det vil omfatte overvåkingsmyndighetenes indre anliggender.

Selskap som importer personopplysninger i USA skal overholde kravene etter avtalen og foreta en streng selvsertifisering. Selv om Privacy Shield ble erklært ugyldig av EU-domstolen, så fortsatte sertifiseringen av selskaper etter ordningen på den amerikanske siden. Data Privacy Framework går konkret på overvåkingsforhold, så amerikanske bedrifter kan fortsette å være og bli sertifisert under Privacy Shield, men da vil det trolig komme krav knyttet til overvåking i tillegg til de tidligere sertifiseringskravene.

EU-kommisjonen og amerikanske myndigheter vil nå nedfelle enigheten i juridisk form som skal besluttes og implementeres på begge sider. For USA vil avtalen være del av en Executive Order som besluttes av presidenten. Det gjør at det ikke er nødvendig at det utarbeides en føderal lov gjennom kongressen som ville tatt tid og vært en mer omfattende prosess. Beslutningen vil ligge til grunn for beslutningen om tilstrekkelig beskyttelsesnivå (adekvansbeslutning) som EU-kommisjonen fatter etter GDPR artikkel 45. En slik beslutning må – naturlig nok – fattes før det kan foretas overføring på grunnlag Data Privacy Framework. Ordningen innebærer altså ingen “avtale” med to parter, men beslutninger på begge sider.

Det kreves ikke at EUs personvernråd (EDPB) eller EU-parlamentet godkjenner ordningen, men disse skal konsulteres og det er trolig at EU-kommisjonen vil gjøre så mye den kan for å unngå en eventuell Schrems III-dom. Det er imidlertid trolig mye arbeid med å utforme teksten og detaljene i ordningen, siden det er kun prinsippene det er enighet om. I tillegg så må denne teksten være ferdig før EDPB og EU-parlamentet konsulteres, så det kan ta en tid før overføring kan skje på grunnlag av Data Privacy Framework.

Det er flere saker til behandling hos datatilsynene og domstolene rundt i EØS om overføring av personopplysninger til USA, som bl.a. om bruken av Google Analytics er tillatt. Det blir da spennende å se hva som skjer med disse sakene, spesielt siden det her muligens har skjedd ulovlig overføring til USA som da denne nye ordningen ikke kan utbedre.

Det er planer om å søke at overenskomsten også skal kunne bli gjeldene på et multilateralt nivå gjennom OECD, som kan innebære at dette er en ordning som vil kunne bli gjeldende for flere land (det mest interessante landet her, India, er ikke medlem i OECD, men kan kanskje inngå en samme løsning som for USA).

Max Schrems har for øvrig allerede kommentert at ordningen vil vurderes og eventuelt bli bragt inn for EU-domstolen innen måneder etter den endelige teksten er kommet. Schrems sier i tillegg at han har liten tro på at ordningen vil være lovlig og at dette er også en politisk avtale uten et juridisk fundament, og mener at ordningen er kommet på plass som en følge av at USA har brukt krigen i Ukraina til å presse EU. Det er derfor høyt sannsynlig at Schrems’ organisasjon NOYB vil bringe ordningen inn for EU-domstolen uansett hvilken utforming den får og at vi da får “Schrems III-dommen”. Om Schrems/NOYB eller EU-kommisjonen gis medhold i dommen gjenstår å se.

Et stor del av ekspertisen innenfor personvern synes imidlertid å være positive (og lettet) over enigheten, selv om Max Schrems mener at mange er kritiske.

Og husk: Selv om vi får en ordning på overføring til USA, så må overføringer risikovurderes. Og man bør nok også beholde Standard Contract Clauses som et ekstra overføringsgrunnlag, selv om kravene til bruken av disse endres ikke som en følge av at Data Privacy Framework er kommet.