– Dette har større kommersielle konsekvenser enn GDPR, sier en av Norges fremste eksperter på personvern, advokat Eva Jarbekk. Hun har noen råd til alle som driver med markedsføring.
EU-domstolen avsa sommeren 2020 en dom som førte til at den såkalte Privacy Shield-avtalen ble kjent ugyldig. Privacy Shield har regulert overføring av personopplysninger til «tredjeland», det vil si land utenfor EU- og EØS-området. Med personopplysninger menes alt som kan knyttes til en enkeltperson, også IP-adresser, eller opplysninger om atferdsmønstre – som for eksempel hva man søker etter på nettet eller hvilke nettsider man besøker.
Den såkalte Schrems II-dommen påvirker alle som bruker skytjenester eller nettbaserte løsninger der data kan aksesseres fra land utenfor EØS-området. Det betyr at selv om du bruker en tjeneste med servere i Europa, så vil det kunne være ulovlig hvis for eksempel en IT-tekniker fra USA har tilgang til de lagrede dataene. Dette gjelder ofte skytjenester som Office 365 og Google Docs, ulike typer annonsenettverk, samt løsninger for sporing og analyse som for eksempel Google Analytics eller Facebook- og LinkedIn-piksler.
– Det er ingen forskjell om det er en overføring i forbindelse med en markedsføringstjeneste, eller en mer tradisjonell skytjeneste som Office 365, sier advokat Eva Jarbekk, partner og leder for Scjødts personvernavdeling.
Her kan du se vårt webinar om Schrems II, med Eva Jarbekk.
– Mange mener, og juridisk sett er det riktig, at tjenestene har vært bygget opp på en ulovlig måte. Hvis ikke hadde ikke Max Schrems vunnet.
EUs personvernråd med svært streng veileder
Bakgrunnen for at Privacy Shield nå er kjent ugyldig, er at den østerrikske personvernaktivisten Max Schrems for noen år siden gikk til sak mot Facebook for det han mente var ulovlig overføring av persondata fra Europa til USA.
For at overføring av personopplysninger til land utenfor EØS skal være lovlig, kreves det et såkalt overføringsgrunnlag. Et overføringsgrunnlag er en avtale der den som mottar opplysningene («dataimportøren») påtar seg bestemte forpliktelser. Et slikt overføringsgrunnlag er Privacy Shield-avtalen mellom EU og USA, som altså Schrems II-dommen nå har gjort ugyldig.
Personvernorganisasjonen NOYB («None Of Your Business»), som Max Shcrems står bak, har etter Schrems II-dommen klaget inn 101 europeiske selskaper for brudd på reglene om overføring av personopplysninger, fordi de har brukt Google Analytics eller Facebook Connect. Dette er løsninger som brukes av svært mange virksomheter. I vår bransje – kommunikasjonsbransjen – brukes slike løsninger til å få nyttig statistikk om bruken av nettsider, for eksempel å kunne måle hvor mange som leser en artikkel.
Eva Jarbekk forteller at det etter Schrems II-dommen har vært mye usikkerhet og diskusjoner i fagmiljøet om hva dommen egentlig vil bety i praksis – men at EUs personvernråd (European Data Protection Board – EDPB) i november kom med et utkast til en veileder for hvordan personopplysninger kan overføres til land utenfor EØS.
– De som hadde håpet at veilederen ville gjøre overføring til tredjeland enklere, ble skuffet. Det er nesten med litt vantro jeg leser den – for veilederen er så streng at Office 365 i praksis er forbudt å bruke, sier Jarbekk.
Hun forteller at mange faktisk har begynt å se seg om etter europeiske alternativer til for eksempel løsninger for automatisering av epost-utsendelser.
Hvis data overføres til et land som ikke har samme beskyttelsesnivå som i EØS, vil man riktignok ifølge veilederen kunne veie opp for dette ved å iverksette «ytterligere tiltak» – men det er foreløpig usikkerhet rundt hva slags tiltak som er tilstrekkelige. Om noe i det hele tatt er tilstrekkelig. Ifølge Datatilsynet jobber nå det europeiske personvernrådet med å utrede hva «ytterligere tiltak» kan innebære. En mulighet kan være at amerikanske selskaper som ønsker å drive business i Europa, setter opp servere i Europa og sørger for at alt som lagres der er kryptert slik at dataene er utilgjengelige for alle utenfor EØS.
– Hvis man ikke bruker europeiske tjenester, er det vanskelig å se hva som er den helt trygge, «supercompliante» måten å gjøre dette på.
Tjenester har blitt bygget opp i strid med europeiske lover
EU mener at mange, spesielt amerikanske, selskaper har bygget opp tjenester som har vært i strid med GDPR. Bakgrunnen for det er at USA har en annen og mindre streng personvernlovgivning enn Europa.
– Mange mener, og juridisk sett er det riktig, at tjenestene har vært bygget opp på en ulovlig måte. Hvis ikke hadde ikke Max Schrems vunnet, sier Jarbekk.
EU sier nå at bedrifter må iverksette ekstra sikkerhetstiltak som gjør at en slik overføring av personopplysninger til tredjeland ikke kan skje.
– Hvis man ikke bruker europeiske tjenester, er det vanskelig å se hva som er den helt trygge, «supercompliante» måten å gjøre dette på, sier Jarbekk.
Den erfarne advokaten medgir at dette setter henne og andre eksterne rådgivere i en litt vanskelig situasjon. Det å bruke europeiske tjenester er jo ofte ikke et alternativ.
Jarbekk sier vi er midt i en brytningsfase nå, men at hun er optimist og tror man kommer til å finne måter å løse dette på. Men det er leverandørene av de ulike tjenestene som må finne frem til disse løsningene, og Jarbekk påpeker at EUs syn er at hvis hele Europa står samlet, så vil de som leverer tjenester til europeiske virksomheter til slutt endre praksis.
Advokatens råd
Selv om EUs veileder er et utkast, er det ingen grunn til å tro at innholdet vil endre seg i særlig grad. Det betyr at hvis data skal kunne overføres til et tredjeland, må personvernet i tredjelandet være like godt som GDPR. Mange land utenfor EU/EØS vil antagelig ikke bestå en slik test.
Det avgjørende spørsmålet for compliance i denne sammenhengen er om tredjelandet har tilsvarende personvernlovgivning som i EU, og det er et ja/nei-spørsmål. Enten er en overføring «compliant», eller så er den det ikke. Det spiller ingen rolle om personopplysningene er «ufarlige» eller ikke, ifølge Jarbekk.
– Overføringer som ikke er i tråd med regelverket, er ulovlige. Men det store spørsmålet er hvordan det vil bli håndhevet, sier Jarbekk.
Advokaten presiserer at man kan velge å ikke følge alle reglene, men at det i så fall betyr at man aksepterer at man ikke er compliant – med den eventuelle risikoen det kan innebære.
Hvis data lagres innenfor EU/EØS og det ikke er mulig med fjerntilgang fra et tredjeland, og heller ingen overføring av metadata, da vil oppsettet være lovlig – i hvert fall så lenge en tredjepart kontrollerer at avtalene respekteres. Jarbekk tror denne typen oppsett vil bli vanligere fremover.
For mange virksomheter kan det være vanskelig å orientere seg om hva som er tillatt og hva som ikke er det. Mange bruker kanskje de tjenestene alle andre bruker, uten å ha noe bevisst forhold til hvor data lagres. Jarbekk sier at den siste veilederen fra EU viser at dette er ekstremt komplekst, og så komplekst at veilederen neppe er til særlig stor hjelp for en typisk SMB-bedrift uten tilgang på juridisk ekspertise.
Jarbekk har et råd:
– Still spørsmål til leverandørene. Jo fortere vi får dem til å endre praksis, jo bedre. Du må spørre dem hva de har tenkt å gjøre for å hjelpe deg. Et annet råd til de som skal inngå avtaler nå med leverandører utenfor EØS, er å se på exit-klausulene. Hva koster det å komme ut av avtalen. Og så ville jeg lagt inn noe i avtalen som tvinger leverandøren til å tenke på denne problematikken.
I mars 2021 inviterte vi Eva til en prat om Schrems II. Hva betyr egentlig dommen for markedsførere, hvordan skal vi sørge for å være compliant, og hvor starter vi?