Av Associate Miriam Maria Biermann, Senior Associate Sindre Dyrhovden og Partner Kjetil Vågen i Advokatfirmaet CLP DA
Kjetil Vågen er partner i Advokatfirmaet CLP DA.CLP
· Den
22. mai 2023 ble Meta, selskapet bak Facebook og Instagram, ilagt tidenes
største GDPR-bot på hele 1,2 milliarder euro (14 milliarder kroner) for brudd
på GDPR.
· Det
irske datatilsynet (DPC) har konkludert med at Metas overføring av data om
europeiske Facebook-brukere til USA er ulovlig. Saken illustrerer nok en gang
hvor krevende overføring av personopplysninger til tredjeland kan være.
· Mange
retail-virksomheter opererer fremdeles i strid med GDPRs overføringsregler og
kan risikere bøter. Særlig illustrerende er at bransjen fortsatt anvender
Google Analytics som medfører løpende overføringer til USA med mindre det er
gjort særskilte tiltak for å forhindre slik overføring.
Reglene for overføring av persondata
I henhold til GDPR er det i utgangspunktet ikke tillatt å
overføre personopplysninger til land utenfor EU/EØS. For å kunne gjøre dette,
må man derfor ha et såkalt overføringsgrunnlag. De mest praktiske
overføringsgrunnlagene har vært enten adekvansbeslutninger eller standard
personvernbestemmelser godkjent av EU-kommisjonen (Standard Contractual
Clauses - SCCer).
Miriam Maria Biermann er Associate i Advokatfirmaet CLP DA.CLP
I 2020 ble Privacy Shield-rammeverket for USA-overføringer,
en adekvansbeslutning som gjorde det mulig å overføre personopplysninger til
USA nær sagt fritt, kjent ugyldig av EU-domstolen, i den såkalte Schrems
II-dommen. Etter dette har de fleste aktører (inkludert Meta) overført data
til USA basert på SCCer, sammen med supplerende tiltak. I Schrems II ble det
nemlig slått fast at det ikke holder å bare bruke SCCer – det må også gjøres
konkrete vurderinger og iverksettes supplerende tiltak for å redusere
personvernrisikoer som finnes i tredjeland.
I USA er det særlig statlig overvåkning og
etterretningsvirksomhet som skaper personvernrisikoer. Det amerikanske
regelverket gir NSA utstrakt tilgang til individers data, noe som ikke oppfyller
EU-rettens krav til forholdsmessighet ved inngrep i grunnleggende rettigheter
slik som retten til privatliv og retten til personvern. I tillegg har
europeiske borgere ikke tilgang til effektive rettsmidler ved slike inngrep.
For å kunne overføre personopplysninger til USA, må det
derfor settes i verk supplerende tiltak for å få personopplysningssikkerheten
opp på et nivå som i hovedsak tilsvarer nivået i EU/EØS – og det er nettopp
dette Meta ikke har fått til.
Sindre Dyrhovden er Senior Associate i Advokatfirmaet CLP DA.CLP
Meta-saken
Avgjørelsen
gjelder overføringer av personopplysninger fra Metas irske datterselskap til
det amerikanske morselskapet Meta Platforms Inc., hvor Meta i årevis har
overført store mengder personopplysninger basert på SCCer og supplerende
tiltak. I avgjørelsen på hele 222 sider, plukker DPC fra hverandre Metas supplerende
tiltak, og konkluderer med at Metas overføringer er i strid med GDPR.
Begrunnelsen er at selv om Meta har implementert tiltak som organisatoriske
retningslinjer, kryptering av data, og tiltak for å motsette seg
utleveringsbegjæringer fra amerikanske myndigheter, kan de ikke endre det
faktum at de må utlevere opplysninger hvis amerikanske myndigheter krever det.
Derfor kan de uansett ikke sikre at beskyttelsesnivået ved overføring av
personopplysninger til USA reelt sett er på nivå med beskyttelsesnivået
EU-borgerne har i EU, slik GDPR krever.
I tillegg til boten, har Meta blitt pålagt å stanse
USA-overføringene. Dette setter Meta i en vanskelig situasjon, ettersom dette
vil kreve en grunnleggende endring i måten Meta behandler personopplysninger.
Det er likevel forventet at Meta vil påklage avgjørelsen til den irske
domstolen, slik at siste ord ikke er sagt i saken.
Artapixel/Pixabay
Hva nå – er det over og ut med amerikanske tjenesteleveranser
slik som Google Analytics?
Selv om avgjørelsen i utgangspunktet bare omhandler Meta,
anerkjenner DPC at den kan få vidtrekkende konsekvenser. I prinsippet tilsier
analysen som ligger til grunn for avgjørelsen at enhver amerikansk leverandør som
er underlagt det amerikanske etterretningsprogrammet PRISM, kan komme i
konflikt med GDPRs overføringsregler. Det vil si at det er nær sagt umulig å
lovlig overføre personopplysninger til amerikanske leverandører av for eksempel
skytjenester.
Det er derfor en god nyhet at en representant for
EU-kommisjonen samme dag som avgjørelsen kom gikk ut med en
uttalelse om at kommisjonen forventer at det nye rammeverket for USA-overføringer
vil komme på plass innen sommeren (som i sentraleuropeisk sammenheng betyr
august).
Kanskje er det på grunn av optimismen knyttet til det nye
rammeverket at mange virksomheter fortsatt gjennomfører overføringer til USA
som kan være i strid med GDPR. For eksempel er Google Analytics fortsatt brukt
i stor skala, til tross for at datatilsyn rundt om i Europa, inkludert i
Norge, har konkludert med at denne bruken
er ulovlig. Uttalelser og praksis fra enkelte av tilsynene tilsier at dette
også gjelder når
Googles IP-anonymiseringsfunksjon brukes, og at de samme problemene
også gjelder for Google Analytics 4. Virksomheter bør likevel merke seg at de
overføringene som gjennomføres i dag, ikke vil bli lovlige idet det nye
rammeverket er på plass – det vil kun gjelde for fremtiden.
I mellomtiden kan det være lurt å
vurdere hvilke muligheter man har for å redusere risikoen:
· Er det noen tjenester som enkelt kan byttes ut
med en EU-basert tjenesteleverandør, eller som man har mulighet til å avstå fra
å bruke i en periode frem til den nye adekvansbeslutningen for USA-overføringer
er på plass?
· Er det noen grep man kan gjøre med
personverninnstillinger eller liknende for å overføre mindre data eller unngå
identifisering av enkeltpersoner?
· Tilbyr tjenesteleverandøren
datalokaliseringspakker, eller andre tilvalg som lar kunden velge lagring i
datasentre i EU fremfor USA (eller andre tredjeland)?
Selv om Meta-avgjørelsen handler om USA og amerikansk
lovgivning spesifikt, kan rekkevidden være større. Mange virksomheter overfører
opplysninger også til andre tredjeland med lignende etterretningslover,
eksempelvis i Asia. Det er vanskelig å se hvordan tjenesteleverandører i disse
landene skal kunne sørge for reell beskyttelse av EU-borgernes rettigheter.
Derfor er det mulig at dette ikke kan løses av den enkelte leverandør, og at
det dermed er nødvendig at landene finner juridiske og politiske løsninger i
samarbeid med EU.
Advokatfirmaet CLP bistår mange virksomheter innen retail /
varehandel tilknyttet GDPR problemstillinger, og vi har siste tiden rådgitt i
forhold til fortsatt bruk av Google Analytics i lys av Meta-saken og hvilken
risiko fortsatt bruk av Google Analytics medfører, både i forhold til risiko på
selskapsnivå og for styret i de enkelte selskapene.
