People Intouch har alltid advart organisasjoner om at behandling av sensitive bedriftsdata i USA vil gjøre at dataene er innen rekkevidde for inntrengende myndigheter fra USA (f.eks. DOJ, NSA, DHS). Denne månedens kjennelse i Schrems II av EU-domstolen bekrefter vår bekymring i denne saken og understreker viktigheten av å tenke på hvor du vil behandle selskapets sensitive data knyttet til kritikkverdige forhold.
Den 16. juli ugyldiggjorde CJEU EU-USAs «Privacy Shield Framework» i Schrems II-avgjørelsen. Privacy Shield var det rettslige grunnlaget som over 5000 selskaper stolte på for å overføre personopplysninger fra Europa til USA på en samsvarsmessig korrekt måte. For selskaper som ikke er avhengige av Privacy Shield for samsvarsmessig korrekt behandling, vil ugyldigheten ha betydelig innvirkning ettersom kjennelsen understreker vanskene som kan komme med overføring av dataene dine til USA og ivaretakelse av dem på en tilstrekkelig måte.
GDPR skaper brede europeiske spilleregler for beskyttelse av personopplysninger i EU. Overføring av personopplysninger utenfor EU bør overholde et tilsvarende (høyt) beskyttelsesnivå. For å imøtekomme overføring over landegrensene utenfor EU avgjør EU-kommisjonen graden av tilstrekkelighet for bestemte land. Et vedtak om tilstrekkelighet består av en gjennomføringslov og en undersøkelsesprosedyre, inkludert kriterier som hensyn til rettsstaten, tilgang til rettferdighet og internasjonale menneskerettighetsstandarder. Et vedtak om tilstrekkelighet for et bestemt land ivaretar internasjonal overføring av data til det spesifikke landet. I tillegg til vedtak om tilstrekkelighet, kan dataoverføring også gjennomføres på en GDPR-kompatibel måte ved for eksempel å inngå standardkontraktsbestemmelser (vedtatt av EU-kommisjonen, men for øyeblikket også under granskning) eller bindende selskapsregler.
Privacy Shield var ikke den første avtalen som ble utformet av EU-kommisjonen for å gi tilsvarende beskyttelse for overføring av personopplysninger til USA. Forgjengeren var Safe Harbor Framework, som ble godkjent for 20 år siden. Safe Harbor ble ugyldiggjort av CJEU i 2015 i Schrems I, fordi den manglet tilstrekkelig beskyttelse av grunnleggende rettigheter som tilsvarer EUs rettigheter. USA satte nasjonens sikkerhet, offentlig interesse og rettshåndhevelse over Safe Harbor-prinsippene for beskyttelse av personopplysninger.
EU-kommisjonen godkjente formelt EU-USAs Privacy Shield i 2016 som en forbedret etterfølger av Safe Harbor. Privacy Shield tilbød et frivillig sertifiseringsprogram som selskaper kunne registrere seg for. Selskaper som søkte om sertifiseringsprogrammet, måtte være kvalifiserte og forplikte seg til Privacy Shield-prinsippene. Disse prinsippene inkluderte f.eks. ansvar for videreoverføring, dataintegritet, tilgang og ansvar. Den 16. juli avgjorde imidlertid CJEU at også Privacy Shield ikke gir nok sikkerhetstiltak. Mer spesifikt gir ikke Privacy Shield nok garantier om å holde de overførte personopplysningene sikre fra amerikanske overvåkningsprogrammer. Videre gir ikke Piracy Shield registrerte personer i Europa tilstrekkelige rettskraftige rettigheter og effektive rettsmidler i USA
Dommen fra CJEU understreker nok en gang vanskene som følger med å overføre bedriftsfølsomme data til USA. Siden Privacy Shield ikke lenger danner et gyldig juridisk grunnlag for internasjonal dataoverføring, vil organisasjonene som er avhengige av det, måtte se etter nye ordninger for å forbli i samsvar med de høye europeiske standardene for databeskyttelse. En sak-for-sak-analyse må gjøres for å sikre dataene deres hvis de vil fortsette å overføre data utenfor Europa.
Flere detaljer om CJEU Schrems II-dommen finner du her.