Om Kontakt Tjenester Kurs Nettbutikk Fagblogg Global 🌎

Schrems II og overføring av personopplysninger til USA

GDPR Schrems II

Overføring til USA er igjen lovlig under GDPR (for sertifiserte amerikanske bedrifter)

10. juli 2023 vedtok EU nytt overføringsgrunnlag (adekvansbeslutning) for amerikanske bedrifter som har sertifisert seg: "EU-US Data Privacy Framework".

Som for tidligere Privacy Shield kan du sjekke sertifiseringsstatus her: https://www.dataprivacyframework.gov/s/participant-search

Hva må du gjøre nå?

Oppdater behandlingsprotokollen din:

  1. Sjekk om de amerikanske databehandlerne du bruker er sertifisert etter det nye rammeverket: https://www.dataprivacyframework.gov/s/participant-search
  2. Gjør nødvendige oppdateringer
  3. Oppdater GDPR-loggen din

Les mer på Datatilsynets sider.

Se her for flere ressurser (kun engelsk): https://www.noties.consulting/eu-us-trans-atlantic-data-privacy-framework/

Merk at dette ikke et innlegg for å lære om GDPR. Jeg forutsetter følgende:

  • At du forstår det grunnleggende i GDPR.
  • Du har behandlingsprotokollen på plass,
  • vet hvor personopplysningene du behandler, lagres,
  • og har innhentet databehandleravtaler.

Alt dette kan du lese om i denne guiden: Hva er GDPR og hva betyr GDPR for en liten bedrift?

Denne artikkelen handler om hvordan du skal håndtere «Schrems II»-dommen, der blant annet Privacy Shield ble kjent ugyldig. Se øvrige kilder nederst.

Merk at målgruppen for artikkelen er småbedriftseiere og informasjonen er derfor forenklet. Les hele ansvarsfraskrivelsen min her.

Arkiv (informasjonen nedenfor er ikke oppdatert siden 2022)

For deg som har lest denne artikkelen før, her er siste oppdatering:

  • 25. mars 2022 annonserte EU-kommisjonen og USA at de har blitt enige om et nytt rammeverk for overføring av personopplysninger: Trans-Atlantic Data Privacy Framework. Du kan (og bør) lese mer på Datatilsynets nettsider, men kort sagt så er det eneste vi vet nå at det foreligger en enighet, men det gjenstår å konkretisere alt i en faktisk avtale. Så, som før, følg med på hva som skjer videre.

Oppdatering fra januar 2022 - Google Analytics ulovlig (!):

  • noyb deler den eksplosive personvernnyheten at bruk av Google Analytics er ulovlig da det østerriske datatilsynet har konkludert med at standardkontrakter (SCCs) for slike overføringer og de ytterligere tiltakene Google har utover disse, ikke er tilstrekkelige for å beskytte mot unødvendig innsyn fra amerikanske myndigheter. Dette er en skikkelig personvernbombe, nesten på linje med selve Schrems II-dommen. Les mer (og få med deg kommentarfeltet 🔥) i mitt LinkedIn-innlegg.
  • EUs eget datatilsyn (EDPS) har også konkludert med at en EU-institusjon (Europaparlamentet) har brutt deres versjon av GDPR for bruk av Google Analytics og Stripe-cookies. Heller ikke her fant de at parlamentet hadde nødvendige tiltak på plass for å sikre slike tredjelandsoverføringer. Les mer her.

Oppdatering fra juni 2021:

  • Personvernrådet (EDPB) publiserte 18. juni deres endelige anbefalinger til "ytterligere tiltak" (pressemelding), som du kan laste ned herfra og bruke i arbeidet ditt med Schrems II-dommen. Noen er glade for at de nå åpner for en "risikobasert tilnærming", men sørg for at du setter deg grundig inn i dette før du roper hurra - det er nemlig svært strenge kriterier å oppfylle. Men, hvis du allerede fulgte tipsene mine nedenfor (som jeg la ut i august i fjor), er du godt på vei!
  • Følg også med på hva vårt eget Datatilsynet skriver (håper at de snart kommer med mer utfyllende (og praktisk rettede!).
  • EU-kommisjonen godkjente nye standardkontrakter 4. juni: 1) for bruk mellom behandlingsansvarlige og databehandlere, og 2) for overføringer av personopplysninger til land utenfor EØS (selv om begge kalles for 'standardkontrakter', er det denne som er mest kjent som "SCC"). 💡 Hvis du lener deg på SCCs som overføringsgrunnlag, er det viktig at du setter deg grundig inn i hva dette betyr for din virksomhet.

Gå gjennom stegene nedenfor for å sikre at du har tatt nødvendige grep. 👇

Privacy Shield kjent ugyldig og krav om ekstra tiltak

Privacy Shield er en sertifiseringsordning kun for amerikanske databehandlere. I den nylige EU-dommen ble imidlertid bruk av Privacy Shield som overføringsgrunnlag kjent ugyldig.

All bruk av amerikanske databehandlere og/eller lagring av personopplysninger i USA, som kun baserte seg på denne sertifiseringen, ble altså ulovlig 16. juli 2020 (ingen overgangsperiode).

Svært mange ble berørt av dette, inkludert alle som bruker Google (G Suite, Gmail osv.) Microsoft (Azure, Outlook osv.), AWS, Kajabi (som jeg bruker), Facebook og tusenvis av andre amerikanske databehandler.

Alle databehandler som kun lente seg på Privacy Shield, måtte jobbe på spreng for å få på plass andre overføringsgrunnlag ("nødvendige garantier", jfr. GDPR kapittel V). Det mest brukte overføringsgrunnlaget er Standard Contractual Clauses (SCC), EUs standardkontrakter, men kun det er ofte heller ikke tilstrekkelig.

Ikke lenger nok med gyldig overføringsgrunnlag (nødvendig garanti)

Dommen gikk nemlig ikke bare ut på at Privacy Shield ble kjent ugyldig. Andre overføringsgrunnlag er bindende virksomhetsregler («binding corporate rules») og EUs standardkontrakter.

Også kalt «standard personvernbestemmelser», «Model Clauses» eller «Standard Contractual Clauses» («SCC»).

Domstolen sa videre at en slik garanti ikke lenger er nok i seg selv.

Nå satte de i tillegg krav om at du må gjøre en grundig risikovurdering av overføringen av personopplysninger, inkludert av landet du ønsker å overføre til, og av selskapet.

Det betyr at vi må ha stålkontroll på hvor vi lagrer alle personopplysninger vi behandler i virksomheten vår.

Dette må du gjøre (som minimum)

Forutsetninger for arbeidet

Utgangspunktet for det du må gjøre, er behandlingsprotokollen din (det er en forutsetning at du er ferdig med denne). I den står nemlig alle databehandlere og systemer du bruker i virksomheten din (til å behandle personopplysninger).

Datatilsynet sier også at alle øvrige krav etter GDPR skal være på plass og nevner spesielt databehandleravtaler og risikovurdering. Du bør ha kopier av databehandleravtalene og risikovurderingen lagret i en egen mappe, og henvise til disse i protokollen.

Personvernrådet har laget et flytskjema som viser hva du trenger å gjøre. Stegene nedenfor er satt opp litt annerledes, men dekker akkurat det samme.

Steg 1: Hvem har og hvor er personopplysningene? Hvem har tilgang?

I steg 1 må du finne ut hvor databehandleren er fra, hvor personopplysningene lagres og hvem som har tilgang.

Gjør følgende:

  • Åpne behandlingsprotokollen din
  • Gå systematisk gjennom hver oppføring og sjekk 1) hvilket land databehandleren er fra, 2) i hvilket land de lagrer personopplysningene de behandler på dine vegne (dette bør allerede stå i protokollen din) og hvem som har tilgang (bør stå i databehandleravtalen)
  • Merk alle land/databehandlere du plikter å ha et overføringsgrunnlag (nødvendig garanti) for, dvs. alle land utenfor det godkjente området

Nå har du en fullstendig oversikt over hvor databehandlerne dine er fra, hvor personopplysninger i virksomheten din lagres og hvem som eventuelt har tilgang til disse.

NB! Kun det å ha tilgang til personopplysninger anses som en overføring, og må også tas med. Det betyr at hvis en europeisk databehandler har kundeservicen sin i India, må de ha et overføringsgrunnlag for dette, selv om personopplysningene ikke fysisk «overføres» til India.

Steg 2: Finn/identifiser overføringsgrunnlag (nødvendig garanti)

I neste steg må du vurdere om overføringsgrunnlaget som er brukt tidligere, fortsatt er godt nok.

Gjør følgende:

  • Sjekk hvilke(t) overføringsgrunnlag hver databehandler bruker, spesielt de som er Privacy Shield-sertifisert og om de i tillegg har bindende virksomhetsregler eller EUs standardkontrakter (dette bør allerede stå i protokollen din)
  • Hvis du ikke har skrevet ned overføringsgrunnlaget må du finne ut hva det er, for eksempel på nettsidene til databehandleren eller i databehandleravtalen
  • Alle overføringer basert på EUs standardkontrakter eller bindende virksomhetsregler må dobbeltsjekkes

Merk spesielt alle databehandlere som kun er Privacy Shield-sertifisert – disse overføringene er per i dag ulovlig.

Gå til neste steg.

Steg 3: Sjekk om databehandleren driver i tråd med GDPR

EU-dommen pålegger oss å sikre at beskyttelsen av personopplysninger vi overfører/lagrer utenfor EØS (og godkjente land), er like god som om personopplysningene ble lagret i EØS.

Det gjelder for to perspektiver, som vi går gjennom her i steg 3 og 4.

Det første vi må gjøre er å sikre at databehandlerne har et godt nok beskyttelsesnivå for personopplysningene de behandler på våre vegne (inkludert for de som får tilgang til disse).

I den generelle risikovurderingen din skal du allerede ha vurdert databehandlerens tekniske og organisatoriske sikkerhetstiltak. Dette beskriver de typisk i personvernerklæringen sin.

MailChimp har et godt eksempel her. Vi ser på sertifiseringer, hvordan de sikrer datasenteret, interne rutiner m.m.

En slik risikovurdering skal du ha gjort uansett, og for alle databehandlere (ikke bare de utenfor EØS), men det er viktigere nå enn noen gang.

Mange vil fremover ha behov for å få gjennomført en ekstern GDPR-revisjon av databehandlerne sine. Det kan du lese mer om (og få hjelp med) her: Ekstern GDPR-revisjon: Når du må bevise at du er GDPR-compliant

Steg 4: Sjekk om landets lover er i tråd med GDPR

Det som nå kommer som i tillegg, er at vi skal vurdere hvordan personvern ivaretas i landet du overfører personopplysninger til.

Vi skal altså vurdere et lands nasjonale lover for personvern, overvåking og antispionasje (! 🤯). Det er en svært høy forventning å komme med til små bedrifter, så her er mitt råd å gjøre ditt beste. Sørg i alle fall for at du følger stegene beskrevet i denne artikkelen.

Et eksempel på at et slikt beskyttelsesnivå ikke er godt nok, er alle virksomheter i USA som er underlagt den amerikanske overvåkingsloven FISA 702. Her bør du se til anbefalingene fra det europeiske personvernrådet (lenket til overfor).

Hvilke personopplysninger en behandler er også relevant. Det er stor forskjell på om en behandler kun navn og e-postadresse vs. særlige kategorier personopplysninger.

Merk imidlertid at hvis Privacy Shield er eneste overføringsgrunnlag, er overføringen ulovlig uansett.

Her må databehandleren (som minimum) få på plass bindende virksomhetsregler* eller EUs standard personvernbestemmelser (SCC), for å sikre lovlig overføring fremover.

* Å få godkjent bindende virksomhetsregler er en lang og omstendelig prosess som typisk tar 1-2 år (!).

Gjør følgende:

  • Sjekk nettsidene til databehandlere som kun lener seg på Privacy Shield i dag, eller ta direkte kontakt med dem for en statusoppdatering
  • Gjennomfør og dokumenter en risikovurdering for bruk av disse databehandlerne
  • Gjennomfør (og dokumenter) en risikovurdering for alle databehandlere som lener seg på bindende virksomhetsregler eller EUs standardkontrakter

Risikovurderingen skal strengt tatt inneholde en vurdering av landets lovverk.

NB! Merk at disse risikovurderingene kommer i tillegg til den vanlige risikovurderingen du allerede skal ha gjennomført for all behandling av alle personopplysninger i virksomheten din.

Land som typisk er «røde flagg» er USA, Kina og Russland og utsatte databehandlere er Facebook, Google, Apple, Amazon (AWS) og Microsoft - sjekk hele listen hos noyb.

Steg 5: Foreløpig konklusjon

Nå sitter du med en god oversikt over alle databehandlere du bruker, hvor de er fra og lagrer personopplysninger, hvem som har tilgang og om noen av overføringene du gjør i dag, er ulovlig.

Hvis oversikten og risikovurderingen din viser at:

  • databehandlerne dine har gode nok tekniske og organisatoriske sikkerhetstiltak, og
  • de kommer ikke fra land med lover som er i konflikt med GDPR, eller
  • de er ikke underlagt slike problematiske lover;

Da kan du fortsette å bruke de med god samvittighet!

Hvis resultatet imidlertid er at:

  • databehandlerne ikke har gode nok tekniske og organisatoriske sikkerhetstiltak, eller
  • de er underlagt lover som er i konflikt med GDPR

Da må du gjøre (og dokumentere) en tilleggsvurdering og bestemme deg for om du vil (tar sjansen på å) fortsette å bruke databehandleren, eller bytte til en annen. Vurder hvilke personopplysninger du behandler, for hvem, i hvor stort omfang, hvor lenge m.m.

Det viktigste er uansett at du gjør noe.

Steg 6: Identifiser ytterligere tiltak

I november 2020 publiserte Datatilsynet oppdatert informasjon fra Personvernrådet, men om det er gode nyheter vet jeg ikke (gjelder fortsatt i juli 2021).

Her legger de fortsatt til grunn at alle, uansett størrelse på virksomheten og ressurser, skal vurdere et annet lands nasjonale lover m.m. Prosesser EU selv ofte bruker flere år på. En kan spørre seg hvor praktisk disse rådene egentlig da blir. ;)

Uansett, min anbefaling er at du i alle fall gjør et forsøk på arbeidet.

Når du har gått gjennom stegene over og der du har konkludert med at overføring trolig ikke er godt nok dekket, må du identifisere "ytterligere tiltak" for å fortsette å behandle personopplysningene.

Slikt tiltak kan være:

  • Kontraktuelle, f.eks. krav om at databehandler innfører visse sikkerhetstiltak
  • Organisatoriske: f.eks. interne rutiner for deling av personopplysninger mellom selskaper i et konsern
  • Tekniske: f.eks. kryptering, pseudonymisering

Men, i noen situasjoner er det rett og slett ikke mulig å innføre ytterligere tiltak som veier opp for manglene slik de defineres av den europeiske domstolen, f.eks. for amerikanske virksomheter som plikter å utlevere personopplysninger under FISA 702.

Da er slik behandling av personopplysninger ulovlig, og Datatilsynet krever at vi stopper behandlingen. Merk at dette gjelder for aktører som Microsoft, Google og Amazon AWS, som en svært stor andel av både privat og offentlig sektor i Norge (og resten av Europa) bruker.

Det vil overraske meg stort (fortsatt nå i juli 2021) om Datatilsynet går ut og forbyr slik bruk - men det blir spennende å følge utviklingen.

📝 I mellomtiden bør du ta alle grep du kan ta, og dokumentere innsatsen. Da stiller du i alle fall sterkere - skulle du få tilsynskontroll.

Hva er risikoen ved et GDPR-brudd?

Risikoen ved å bryte GDPR (generelt) har særlig to perspektiver:

  • Bøter (opptil 20 millioner euro eller 4% av den totale omsetningen din)
  • Dårlig rykte i markedet / omdømmetap

Og hvor mye risiko du er villig til å ta, er din egen vurdering.

Det første (og viktigste) du bør gjøre i dag er uansett å sikre at du har det grunnleggende personvernarbeidet ditt på plass. Det neste er å gjennomføre stegene over.

101 klager på bruk av Google Analytics og Facebook Connect

Datatilsynet skriver at mye overføring av personopplysninger til såkalte tredjeland nå er ulovlig. Alle datatilsynene i Europa jobber (fortsatt) intenst med å håndtere dommen og mange har kommet med ulike råd.

💡 Til og med EUs eget datatilsyn, the European Data Protection Supervisor, har initiert ikke mindre enn TO granskninger av EUs egne institusjoner og deres bruk av amerikanske databehandlere.

Men, at datatilsynene ikke klarer å enes om hvordan situasjonen skal håndteres, er ingen hvilepute for ikke å gjøre noe.

For NOYB har allerede klaget inn over hundre bedrifter og organisasjoner, fra samtlige land i EØS. Og ifølge uttalelser de har kommet med i sosiale medier, er dette bare begynnelsen.

De jobber også med å kartlegge og klage inn virksomheter for manglende innhenting av samtykke til bruk av cookies og lignende teknologi (som Facebook piksel).

Hva må du gjøre – i dag?

Hvordan du skal håndtere denne situasjonen går igjen på din egen risikovillighet (eller -aversjon).

Datatilsynet vil trolig ikke, på eget initiativ, jakte på deg som liten bedrift. Risikoen er, som nevnt tidligere, at andre vil klage deg inn. Og hvis du har en nettside som retter seg mot utlandet, kan disse klagene komme fra personer i andre land.

Men én ting er sikkert; du må gjøre noe. Og hvis du ikke har gjort noe med GDPR ennå, ligger du tynt an hvis du får tilsynskontroll.

Og noe av det viktigste du kan gjøre i GDPR-arbeidet ditt, er å dokumentere. Hvis du skulle få tilsynskontroll av Datatilsynet kan denne dokumentasjonen være avgjørende for hvilken reaksjon du eventuelt skulle få.

Dokumentasjon viser at du har reflektert over personvernarbeidet ditt og at du tar grep for å ta best mulig vare på personopplysninger.

Og det er nettopp dette datatilsynene vil se. De er ikke ute etter å ta oss på flest mulig feil, men å se hvordan vi lever opp til ansvaret vårt – og at vi er dette ansvaret bevisst.

Du har også en strålende mulighet til å vise til kunder, ansatte, samarbeidspartnere og andre at du ikke bare sier at du «tar personvern på alvor», du gjør det. ✅

Og det er et konkurransefortrinn.

Hva har Bedre Bedrift AS gjort?

Hvis du har fulgt meg før vet du at jeg virkelig brenner for personvern og synes at GDPR er gøy. 🤓 (Joda, det er mulig!) Men til og med jeg synes at det er overveldende å vurdere hvordan et land ivaretar personvern i sine nasjonale lovverk.

Etter å ha brukt noen dager på å lese gjennom amerikanske overvåkingslover og direktiver fra presidenten har jeg nå en betydelig bedre forståelse. Risikovurderingene mine har jeg oppdatert tilsvarende.

Jeg vurderer også fortløpende om jeg må bytte databehandlere, men jeg kan ikke tro at det ikke vil komme en eller annen form for løsning - til det står for store økonomiske verdier på spill, både for EU og for USA

Forhåpentligvis kan de europeiske datatilsynene enes om veien videre og den praktiske håndteringen av dommen.

Trenger du hjelp?

Jeg skjønner at dette er overveldende. Det synes selv jurister og personvernentusiaster (som meg)!

Jeg håper at denne artikkelen gir deg en god start på arbeidet, og hvis du følger den til punkt og prikke har du kommet langt på vei.

Hvis du ennå ikke er i gang med personvernarbeidet ditt bør du 1) lese denne GDPR-guiden grundig og 2) investere i en kvalitetssikret mal for personvernerklæring, så du også kan vise utad at du gjør noe.

Og hvis du er en større virksomhet kan du lese om personvernpartner og prosjektledelse - og gjerne ta kontakt for en uforpliktende prat.

Lykke til!

Bakgrunn, kilder og ressurser

Ofte stilte spørsmål

Hva er "Schrems" og "Schrems II"-dommen?

Schrems er etternavnet til Max Schrems, som er opphavsmannen og personvernaktivisten bak Schrems-dommene. Disse gikk, kort fortalt, ut på at Schrems meldte inn Facebook til europeiske myndigheter for brudd på personvernlovgivningen.

Gjelder Schrems II i Norge?

Ja, Schrems II gjelder også her i Norge.

Gjelder Schrems II for små bedrifter?

Ja, Schrems II gjelder for alle virksomheter i verden som overfører personopplysningene til "registrerte" i EØS-området, til land utenfor, såkalte tredjeland (som USA, Australia, Russland osv.).

Hva må jeg gjøre med Schrems II-dommen?

Du må, som minimum, ha god oversikt over alle personopplysninger du behandler, og om du overfører noen personopplysninger til land utenfor EØS-området. Da må du sikre at du har gyldig overføringsgrunnlag for dette. Start med å lese denne artikkelen grundig. ;)

Gjelder Schrems II Microsoft 365?

Ja, Schrems II gjelder både Microsoft og andre amerikanske databehandlere som er omfattet av FISA 702. Merk at Schrems II-dommen omfatter alle databehandlere i tredjeland, altså land utenfor EØS.

Må jeg slutte å bruke Microsoft og andre amerikanske databehandlere etter Schrems II?

Det må du vurdere selv etter at du har gått gjennom alle stegene beskrevet i denne artikkelen og gjennomført en "Schrems II risikovurdering".

Hva er en "transfer impact assessment" etter Schrems II?

En transfer impact assessment er en risikovurdering av overføringer av personopplysninger til land utenfor EØS, altså en av stegene du selv må gjøre i virksomheten din.