Den 16. juli 2020 avsa EU-domstolen en prinsipiell dom som underkjenner det amerikanske personvernregimet. Saken har sin bakgrunn i en årevis lang kamp mellom personvernaktivisten Maximillian Schrems og Facebook Ireland eid av Facebook Inc. Dommen gjør det i praksis nå umulig å overføre europeiske personopplysninger til USA frem til en eventuell avklaring fra det Europeiske personvernrådet foreligger.
OVERFØRINGSRUNNLAG
Utgangspunktet er at overføring av personopplysninger til stater utenfor EU/EØS (tredjestater) ikke er ansett som trygt. Likevel følger det av personvernforordningen artikkel 45 at overføring til tredjestater kan skje
«[…] når Kommisjonen har fastslått at tredjestaten […] sikrer et tilstrekkelig beskyttelsesnivå.»
Når en slik beslutning foreligger, kan det fritt overføres personopplysninger til mottakere i den aktuelle staten.
Bakgrunnen for hvorfor det kreves et EU-godkjent overføringsgrunnlag er at europeisk personvernlovgivning krever at europeiske personopplysninger nyter et tilstrekkelig personvern også etter at personopplysningene har forlatt europeisk jurisdiksjon.
OVERFØRING AV PERSNOPPLYSNINGER FRA EU/EØS TIL USA
I 2016 vedtok derfor EU-kommisjonen EU-U.S Privacy Shield – en avtale mellom EU og amerikanske selskaper som skulle sikre et personvernnivå som langt på vei skulle være sammenfallende med det vernet opplysningene ville ha fått dersom de var behandlet og lagret i EU. Avtalen godkjente ikke USA som en trygg mottakerstat som sådan, men den innebar at selskaper i USA, etter nærmer vilkår fastsatt i avtalen, ble ansett for å ha et tilfredsstillende vernenivå for personopplysninger i forhold til de krav som fulgte av dagjeldende personverndirektiv som nå er erstattet av personvernforordningen GDPR.
Overføring av personopplysninger fra EU/EØS til USA har i lang tid vært gjenstand for debatt. Tredjestatsproblematikken kom på spissen i 2018 etter at Maximillian Schrems anla sak mot det irske datatilsynet i anledning dennes manglende inngripen mot Facebook Ireland. Søksmålet gikk i all hovedsak ut fra på at Facebook Inc. gjennom sin selskapsmodell får overført alle personopplysningene til alle europeiske facebook-brukere lagret hos Facebook Ireland, og behandler disse under amerikansk lovgivning.
AMERIKANSK OVERVÅKINGSLOVGIVNING IKKE FORENLIG MED EU-RETTEN
Når det gjelder amerikanske myndigheters adgang til personopplysninger lagret hos amerikanske selskaper tilsluttet Privacy Shield, vil overholdelse av Privacy Shield i stor grad avhenge av den amerikanske rettsordenen idet amerikanske selskaper er bundet av amerikansk overvåkingslovgivning som for dem har forrang over prinsippene i Privacy Shield.
EU-domstolen har derfor i sin dom konkludert med at beskyttelsen som skulle sikres gjennom Privacy Shield var utilstrekkelig primært på grunn av amerikanske myndigheters vide overvåkingstilgang og EU-borgers manglende mulighet til rettsmidler mot amerikanske selskaper tilsluttet ordningen. EU-domstolen fremhever blant annet at overvåking under PPD 28 og FISA 702 ikke er begrenset til det som er nødvendig (proporsjonalitetsprinsippet), og uttaler:
“It follows therefore that neither Section 702 of the FISA nor E.O. 12333, read in conjunction with PPD 28, correlates to the minimum safeguards resulting, under EU law, from the principle of proportionality, with the consequence that the surveillance programs based on those provisions cannot be regarded as limited to what is strictly necessary”
Dommen i sin helhet kan leses her.
HVA NÅ?
Det finnes flere overføringsgrunnlag for overføring av personopplysninger til stater utenfor EU/EØS. Disse er listet opp i personvernforordningen artikkel 46. Den mest brukte overføringsmekanismen er EUs standardkontrakter, og EU-domstolen konkluderte i dommen med at disse generelt sett fortsatt er gyldig forutsatt at rettssystemet i mottakerlandet gjør det mulig å følge de europeiske personvernprinsippene i praksis.
Dommen må forstås slik at det nå oppstilles tilleggskrav for overføring av personopplysninger til tredjestater. Behandlingsansvarlig må blant annet undersøke det beskyttelsesnivået personopplysningene vil få i staten opplysningene overføres til. Virksomheter som ønsker å overføre personopplysninger til tredjestater (ikke bare til USA) basert på standardkontraktene må nå vurdere blant annet nasjonale myndigheters mulighet til innsyn og statens forhold og respekt til menneskerettighetene.
Det er fortsatt uklart hvilke konkrete krav som vil oppstilles, og Det Europeiske personvernrådet og Datatilsynet vil utgi en veiledning til hvordan virksomheter kan innrette seg etter avgjørelsen.