job Kontroll og sikkerhet

Schrems II-dommen fra et internrevisjonsperspektiv

Sommeren 2020 avsa EU-domstolen en avgjørelse som har fått stor betydning for overføring av personopplysninger til land utenfor EU/EØS (såkalt tredjeland) eller til en internasjonal organisasjon.

Denne artikkelen tar for seg betydningen av dommen, den såkalte Schrems II-dommen, [1] fra et internrevisjonsperspektiv.

Om overføring av personopplysninger til tredjeland

Personopplysningsloven med innlemmet personvernforordning legger opp til at personopplysninger kan flyte fritt i hele EU/EØS. Behandlingsansvarlig kan overføre personopplysninger til land innenfor EU/EØS uten å måtte treffe særskilte tiltak etter personvernforordningen. Skal personopplysninger overføres til land utenfor EU/EØS kreves i tillegg et overføringsgrunnlag. Dette overføringsgrunnlaget skal sikre at personvernforordningens beskyttelsesnivå ikke undergraves når personopplysninger forlater europeisk jord.

Personvernforordningens kapittel V lister opp flere alternative overføringsgrunnlag. De alternative overføringsmekanismene som finnes er:

  • EU-kommisjonens anerkjennelse av tredjeland eller internasjonal organisasjon som har tilstrekkelig nivå for vern av personopplysninger. Oversikt over godkjente land finnes på EU-kommisjonens sider. Overføring av personopplysninger til landene som har fått anerkjent tilstrekkelig beskyttelsesnivå er sammenlignbart med overføring av personopplysninger til land innenfor EU/EØS.
  • I tilfeller hvor det ikke foreligger slik beslutning som nevnt ovenfor kan overføring til tredjestaten eller den internasjonale organisasjonen kun finne sted dersom den behandlingsansvarlig eller databehandler har gitt nødvendige garantier, og under forutsetning at de registrerte kan håndheve sine rettigheter og har effektive rettsmidler. [2] Slike nødvendige garantier kan sikres gjennom blant annet (de mest vanlige) [3]:
    • Standard personvernbestemmelser vedtatt av Europakommisjonen (Standard Contractual Clauses, SCC) [4]. Dette er den vanligste måten å sikre nødvendige garantier på.
    • Bindende virksomhetsregler (Binding Corporate Rules, BCR) for et konsern eller gruppe av foretak
    • Godkjente atferdsnormer eller sertifiseringsmekanismer

Schrems II-saken har betydning for overføring av personopplysninger av to grunner. For det første kjente dommen Privacy Shield EU-US ugyldig. Privacy Shield-avtalen var en avtale mellom EU og USA som muliggjorde overføring av personopplysninger til kommersielle aktører i USA som hadde sertifisert seg iht. denne avtalen. Avtalen skulle sikre tilstrekkelig beskyttelsesnivå for opplysninger som ble overført til USA. Dommen innebærer at overføring av personopplysninger med grunnlag i avtalen ikke lengre en lov.  

For det andre ble det i dommen presisert at overføring av personopplysninger til tredjeland kun kan skje dersom beskyttelsesnivået som gjelder i EU/EØS ikke undergraves. Dette innebærer at beskyttelsesnivået også må være tilsvarende som det er i EU/EØS, dersom standard personvernbestemmelser (SCC) skal brukes som overføringsgrunnlag.

Ved bruk av SCC skal den behandlingsansvarlige altså forsikre seg om at beskyttelsesnivået i tredjelandet faktisk er tilsvarende som i EU/EØS, alle forhold tatt i betraktning.

Det vil for eksempel si at virksomheten må vurdere om tredjelandets lovgivning kan stride mot reglene i personvernforordningen, og da særlig om dataimportøren, dens infrastruktur eller underleverandører, er underlagt slik lovgivning. Foreligger det forhold som gjør at beskyttelsesnivået ikke er tilstrekkelig ivaretatt, må det iverksettes ytterligere tiltak for å sikre et slikt beskyttelsesnivå. Dersom det ikke er mulig å oppnå et tilsvarende beskyttelsesnivå som i EU/EØS, kan overføringen ikke finne sted.

Det europeiske personvernrådet (Personvernrådet) har i etterkant av Schrems II-dommen kommet med veiledning for å gjennomføre slike vurderinger som er beskrevet over.  

Betydningen for internrevisjon

Schrems II har betydning for internrevisjonen på flere områder. Resultatet av dommen vil utgjøre en risiko for bedrifter som overfører personopplysninger til tredjeland. Etter personvernregelverket kan det gis store overtredelsesgebyr for brudd på regelverket. Risikoen vil således knytte seg til brudd på regelverket og dermed kunne få økonomiske konsekvenser, samt konsekvenser for virksomhetens omdømme. Overføring av personopplysninger til tredjeland bør derfor være et prioritert risikoområde å vurdere i revisjonsplanen.

Videre vil dommen ha betydning for gjennomføring av internrevisjon.

Ved vurdering av tredjepartsrisiko bør en se etter og vurdere nye dokumenter i gjennomføringen av revisjonen. Etter personvernregelverket skal alle virksomheter sikre og påvise at de etterlever regelverket. Personvernrådet er også klar i sin veiledning på at vurderinger skal dokumenteres og gjøres tilgjengelig for Datatilsynet på forespørsel. [5] Nedenfor presenteres hva en internrevisor bør se etter av dokumenter for å vurdere risikoen forbundet med overføring av personopplysninger til tredjeland.

Hva må internrevisor se etter?

Overfører virksomheten personopplysninger ut av EU/EØS?

Først må man finne ut om virksomheten overfører personopplysninger til tredjeland. Virksomheter som overfører personopplysninger til tredjeland bør ha vurdert sine overføringsgrunnlag i etterkant av Schrems II-dommen, og bør derfor ha oversikt over dette. Har ikke virksomheten en slik egen oversikt, skal overføring av personopplysninger til tredjeland være dokumentert i behandlingsprotokollen, som skal gi virksomheten en oversikt over alle behandlingsaktivitetene i virksomheten. Enkelte virksomheter svikter imidlertid her, og man bør derfor ta stikkprøver ved å kontrollere et utvalg databehandleravtaler og eventuelle underdatabehandleravtaler. Eventuell oversikt over dataflyt i virksomheten er også relevant å undersøke. Stikkprøver vil være relevant å ta også i tilfeller hvor virksomheten har kartlagt overføringer til tredjeland.

Ja, virksomheten overfører personopplysninger ut av EU/EØS

Dersom virksomheten overfører personopplysninger til tredjeland, skal det etter Schrems II-dommen og Personvernrådets veiledning foreligge flere revisjonsbevis. Nedenfor følger en liste over revisjonsbevis som er relevante bevis:

  1. Avhengig av størrelsen på virksomheten og omfanget av overføring av personopplysninger, bør det foreligge en prosedyre/rutine som sier noe om overføring av personopplysninger til tredjeland. Prosedyren/rutinen bør inneholde krav om at vurderingene som er listet opp nedenfor gjentas med hensiktsmessige intervaller.
  2. Overføringsgrunnlaget skal være identifisert og dokumentert. Dette kan registreres i behandlingsprotokollen eller et eget dokument. Dersom virksomheten overfører personopplysninger til tredjeland/internasjonale organisasjoner med et beskyttelsesnivå som EU-kommisjonen har anerkjent som tilstrekkelig, bør det være implementert aktiviteter i prosedyrer/årshjul for å sjekke at slike anerkjennelser ikke er trukket tilbake eller at EU-domstolen har underkjent dem.
  3. I tilfeller hvor overføringen er basert på nødvendige garantier etter GDPR art. 46, må virksomheten ha gjennomført vurderinger som tar for seg hvorvidt overføringsgrunnlaget  på en effektiv måte sikrer at beskyttelsesnivået er tilsvarende i det aktuelle tredjelandet/organisasjonen som i EU/EØS.
  4. Viser vurderingene som er gjort at overføringsgrunnlaget ikke kan sikre et tilsvarende beskyttelsesnivå på en effektiv måte, skal det i tillegg være vurdert og eventuelt iverksatt ytterligere tiltak for å sikre dette.
  5. De ytterligere tiltakene kan være organisatoriske, tekniske eller kontraktsmessige. [6] Disse skal være dokumentert.

Les også Schrems II stiller omfattende krav til gjennomføring av risikovurderinger


[1] CJEU, sak C-311/18.

[2] Jf. personvernforordningen art. 46.

[3] Ibid.
Det finnes også overføringsgrunnlag i personvernforordningen art. 49, men disse er kun unntak for særlige situasjoner.

[4]  Bestemmelsene finner du her: https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en. Disse vil trolig bli oppdatert i løpet av 2021.

[5]https://edpb.europa.eu/sites/edpb/files/consultation/edpb_recommendations_202001_supplementarymeasurestransferstools_en.pdf s. 8. Veiledningen er på høring og er ikke endelig vedtatt av Personvernrådet.

[6]Se Personvernrådets veiledning, anneks 2, for eksempler på ytterligere tiltak. https://edpb.europa.eu/sites/edpb/files/consultation/edpb_recommendations_202001_supplementarymeasurestransferstools_en.pdf