Hvitbok

Slik håndterer du den usikre situasjonen i lys av GDPR og CLOUD Act

EU-rettens og amerikansk retts bestemmelser om grenseoverskridende dataoverføringer samt aktuelle rettsavgjørelser som kan påvirke dette.

    Hent

Denne tekst er automatisk oversat for din bekvemmelighed. Du kan læse teksten på:

Engelsk Svensk (original) Giv feedback
.

Dette white paperet handler om EUs og amerikansk retts bestemmelser om grensekryssende dataoverføringer samt aktuelle rettssaker som kan komme til å påvirke dette.

Allmänna dataskyddsförordningen (eng: GDPR) trådte i kraft 25. mai 2018 og erstattet Personuppgiftslagen (PUL). Den er verken begynnelsen eller slutten på EUs lenge pågående innsats for å forbedre vernet av individets data og rett til privatliv. Disse rettighetene er grunnleggende menneskerettigheter i EU, og samtlige medlemsstater er bundet av dem på områder som faller under EUs kompetanse i og med ikrafttredelsen av Lisboatraktaten 20091. EU forsterker dermed sitt forsprang over USA når det gjelder rettslig vern for individers rett til privatliv og data.

Bakgrunn

Databeskyttelsesdirektivet2 fra 1995 skapte et EU-felles regelverk for vern av personopplysninger.

Det var fortsatt opp til hvert enkelt land å innføre nasjonal lovgivning basert på direktivet. I Sverige ble direktivet gjennomført i nasjonal rett i 1998 gjennom Personuppgiftslagen (PUL)3. PUL regulerte dels hvilke typer personopplysninger som kunne registreres samt også hvordan disse kunne overføres til såkalt “tredjeland”. Det siste krevde at minst én av tre følgende situasjoner gjaldt:

  1. Landets personopplysningslovgivning anses sammenlignbar med den europeiske (33 § PUL)
  2. Individet har gitt samtykke eller har gjennom inngåelse av kontrakt de facto akseptert viss utlevering (34 § PUL)
  3. Regjeringen har særskilt meddelt unntak (35 § PUL)

I motsetning til Databeskyttelsesdirektivet gjelder GDPR direkte som EU-rett, og krever ikke omsetting av EU-reglene i nasjonal lovgivning. Det medfører at samtlige EU-medlemsstater nå har fått en enda mer harmonisert lovgivning hva gjelder personvern. Mindre lokale tilpasninger av visse detaljer i GDPR tillates, særlig for offentlig forvaltning, men den store hoveddelen av lovgivningen forblir lik medlemslandene imellom.

Frem til 6. oktober 2015 fantes det flere måter å muliggjøre overføring til tredjeland på, hvorav de tre hovedalternativene var:

  1. Safe Harbor4 - system for amerikanske selskaper til å selvsertifisere sin håndtering av personopplysninger.
  2. Binding Corporate Rules - retningslinjer og prosesser for multinasjonale selskapers interne overføringer.
  3. Standard Contract Clauses5 - en standardavtale som en europeisk kunde kan inngå med amerikansk leverandør.

Den 6. oktober 2015 kjente EU-domstolen i C-362/14 EU-kommisjonens beslutning om Safe Harbor ugyldig6. Den 2. februar 2016 vedtok EU-kommisjonen på nytt et system for amerikanske selskaper til å selvsertifisere seg, det såkalte Privacy Shield.7

Ved siden av personvernet som gjelder ved interaksjoner mellom privatpersoner og selskaper eller privatpersoner og myndigheter, finnes det et særskilt system for dataoverføring i virksomheter som berører straffeforfølgende myndigheter. Disse myndighetene kan innhente informasjon i etterforskninger og lignende fra andre land via såkalte MLAT-avtaler (Mutual Legal Assistance Treaty).

Aktuelt

I dag kan amerikanske IT-selskaper tvinges til å utlevere personopplysninger når amerikanske myndigheter krever det, uavhengig av hvor dataen fysisk befinner seg.

CLOUD Act

Clarifying Lawful Overseas Use of Data Act (US CLOUD Act)8 er en amerikansk lov som ble vedtatt 23. mars 2018, med formål å fjerne tidligere hindre i amerikansk lovgivning for amerikanske IT-selskaper til å utlevere personopplysninger når amerikanske myndigheter krever det, uavhengig av hvor dataen fysisk befinner seg.

Loven inneholder også en prosess der den amerikanske regjeringen kan kvalifisere andre land til å få lov til å be om data fra amerikanske selskaper. Et ytterligere formål med lovgivningen er å omgå dagens eksisterende MLAT (se ovenfor), blant annet fordi MLAT-prosesser anses som trege. MLAT-prosesser innebærer at begjæringer om utlevering av opplysninger blir prøvd av domstoler, noe som tar tid9. Både europeiske og britiske representanter innen rettshåndhevelse har vært i forhandlinger med amerikanske motparter for å forbedre situasjonen på området og få til enklere og raskere tilgang til utenlandsk lagret data i straffesaker.

Da Microsoft vs US Government10 var tatt opp i USAs Høyesterett våren 2018, fikk den amerikanske siden hastverk med å innføre ny lov for å unngå at den forventede avgjørelsen, inntil loven ble endret, skulle sementere et utfall som verken Microsoft eller US Government (MS-vs-USG) ønsket11. Lovgivningen i seg selv er hastig utarbeidet12 og har fått mye kritikk av ulike grunner, blant annet en bekymring for at ikke-amerikanske myndigheter skal kunne få tilgang til upassende data via de bilaterale samarbeidsavtalene13, men også på det juridiske plan da anvendelsen av ekstraterritoriell lovgivning er en jungel14. Saken i Høyesterett ble avsluttet etter at US CLOUD Act ble vedtatt15.

Irland16 så vel som EU-kommisjonen17 har inngitt såkalte amicus curiae-innlegg18 i MS-vs-USG, som oppsummeringsvis i det sistnevnte tilfellet konstaterer at EU har interesse av internasjonalt rettslig samarbeid, men samtidig at all form for utlevering av data fysisk lagret i EU må skje i samsvar med GDPR for å være lovlig i EU19. I GDPR er det særlig artikkel 4820 som behandler fullbyrdelse av tredjelands domstols- eller myndighetsavgjørelser innenfor EU, og sier at slik overføring “bare får gjennomføres dersom den bygger på en internasjonal overenskomst, slik som en avtale om gjensidig juridisk bistand [eng: MLAT]”. Irland og EU-kommisjonen peker begge i sine innlegg på at den mest rimelige veien nettopp er de allerede eksisterende MLAT-avtalene.

US CLOUD Act har altså ennå ikke endret den grunnleggende situasjonen: amerikansk og europeisk rett er ikke kompatible i spørsmålet om utlevering av data lagret i EU til USA. Inntil avtaler mellom EU eller mellom hver av medlemsstatene og USA er på plass som legaliserer bruken av US CLOUD Act overfor artikkel 48 i GDPR, er den eneste tillatte måten som harmonerer med europeisk rett, at USA benytter de eksisterende MLAT-avtalene, noe USA ønsket å komme bort fra i utgangspunktet. Det er altså særlig tre spørsmål som spiller en avgjørende rolle fremover når det gjelder US CLOUD Acts innvirkning på amerikanske IT-selskapers virksomhet innenfor EU:

  1. Vil EU og USA, eller hver av medlemsstatene og USA, få på plass én eller flere avtaler som gjør amerikansk bruk av US CLOUD Act lovlig fra et europeisk perspektiv?
  2. Vil en slik avtale oppfylle Charteret om grunnleggende rettigheter (EU-charteret)?
  3. Vil USA respektere europeisk territorialitet for GDPR, eller vil overføringer skje i strid med GDPR – og vil EU ha innsyn i dette, eller agere dersom slik overføring oppdages?

I EU-domstolens avgjørelse i «Safe Harbor»-saken resonnerer domstolen ikke i første rekke i termer av hva som beviselig har skjedd i enkelttilfeller, men hva amerikansk lov de facto muliggjør. Når det gjelder det tredje punktet ovenfor, muliggjør US CLOUD Act for USA å begjære overføring av data i strid med GDPR: Ifølge US CLOUD Act er det opp til det forespurte selskapet å på eget initiativ opponere i domstol – en amerikansk domstolsprosess skjer bare da. Selv om den amerikanske domstolen skulle finne grunner mot å godkjenne en begjæring om utlevering av data, kan den også finne grunner for å godkjenne den. Loven nevner uttrykkelig en rekke forhold domstolen må ta stilling til, deriblant amerikanske interesser, inkludert nasjonale sikkerhetsinteresser. Fra et europeisk perspektiv blir dette problematisk. Den europeiske retten til databeskyttelse verner europeiske borgere, og det europeiske rettsvesenet (særlig domstolene) har i oppgave å se til at europeisk lovgivning tolkes slik at den verner europeiske borgere.

Det som må forstås er at EU-charteret hører til rammetraktatene og har som formål å kodifisere EUs grunnprinsipper. Det betyr at annen EU-rett som direktiver, forordninger og regler for avtaler, suksessivt bygger ovenpå den lovgivningen. EU-charteret garanterer rettigheter til EU-borgere, som europeiske domstoler må forholde seg til i rettstvister. Det ser derfor ut som at det andre spørsmålet ovenfor leder til samme grunnleggende problemstilling som EU-domstolen allerede må ta i betraktning i behandlingen av saken «Data Protection Commissioner» (se nedenfor). Det andre punktet kan også sies i stor grad å allerede være vurdert i C‑362/14 (se særlig avsnitt 79–98 som fullt ut felte Safe Harbor-avtalen). Når det gjelder det første spørsmålet, hevdes det at Storbritannia er i bilaterale forhandlinger med USA med sikte på å få på plass en ny MLAT-avtale21, mens EU søker en multilateral avtale for hele unionen med USA22. Et problem for EU er at US CLOUD Act, strengt tolket, ikke tillater at USA inngår multilaterale avtaler snarere enn bilaterale avtaler, noe som kan innebære at amerikansk lov hindrer den amerikanske staten fra å gjøre annet enn å søke bilaterale avtaler med hvert enkelt EU-medlemsland. For EU ville en slik løsning være utilfredsstillende. Ytterligere lovgivning eller en “velvillig” tolkning av US CLOUD Act kreves for at EU skal kunne søke en multilateral avtale.

C-311/18, Data Protection Commissioner

Etter at Safe Harbor-beslutningen ble kjent ugyldig av EU-domstolen 6. oktober 2015 i C‑362/14, søkte østerrikeren Max Schrems igjen til det irske datatilsynet om tilsyn med Facebook Irelands dataflyt ut av EU. Han mente at det, gitt utfallet i C‑362/14, umulig kunne være tillatt å overføre data til USA basert på Standard Contract Clauses eller Privacy Shield. Saken gikk til domstol da Schrems argumenterte for at det irske datatilsynet selv kan beslutte å stoppe Facebooks dataflyt ut av EU. USAs regjering, Digital Europe og Business Software Alliance bistår Facebook i saken, mens Schrems og det irske datatilsynet bistås av EPIC.

Datatilsynet er enig med Schrems i at EU-charterets artikkel 47 – Rett til et effektivt rettsmiddel og til en upartisk domstol – ikke respekteres i den ordningen som etableres av Standard Contract Clauses og Privacy Shield, samt i risikoen for at EU-borgeres rettigheter etter artikkel 7 og 8 dermed er truet. Den irske High Court24 besluttet 3. oktober 2017 å henvise saken til EU-domstolen slik at avgjørelsen blir gyldig i hele EU. Facebook anket beslutningen om å henvise til EU-domstolen til den irske Supreme Court. Da High Court først annonserte selve henvisningen 12. april 2018, søkte Facebook deretter til High Court om å fryse henvisningen til EU-domstolen i påvente av beslutning fra Supreme Court.

High Court besluttet 2. mai mot dette da Facebooks begjæring manglet grunnlag, og skrev at “henvisningen må fortsette umiddelbart”, samt at Facebooks opptreden i retten hadde vært på grensen til klanderverdig og useriøs25. Medienes vurdering er at Facebook på ulike måter forsøker å forsinke rettsprosessen26. Det var tydelig også i høringen som Europaparlamentet gjennomførte 22. mai 2018 med Facebooks CEO, Mark Zuckerberg, at Facebooks virksomhet har en rekke aktuelle konfliktsoner med EU27 28 29.

En EU-parlamentariker konstaterte under høringen med Zuckerberg nivåforskjellene mellom USAs og EUs databeskyttelse og vanskeligheten med å forene disse to30. Gyldigheten av både Standard Contract Clauses samt Privacy Shield bestrides i henvisningen til EU-domstolen. Når det gjelder Privacy Shield, gjelder tvisten i første rekke om den ombudspersonen som USAs regjering utpeker, oppfyller EU-rettens krav til et uavhengig rettsorgan med en rekke ytterligere egenskaper.

Når man leser avsnitt 43 og 44 i henvisningen, er det vanskelig å se hvordan dette skulle kunne være tilfelle gitt den argumentasjonen det irske datatilsynet har ført, men vi må avvente EU-domstolens avgjørelse.

Henvisningen består av 11 spørsmål som ber EU-domstolen uttale seg om Standard Contract Clauses samt Privacy Shield er forenlige med unionsretten (EU-charteret, etc.), men det er ikke rom for å beskrive samtlige øvrige innledende spørsmål her. Det bør være kjent at EU-domstolen av og til svarer på spørsmål de skulle ønske de hadde fått, snarere enn spørsmålene de faktisk fikk, så man kan ikke forvente helt entydige svar.

Konklusjon

Gitt den rettssituasjonen som er beskrevet over, med det store avviket mellom utformingen av amerikansk lov og rett kontra den europeiske, er det vanskelig å se hvordan de to regimene lar seg forene.

For det første finnes det ingen indikasjoner på at europeiske domstoler er villige til å kraftig svekke slike borgerlige rettigheter som er lovfestet. Den mulige farbare retningen er at amerikansk lov forbedrer vernet for enkeltpersoner. En slik utvikling ville imidlertid gå på tvers av amerikansk praksis når det gjelder nettopp nasjonal sikkerhet, som i praksis ikke anerkjenner rettigheter for personer som ikke er statsborgere i USA (noe EU-borgere typisk ikke er), hvilket uttalelser fra rettseksperter i High Courts henvisning til EU-domstolen C‑311/18 gjør gjeldende.

For det andre er det mulig at EU-domstolen vil kjenne både Standard Contract Clauses samt Privacy Shield ugyldige, og at EU-kommisjonen forhandler frem en “Safe Harbor 3” med USA, i den grad US CLOUD Act ikke har gjort noe slikt umulig. Man kan spekulere i hvilken parts posisjon som styrkes mest foran forhandlingene av en slik avgjørelse fra EU-domstolen.

For det tredje er den politiske situasjonen mellom EU og USA for tiden alt annet enn god. Baksidene ved amerikanske IT-selskapers personvernpraksis, som for eksempel Facebook, som delvis anses å ha gjort Brexit mulig gjennom påvirkningskampanjer, har ikke gått EU-politikere hus forbi. I tillegg kommer diplomatiske problemer som har oppstått ved at USA har trukket seg fra Iran-avtalen, og den begynnende handelskrigen som USAs regjering har skapt.

For det fjerde er en vanlig innvending mot at EU-domstolen skulle kunne kjenne både Standard Contract Clauses samt Privacy Shield ugyldige, enten i det hele tatt eller uten at et alternativ er på plass, at det ville få så store konsekvenser for næringsvirksomhet. EU-domstolens oppgave er å sørge for at EU-charteret etterleves i EUs lover og beslutninger. Hvis EU-charteret står i veien for næringsvirksomhet, må det i så fall endres. Inntil da gjelder det som det er. EU-kommisjonen konstaterte at europeiske borgeres rettigheter ble krenket, men anså seg ikke forpliktet til å endre Safe Harbor-beslutningen i lys av dette, i påvente av en forestående omforhandling av beslutningen med USA. EU-domstolen på sin side hevder at man tvert imot faktisk bør stanse overføringene ved en slik konstatering for å slutte å krenke EU-borgeres grunnlovsbeskyttede rettigheter31.

Hva neste steg ville bli etter at EU har kjent USA som ikke-tilstrekkelig tredjeland, kan man bare spekulere i. Det kan imidlertid konstateres at ved EU-domstolens forrige prejudisielle avgjørelse i C‑362/14 opphørte Safe Harbor umiddelbart å gjelde, men de europeiske datatilsynene ga personvernombud (databehandler) 3 måneders frist slik at EU-kommisjonen og USA skulle kunne finne en ny løsning. Hvis en ny løsning ikke kan finnes på kort sikt, må personvernombud opphøre med behandling av personopplysninger på berørte tjenester for å unngå trussel om bøter.

Anbefalinger til organisasjoner

Gitt rettssituasjonen finnes noen strategiske anbefalinger, når det gjelder skytjenester, for å unngå å havne i klem før (eller om ikke) de rettslige motstridighetene mellom EU og USA er blitt avklart.

Anbefalinger for IT-arkitektur

  1. Sørg for å bygge skyinfrastrukturen med agnostiske verktøy og plattformer for enklere å kunne flytte miljøet til en annen leverandør dersom den rettslige situasjonen forverres. Å bygge miljøet med containere (eller Docker) i stedet for virtuelle servere er en utprøvd metode som gjør det enklere å migrere tjenestene til en annen leverandør.
  2. Regn på hvordan dataoverføringskostnadene vil slå ut den dagen dere vil flytte ut. Mange skyleverandører tar ikke betalt for å laste opp – men desto mer for å hente ned, noe som kan gi ubehagelige overraskelser.
  3. Sørg for å skille data fra tjenestene med åpne (eller i det minste standardiserte) grensesnitt for enklere å kunne bytte datalagringsplattform. Amazons S3-protokoll har blitt bransjestandard for storskala lagring av ustrukturert data i skyen. Dessverre bruker Amazon enkelte tillegg som ikke støttes av andre S3-kompatible tjenester. Hvis du sørger for å bruke en mer generell S3-kompatibel leverandør i utgangspunktet, blir det enklere å flytte til en annen leverandør.
  4. Invester i en egen identitetsforvaltning i stedet for å stole på skytjenesteleverandørens. Dette kan i noen tilfeller bli litt mer tungvint, men blir utrolig mye enklere dersom tjenestene skal migreres et annet sted.

Anbefalinger for risikovurdering og etterlevelse av personvernregelverket

  1. Gjør grunnarbeidet med GDPR rundt håndtering av personopplysninger. Et slikt grunnarbeid bør inkludere at dere ser over:
    1. hvor dere geografisk lagrer personopplysningene,
    2. hvilket rettslig grunnlag dere har for behandlingen og (hvis personopplysningene lagres utenfor EU/EØS) for selve overføringen dit,
    3. hvor sensitive personopplysningene som behandles er (særlig hvis det skjer utenfor EU/EØS),
    4. om dere har informert de registrerte personene om at deres personopplysninger behandles, og
    5. om det finnes en sletterutine implementert. Dette punktet er selvsagt særlig viktig hvis opplysningene lagres i USA, ettersom organisasjoner da uansett har en naturlig måte å redusere opplysningene som kan komme til å måtte utleveres.
  2. Fordyp GDPR-arbeidet ved å innføre sikkerhetsklassifisering av informasjonen som behandles i organisasjonen – dette er nødvendig for deretter å kunne gjøre korrekt egnethets- og risikoanalyse rundt bruken av ulike skytjenester.
  3. Inkluder i risikoanalysen den rettslige usikkerheten rundt eksisterende og nye skyleverandører – gjør en sannsynlighetsvurdering og konsekvensanalyse og ager ut fra dette: Hvis det antas for eksempel å være 20 % risiko for en full stans i overføring av personopplysninger til amerikanske tjenester i løpet av 12 måneder med start om 9 måneder, hvordan vil dette påvirke virksomheten og beslutningsprosessen rundt IT-strategi ved valg av leverandører?
  4. Ha redundans også på leverandører. Særlig viktig for tjenester i risikosonen, og gjør en vurdering rundt migrasjonsprosessen – hvor lang tid tar det f.eks. å bytte ut samtlige amerikanske tjenester dersom behovet skulle oppstå? Det kan virke for katastrofalt til å i det hele tatt vurderes, men underlaget trengs for å kunne ta riktige beslutninger hvis det skulle bli alvor.

Anbefalinger til organisasjoner som baserer seg på Privacy Shield og SCC-er

  1. Analyser dataflyt som innebærer overføring av data til land utenfor EØS, og finn ut hvilken overføringsavtale som brukes, hvor viktig den er for virksomheten, og sannsynlige konsekvenser av å ikke kunne fortsette slike overføringer. Utarbeid mulige løsninger som kan unngå behovet for overføringer.
  2. Finn ut hvordan tredjepartene som håndterer dataflyt fra deres virksomhet vil håndtere en mulig ugyldiggjøring av SCC og/eller Privacy Shield.
  3. Informer ledelsen og andre viktige interessenter om risikoene som oppstår ved en potensiell ugyldiggjøring av SCC og/eller Privacy Shield.

Innhold

Innhold

Safespring er en rask og fleksibel sky- og IT-infrastrukturtjeneste.

Som en nordisk løsning gjør Safespring det enklere for deg å oppfylle lover og regler, som GDPR.

Lær mer om

Se demo

La en av våre Cloud Architects vise deg vår plattform.

Se demo
×
Safespring Linkedin Safespring X Safespring GitHub Safespring YouTube Safespring Facebook

Velg språk

Norsk (Bokmål) flag English flag Svenska flag Dansk flag

© Safespring AS (918 269 649) 2017-2026