EU-domstolen: Utlevering av personopplysninger til USA etter Privacy Shield er ulovlig

EU-domstolen avsa 16. juli 2020 dom i den såkalte Schrems II-saken, der EU-domstolen fastslo at EU-US Privacy Shield-ordningen er ugyldig. I dommen fastslo domstolen også at EU-kommisjonens avgjørelse 2010/97 om standardkontraktbestemmelser for overføring til usikre tredjeland fortsatt er gyldig.

Den nylige avsagte dommen i sak C-311/18 Maximilian Schrems v Facebook Ireland Limited (Schrems II) fra EU-domstolen innebærer at alle behandlingsansvarlige må undersøke om og eventuelt på hvilket rettslig grunnlag overføring til USA skjer i dag, og deretter sikre at behandlingen enten er basert på EUs standardklausuler eller – for konserner – at overføringen er basert på bindende virksomhetsregler. Hvis slikt rettslig grunnlag ikke er på plass er overføringen ulovlig. Konsekvensen er at overføringen til USA må stanses for å unngå sanksjoner fra tilsynsmyndighetene, med mindre slikt rettslig grunnlag nå kommer på plass. Dommen er også et skudd for baugen for EU-kommisjonen, idet dette er andre gang EU-domstolen tilsidesetter EU-kommisjonens etablerte ordning for lovlig overføring av personopplysninger til virksomheter i USA. Dommen og en pressemelding er tilgjengelig på EU-domstolens nettsider.

Den rettslige bakgrunnen for dommen er at EUs personvernforordning (GDPR) kapittel V inneholder regler om overføring av personopplysninger til tredjestater (stater utenfor EØS) og internasjonale organisasjoner. Formålet med reglene er å unngå at beskyttelsesnivået EØS-statene har lagt opp til i personvernforordningen undergraves ved overføring til og behandling i andre stater som ikke sikrer like godt vern for personopplysninger. Forordningen er bindende for Norge, noe som også fremgår uttrykkelig av personopplysningsloven § 1. Reglene tar også sikte på å sikre ivaretakelse av EUs charter om grunnleggende rettigheter, som i artiklene 7, 8 og 47 fastsetter retten til privatliv, vern av personopplysninger og rett til effektive rettsmidler og rettferdig rettergang. Norge er ikke rettslig bundet av charteret.

Utgangspunktet i forordningen artikkel 44 er at overføring av personopplysninger til behandling i tredjestater eller internasjonale organisasjoner er forbudt, med mindre slik overføring er lovlig etter en av de andre artiklene i kapittel V. Forbudet omfatter både fysisk og elektronisk overføring av personopplysninger til behandling i tredjestat, f.eks. til et utenlandsk mor- eller datterselskap, en utenlandsk leverandør eller samarbeidspartner eller ved at opplysninger lagres på servere i tredjestater, herunder ved bruk av skytjenester. Publisering av personopplysninger på Internett vil også kunne utgjøre overføring, idet opplysningene vil kunne leses og lastes ned av personer over hele verden.

Etter forordningen artikkel 45 nr. 1 kan overføring skje til en internasjonal organisasjon eller en tredjestat som EU-kommisjonen har godkjent at har tilstrekkelig beskyttelsesnivå. EU-kommisjonen har etter nærmere undersøkelser godkjent overføring til enkelte stater (Andorra, Argentina, Canada, Færøyene, Guernsey, Israel, Isle of Man, Japan, Jersey, New Zealand, Sveits og Uruguay). USA glimrer med sitt fravær på listen over stater som EU-kommisjonen mener at har tilstrekkelig beskyttelsesnivå for personopplysninger. Bakgrunnen for dette er at USAs lovgivning gir dårligere vern for personopplysninger enn det som følger av personvernforordningen.

Det overføres betydelige mengder personopplysninger fra EØS til USA. USA og EU-kommisjonen har forsøkt å bøte på den svakere personvernlovgivningen i USA ved å etablere Privacy Shield-ordningen. Ved å oppfylle kravene i Privacy Shield-ordningen kan virksomheter i USA bli sertifisert som Privacy Shield-virksomhet. EU-kommisjonen besluttet 12. juli 2016 at overføring av personopplysninger til slike virksomheter skulle anses lovlig etter personvernforordningen artikkel 45 nr. 1. Det er denne ordningen som EU-domstolen nå i Schrems II-saken har kommet til at er ugyldig.

Privacy Shield-ordningen har vært politisk og rettslig omdiskutert helt siden ordningen ble etablert. Privacy Shield erstattet den tidligere Safe Harbor-ordningen. EU-domstolen kom i dom 6. oktober 2015 i sak C-362/14 Maximillian Scherms v Data Protection Commissioner (Shrems I) til at Safe Harbor-ordningen var ugyldig som følge av at ordningen ikke ivaretok de registrertes interesser og rettigheter i tilstrekkelig grad. Privacy Shield-ordningen har blitt kritisert for å i realiteten videreføre mye av de samme utfordringene som gjaldt for Safe Harbor-ordningen, og at ordningen dermed ikke ivaretar de registrertes interesser og rettigheter i tilstrekkelig grad. I en resolusjon 5. juli 2018 ba blant annet EU-Parlamentet EU-kommisjonen om å omgjøre godkjenningen av ordningen, uten at dette skjedde. Personvernrådet i EU opprettholdt også kritikken i en rapport i 2019. Nå har da også EU-domstolene kommet til at Privacy Shield-ordningen ikke ivaretar de registrertes interesser og rettigheter som krevd i EUs charter artiklene 7, 8 og 47 og personvernforordningen artikkel 45 nr. 1 i tilstrekkelig grad, at Privacy Shield-ordningen er ugyldig og at overføring av personopplysninger til virksomheter i USA dermed ikke lovlig kan baseres på ordningen. EU-kommisjonen har således for andre gang fått strykkarakter av EU-domstolen for å ikke klare å etablere tilfredsstillende ordninger for overføring til sertifiserte virksomheter i USA. Begge gangene er det østerrikeren Maximilian Schrems som har fått EU-kommisjonen ned i knestående stilling.

Personvernfordningen kapittel V i inneholder også andre bestemmelser som fastsetter unntak fra det generelle forbudet mot overføring av personopplysninger til tredjestater og internasjonale organisasjoner. Blant annet kan overføring av personopplysninger etter personvernforordningen artikkel 46 nr. 1 skje dersom den behandlingsansvarlige eller databehandleren gir «nødvendige garantier» og de registrerte har håndhevbare rettigheter og effektive rettsmidler. I artikkel 46 nr. 2 og 3 er det gitt nærmere regler om hvordan disse garantiene kan sikres. Etter artikkel 46 nr. 2 bokstavene c og d kan slike nødvendige garantier sikres ved bruk av standard personvernbestemmelser (Standard Contractual Clauses (SCC)) som er vedtatt eller godkjent av EU-kommisjonen. Slike standardklausuler er etablert av EU-kommisjonen. Ved signering av en av kontraktene forplikter dataimportøren seg til å behandle opplysningene i samsvar med personvernforordningen. Samtidig må dataeksportøren i EØS sikre at personopplysningene som blir overført får tilstrekkelig beskyttelsesnivå på lik linje med personvernforordningen og at rettssystemet i mottakerlandet gjør det mulig å følge personvernbestemmelsene i praksis. Gyldigheten av EUs standardklausuler var også til behandling i den nylige Schrems II-saken for EU-domstolen. I motsetning til Privacy Shield-ordningen kom domstolen til at overføring basert på slike standardklausuler fortsatt er gyldig. Avsender og mottaker må imidlertid fortsatt sørge for at slik overføring oppfyller forpliktelsene som følger av standardklausulene.

Etter personvernforordningen artikkel 46 nr. 2 bokstav b kan garantiene for tilstrekkelig vern av personopplysninger også sikres ved å etablere såkalte bindende virksomhetsregler (Binding Corporate Rules (BCR)). Med bindende virksomhetsregler menes retningslinjer for vern av personopplysninger som en behandlingsansvarlig eller databehandler følger ved overføring av personopplysninger internt i et konsern eller gruppe av foretak som utøver en felles økonomisk virksomhet, se forordningen artikkel 4 nr. 20. Virksomhetsreglene må oppfylle kravene i forordningen artikkel 47. Virksomhetsregler må også godkjennes av tilsynsmyndighetene, i Norge av Datatilsynet.

Overføring til utlandet kan også skje i de særlige situasjonene som er nevnt i art. 49 bokstavene a til g. Dette omfatter blant annet overføring basert på uttrykkelig samtykke fra den registrerte, avtale med den registrerte eller der overføringen er nødvendig for å fastsette, gjøre gjeldende eller forsvare rettskrav, se forordningen artikkel 49 nr. 1 bokstavene a, b og e. Samtykke vil sjelden være praktisk i arbeidslivet, som følge av kravet om frivillighet og at den registrerte etter art. 49 nr. 1 bokstav a må informeres om mulige risikoene overføringen kan innebære.

Ved overføring av personopplysninger til en mottaker i en tredjestat eller en internasjonal organisasjon i strid med til personvernforordningen artiklene 44 til 49 kan tilsynsmyndighetene etter personvernforordningen artikkel 83 nr. 5 bokstav c ilegge overtredelsesgebyr på opptil 20 millioner euro eller 4 prosent av den samlede globale årsomsetningen i forutgående regnskapsår. Behandlingsansvarlige bør derfor snarest sørge for at en eventuell overføring av personopplysninger til USA skjer basert på EUs standardklausuler, eventuelt bindende virksomhetsregler, eller at overføringen stanses. Det er viktig å være klar over at behandlingsansvarlig også har ansvar for overføring som skjer fra den behandlingsansvarliges databehandlere og eventuelle underdatabehandlere.