Nyhetsbrev - EU-Domstolen setter en stopper for datadeling til USA

Hver gang du logger inn på Facebook, publiserer et bilde fra badeferien på tidslinjen din, eller sender en e-post til en gammel bekjent i USA blir personopplysningene dine overført til USA. I Schrems-dommen, som ble avsagt 6. oktober 2015, rokker EU-domstolen ved det viktigste grunnlaget for overføring av personopplysninger til den andre siden av Atlanteren.  Saken må ses på bakgrunn av den tilgang den amerikanske sikkerhetstjenesten, NSA, har hatt til personopplysninger overført fra EU-selskaper og organisasjoner til amerikanske selskaper.

Personvernets sterke stilling i Europa

Personopplysninger er ansett for å være oljen i informasjonssamfunnet. Det er i dag en handelsvare som omsettes for store beløp på verdensmarkedet. Som med andre handelsvarer, flyter personopplysninger på tvers av landegrenser. Det som skiller personopplysninger fra andre varer er at denne handelsvaren er uløselig knyttet til individets personlighet. Derfor er personvernet beskyttet som en fundamental rettighet i Europa. Gjeldende personverndirektiv gir privatpersoner flere rettigheter, inkludert retten til å få tilgang til informasjon og retten til å få korrigert misvisende opplysninger om seg selv. Tilsvarende plikter stilles opp for selskaper som behandler personopplysninger, som også må overholde visse prinsipper ved slik behandling.  For å ivareta denne beskyttelsen stiller gjeldende personverndirektiv opp krav om særlig hjemmel for å sende personopplysninger ut av EU/EØS-området. Det må kunne påvises at mottakerlandet har adekvat personvernsbeskyttelse. Lovgivningen i de færreste land utenfor EU/EØS, heller ikke USAs lovgivning, har vært ansett for å oppfylle de europeiske standarder for personvernsbeskyttelse.

Ved årtusenskiftet vedtok imidlertid EU-kommisjonen den såkalte «Safe Harbour»-avgjørelsen. Denne ordningen innebærer at personopplysninger likevel kan overføres fra EU til selskaper og organisasjoner i USA. Vilkåret er at selskapene frivillig sertifiserer seg i henhold til avgjørelsens prinsipper. Dermed erklæres det at adekvate personvernstandarder skal etterleves.

Ordningen har fått stor oppslutning. I skrivende stund er omtrent 4 400 amerikanske selskaper Safe Harbour-sertifisert, inkludert store IT-selskaper.

Etterdønninger av Snowden-avsløringene

Samtlige av selskapene involvert i PRISM-skandalen som ble rullet opp i forbindelse med Snowden-avsløringene i 2013. Her ble det avdekket at den amerikanske sikkerhetstjenesten, NSA, hadde fått tilgang til informasjon som var overført fra EU-selskaper og organisasjoner til Safe Harbour-sertifiserte selskaper.

I kjølvannet av disse avsløringene ble flere av IT-gigantene klaget inn for brudd på den europeiske personvernlovgivningen, herunder Facebook Ireland Ltd.  Klagen endte opp i storkammer i EU-domstolen, etter henvising fra en irsk domstol. Schrems-saken har blitt karakterisert som en av vår tids største personvernsaker. EU-domstolen avsa dom i saken 6. oktober 2015. Domstolen konkluderte med at Safe Harbour-ordningen må kjennes ugyldig.  Domstolen bygger i stor grad sin konklusjon på den ubegrensede tilgangen NSA har hatt til europeiske personopplysninger overført til amerikanske selskaper, hvilket er ansett for å være et brudd med europeiske personvernregler. 

De siste årene har EU-domstolen markert seg som personvernets vaktbikkje med flere sterke dommer, eksempelvis «retten til å bli glemt»-dommen og avgjørelsen som annullerte datalagringsdirektivet. Schrems-dommen føyer seg inn i rekken, og med en ny personvernsforordning på trappene, er EU igjen i ferd med å plassere seg selv i personvernets høysete. Domstolen stadfester europeiske myndigheters kompetanse til å håndheve europeiske personvernsrettigheter, også når behandlingen av personopplysninger finner sted utenfor Europa.

Avgjørelsens betydning

Schrems-dommen vil få direkte kommersiell betydning for de 4 400 selskapene som er sertifisert under Safe Harbour. I første rekke medfører avgjørelsen at selskapene må se seg om etter andre måter å overføre personopplysninger på. Slike måter finnes. Selskapene må nå forholde seg til mer begrensede grunnlag som samtykke, bruk av EUs standardkontrakter eller ved opprettelse av bindende konsernregler.  Til tross for at flere av alternativene både er tid- og ressurskrevende, er det disse grunnlagene flesteparten av de ikke-europeiske data-eksportørene må forholde seg til. En stopp i informasjonsflyten er derfor ikke sannsynlig. De direkte konsekvensene av dommen er derfor håndterbare, selv om dommen trolig vil bidra til å forsterke inntrykket av Europa som en byråkratisk papirmølle. 

Hvilken praksis europeiske myndigheter legger seg på i den nærmeste fremtid, vil langt på vei avgjøre hvilke skritt som de ulike selskaper må ta, men enkelte av de største selskapene vil muligens måtte se seg nødt til å foreta omfattende omstruktureringer, blant annet ved å opprette europeiske datasentre. Slik omstilling kan være vanskeligere for mindre og mellomstore bedrifter som ikke kan har tilsvarende ressurser å benytte seg av.

Skrevet av partner Espen Sandvik og advokatfullmektig Emilie Veggeland Knudsen.