Flere artikler om EU-domstolens avgjørelse i Schrems II har gjennomsyret personvernområdet det siste halvåret. Noe annet hadde vært merkelig sett i lys av en obligatorisk kursendring for deg og meg.
Men hva må vi egentlig tenke på, og hvordan kan vi sørge for å unngå kollisjon med et utfordrende regelverk?
Kort fortalt må det foreligge et rettslig grunnlag for å behandle personopplysninger, hvilket trolig er kjent for mange. Ved overføring av slike opplysninger utenfor EU/EØS, såkalte tredjeland, stilles det som hovedregel også et ytterligere krav om et «overføringsgrunnlag». Schrems II har lagt sterke føringer for sistnevnte krav. Dommen fastslår at Privacy Shield ikke lenger kan benyttes; et overføringsgrunnlag som er mye brukt av amerikanske selskaper som Microsoft og Vimeo.
Bakgrunnen for at Privacy Shield ikke lenger anses som gyldig, skyldes vesentlig dårligere beskyttelsesnivå og en enklere tilgang til personopplysninger for nasjonale myndigheter sammenlignet med EU/EØS-området.
Det er likevel mulig å benytte utenlandske aktører som nevnt over. EU-domstolen åpner for at kommisjonens egne standardavtaler, Standard Contractual Clauses, fremdeles kan anvendes som gyldig grunnlag. Slike standardavtaler skal så langt som mulig sikre et beskyttelsesnivå tilsvarende personvernregelverket/GDPR innenfor EU/EØS og ble også anvendt i stor grad forut for Schrems II. Bruk av dette grunnlaget forutsetter imidlertid nå at det i tillegg gjennomføres til dels omfattende risiko- og sårbarhetsanalyser.
La oss bruke videotjenesten Vimeo som eksempel. Aktøren benytter delvis Privacy Shield som overføringsgrunnlag fra EU/EØS til USA. Ettersom dette er ulovlig, er din virksomhet nødt til å inngå en avtale med Vimeo basert på et alternativt grunnlag dersom det eksempelvis inviteres til et åpent informasjonsmøte i en pågående byggesak. Det er i så fall naturlig å ta utgangspunkt i EU-kommisjonens standardbestemmelser. Virksomheten må parallelt vurdere ytterligere tiltak for å sikre et beskyttelsesnivå tilsvarende EU/EØS når alle omstendigheter tas i betraktning. Er standardavtalen vurdert til et tilstrekkelig nivå i seg selv, er det trolig ikke nødvendig å foreta ytterligere tiltak. Hvis nei, kan tiltak som å oppfordre brukere til å være anonyme eller foreta en form for kryptering være mulige alternativer.
Den reelle risikoen for at lokale myndigheter får tilgang til personopplysningene må altså vurderes nøye og konkret for det enkelte tilfellet.
EU-domstolens manglende spesifisering av nødvendige beskyttelsestiltak, vanskeliggjør denne vurderingen. Inntil videre må vi derfor navigere i ukjent terreng. Nyttige koordinater er imidlertid tilgjengelig på Datatilsynets hjemmesider.