I 2020 opphevet EU-domstolen muligheten europeiske selskaper hadde til å enkelt overføre personopplysninger til USA. I tillegg ble hva som utgjør en overføring tolket til å omfatte potensielle og teoretiske muligheter for overføring. Dette medfører at bruk av amerikanske skytjenester i all hovedsak innebærer en overføring etter personvernforordningens betydning fordi amerikanske myndigheter kan få tilgang til opplysningene, selv om all lagring og behandling skjer i EØS.
Dette har betydning for de virksomhetene som benytter seg av skytjenestene, fordi en overføring forutsetter at man har et gyldig overføringsgrunnlag. Etter Schrems II-dommen har gyldig overføringsgrunnlag forutsatt omfattende risikovurderinger som krever høy grad av kunnskap om mottakerlandets interne rettstilstand. Det sier seg selv at det ikke bare er lett.
Den nye veiledningen legger på sin side til grunn at der dataflyt ved bruk av amerikanske skytjenester kun skjer innad i EØS, er dette ikke en overføring i personvernforordningens forstand. Dette er uheldig fordi det skaper usikkerhet rundt hva som er riktig fremgangsmåte. Samtidig er ikke Schrems II-dommen helt klar. Dommen etterlater et tolkningsrom som Datatilsynet til nå har dominert, men som den nye veiledningen nå utforsker.
Den nye veiledningen legger til grunn at der dataflyt ved bruk av amerikanske skytjenester kun skjer innad i EØS, er dette ikke en overføring i personvernforordningens forstand
Betyr veilederen at virksomheter nå kan unngå de ressurskrevende overføringsvurderingene?
Veilederen fremstår som et friskt pust i debatten om overføringer og utgjør for mange en etterlengtet og mer pragmatisk tilnærming. Veiledningen er grundig i sin fremgangsmåte og gjennomgang av juridiske kilder. Det er gjort en juridisk solid vurdering, med en fornuftig konklusjon; dersom det ikke har skjedd en faktisk overføring ut a EØS av «bits og bytes», er det ikke en overføring.
Det er et sunt, demokratisk tegn at Datatilsynets tolkninger utfordres. Ved å utfordre tolkningen gjennom en veiledning, blir debatten om hva som er en overføring tvunget opp i lyset, og flere stemmer slipper til. Der noe ikke er helt klart, må det utforskes hvordan det skal forstås. Datatilsynet representerer på sin side de registrerte og søker å beskytte våre rettigheter. Men personvern handler i stor grad om å veie personvern mot andre legitime interesser i samfunnet. Derfor er det viktig at både private og offentlige aktører bidrar med sine stemmer og erfaringer. Datatilsynet er tross alt ikke valgt inn som lovgiver.
Det er et sunt, demokratisk tegn at Datatilsynets tolkninger utfordres
Med to motstridende veiledere kan det være vanskelig å orientere seg om hvordan man skal forstå reglene. Begge veiledere har gyldige juridiske argumenter på sin side, selv om det fremstår uheldig at to offentlige instanser veileder ulikt på et såpass viktig spørsmål. Så da må man gjøre det man alltid gjør ved usikkerhet; se til prinsippene. Det er til slutt behandlingsansvarlig som er ansvarlig for vurderingene og behandlingene man gjør. Man må som alltid kartlegge dataflyten, gjøre risikovurderinger og iverksette de sikkerhetstiltak som er nødvendig for å ivareta de registrertes rettigheter. Uansett hvilken veiledning man følger er man som behandlingsansvarlig forpliktet til å ivareta personvernet til sine registrerte.
Da GDPR kom på plass i 2018, understreket Datatilsynet at virksomhetene ikke lenger skulle be om forhåndsgodkjenning fra Datatilsynet, men opptre ansvarlig og selv sørge for egen etterlevelse. Som advokater for en rekke private virksomheter som driver en forretning, er vi fristet til å si at så lenge virksomheten oppfyller ansvarlighetsprinsippet og så langt det er mulig ivaretar de registrertes rettigheter, står virksomhetene friere i sin fortolkning av regelverket.
Det er gode argumenter som tilsier at veilederens løsning er god. Samtidig er det hverken Digdir eller DFØ som håndhever personvernregelverket. Det er Datatilsynets oppgave. Det tryggeste valget for virksomheter er derfor å rette seg etter Datatilsynets veiledning. Men det betyr ikke at andre løsninger ikke kan være ansvarlige.
Kristin Haram Førde
Partner i Bull & Co Advokatfirma
Thale C.G. Gjerdsbakk
Advokatfullmektig i Bull & Co Advokatfirma