I en kronikk 26. september om ny veileder vedrørende bruk av skytjenester, viser advokatene Kristin Haram Førde og Thale Gjerdsbakk i Bull & Co Advokatfirma til usikkerhet rundt hva som utgjør «overføring» av personopplysninger ut av EØS-området. Veilederen gjelder offentlig sektors bruk av skytjenester etter EU-domstolens praksis. Kronikken nevner en tilsynelatende uenighet mellom utgiverne av veilederen (Digitaliseringsdirektoratet og DFØ) og Datatilsynets praksis.
Ansvarsforholdene kan riktignok være litt mer krevende å avklare hvis det er avtalt at personopplysninger «kan» overføres til USA
Advokatene viser til at etter EU-domstolen avsa Schrems II-dommen, som gjelder overføring av personopplysninger til USA, «ble hva som utgjør en overføring tolket til å omfatte potensielle og teoretiske muligheter for overføring». Med henvisning til Datatilsynets praksis, hevdes at: «Dette medfører at bruk av amerikanske skytjenester i all hovedsak innebærer en overføring etter personvernforordningens betydning fordi amerikanske myndigheter kan få tilgang til opplysningene, selv om all lagring og behandling skjer i EØS.»
Selv om Datatilsynet ofte anlegger en restriktiv tilnærming til personvernforordningen (GDPR), oppfatter jeg at dette er en misvisende gjengivelse av Datatilsynets praksis.
Datatilsynets nettsider inneholder en redegjørelse kalt «Overføring av personopplysninger ut av EØS», som berører hva som utgjør en «overføring». Her uttrykker Datatilsynet at en «overføring» innebærer at en dataeksportør «tilgjengeliggjør eller sender de aktuelle personopplysningene til en annen behandlingsansvarlig». Dette synes å forutsette en aktivitet, og at et (teoretisk) juridisk pålegg fra USA ikke er tilstrekkelig.
Redegjørelsen har en del som kalles «Opplysninger utelukkende behandlet i EØS», som går i dybden på problemstillingen. Det vises til at en databehandler, typisk en skytjeneste, ikke kan overføre personopplysninger til USA i strid med den ansvarliges instruksjoner. Dersom en slik overføring likevel skjer etter pålegg fra amerikanske myndigheter, vil skytjenesteleverandøren selv bli ansvarlig for denne. Det indikerer klart at det ikke skjer en regulær overføring som kjøperen av skytjenesten må anse som en tilsiktet «overføring», som virksomheten må finne en overføringsmekanisme for.
Datatilsynet påpeker likevel at den behandlingsansvarlige, altså den som kjøper tjenesten, må gjennomføre øvrige plikter etter GDPR: Det må velges skytjenester som kan oppstille garantier for at personopplysninger behandles tilstrekkelig sikkert, og det må benyttes tiltak ut fra risikobildet for å hindre uakseptabel utlevering av personopplysninger.
Ansvarsforholdene kan riktignok være litt mer krevende å avklare hvis det er avtalt at personopplysninger «kan» overføres til USA. Dette endrer imidlertid ikke det prinsipielle poenget, nemlig at det er tvilsomt om bruk av amerikanske skytjenester i seg selv normalt utgjør en «overføring» av personopplysninger.
Ove A. Vanebo
Advokat i CMS Kluge Advokatfirma