Lov&Data

2/2022: Artikler
09/09/2022

Hvilken betydning har det at databehandler har et morselskap i et ikke-godkjent tredjeland? 

Av partner/advokatfullmektig Hanne Pernille Gulbrandsen, senior Manager/advokatfullmektig Marianne Lie Howard, senior Manager/advokat Eirin Hauvik, Deloitte Advokatfirma.

I 2020 avsa EU-domstolen den prinsipielle og mye omtalte Schrems II-dommen (Sak C-311/18) om overføring av personopplysninger til land utenfor EU/EØS. Dommen har skapt en rekke praktiske utfordringer for både små og store virksomheter over hele verden. I realiteten innebærer dommen at personopplysninger vanskelig kan overføres lovlig til USA, og at behandlingsansvarlige må foreta konkrete vurderinger av hvorvidt destinasjonslandets lokale regelverk og praksis kan undergrave det beskyttelsesnivået som følger av GDPR.(1)Direktiv 2016/679 EUROPAPARLAMENTS- OG RÅDSFORORDNING (EU) 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger samt om oppheving av direktiv 95/46/EF (generell personvernforordning) [PVF, GDPR] gjennomført i personopplysningsloven (LOV-2018-06-15-38)

Det har i lys av dette også oppstått et spørsmål om det er tillatt å overlate behandling til et europeisk selskap som utfører all behandling av personopplysninger i EU/EØS når dette selskapet har en eier («morselskap») som er lokalisert i et ikke-godkjent tredjeland og dermed er underlagt lovgivning som kan medføre at også det europeiske selskapet kan bli pålagt å utlevere personopplysninger til tredjelandets myndigheter.

Særregler for overføring av personopplysninger ut av EU/EØS

All overføring av personopplysninger til et land utenfor EU/EØS, som GDPR omtaler som «tredjestater», forutsetter at vilkårene i GDPR kapittel V er oppfylt.(2) GDPR art. 44 Innenfor EU/EØS er alle medlemslandene forpliktet til å følge GDPR, slik at personopplysninger fritt kan flyte innenfor EU/EØS uten krav til overføringsgrunnlag. Overføring av personopplysninger ut av EU/EØS, krever imidlertid et overføringsgrunnlag for å være lovlig og for å sikre at personvernet i GDPR ikke undergraves.

EU-kommisjonen har gjennom såkalte adekvansbeslutninger anerkjent at noen tredjeland har et tilstrekkelig nivå for vern av personopplysninger. Overføringer til et slikt forhåndsgodkjent land, er sammenlignbart med overføringer til land innenfor EU/EØS,(3)GDPR art. 45 og det vil da ikke være krav om et særskilt overføringsgrunnlag, plikt til å foreta egne vurderinger om beskyttelsesnivået eller få godkjennelse fra Datatilsynet. Per i dag har 14 land fått en beslutning om tilstrekkelig beskyttelsesnivå.(4)https://www.datatilsynet.no/rettigheter-og-plikter/virksomhetenes-plikter/overforing-av-personopplysninger-ut-av-eos/omrader-med-tilstrekkelig-beskyttelsesniva/

Europeiske selskaper som har morselskap i ikke-godkjente tredjeland

Etter Schrems II har det vært hyppig diskutert hvilken betydning det har at et europeisk selskap som utelukkende skal behandle personopplysninger i EU/EØS, har et morselskap som er lokalisert i et ikke-godkjent tredjeland og som er underlagt lovgivning som kan bety at det europeiske datterselskapet kan bli pålagt å utlevere personopplysninger. En slik utlevering fra et europeisk selskap kan være i strid med både GDPR og eventuell inngått databehandleravtale.

Hvilken betydning har dette i praksis? Må man avslutte alle slike databehandleroppdrag selv om kontrakt og databehandleravtale stadfester at det ikke skal skje en overføring av personopplysninger? Eller åpner personvernregelverket for en risikobasert tilnærming på dette området?

Grunnleggende forpliktelser hos den behandlingsansvarlige

Det er en forutsetning etter GDPR at en databehandler bare skal behandle personopplysningene på dokumenterte instrukser fra den behandlingsansvarlige.(5)GDPR art. 28 (3) Dette betyr i praksis at dersom man som behandlingsansvarlig ikke uttrykkelig, har gitt databehandleren tillatelse til å overføre personopplysninger til tredjeland, skal databehandleren ikke gjennomføre slik overføring.(6) GDPR art. 28 (3) Utfordringen oppstår imidlertid dersom databehandleren blir pålagt å utlevere personopplysninger i henhold til lovgivning i ikke-godkjente tredjeland, og blir stilt overfor dilemmaet med å velge hvorvidt en slik forespørsel skal etterkommes eller om databehandleren skal innrette seg etter GDPR, kontrakt og databehandleravtale.

GDPR legger til grunn at en databehandler som handler i strid med instruksjoner fra den behandlingsansvarlige, selv vil bli ansett som behandlingsansvarlig for en overføring i strid med instrukser som er gitt.(7) GDPR art. 28 (10) Slik sett kunne man tenkt at det vil være databehandlerens problem å sikre at utleveringen og overføringen ut av EU/EØS er lovlig. Så enkelt er det likevel ikke, da den behandlingsansvarlige har en grunnleggende forpliktelse til å sørge for at regelverket følges når personopplysninger behandles.(8) GDPR art. 5 Etterlevelse skal kunne «påvises» og dokumenteres.(9) GDPR art. 5 Den behandlingsansvarlige skal kun ta i bruk databehandlere som gir tilstrekkelige garantier for egnede tekniske og organisatoriske tiltak som sikrer at behandlingen oppfyller kravene i GDPR.(10) GDPR art. 28 (1) Dette ansvaret innebærer blant annet at både databehandleren og den aktuelle behandlingen må risikovurderes for å sikre at personopplysningene blir tilstrekkelig beskyttet.(11) GDPR art. 32 Dette må skje før kontrakt inngås og før behandlingen starter. Det må blant annet vurderes om det er risiko for at personopplysningene kan bli gjort tilgjengelige for uvedkommende.(12) GDPR art. 32 Dette betyr i praksis at behandlingsansvarlig ikke kan se bort fra risiko ved at databehandlerens morselskap er underlagt lovgivning som kan medføre at databehandleren kan bli pålagt av mor å utlevere personopplysninger.(13)Datatilsynet; Overføring av personopplysninger ut av EØS | kapittel 7 Opplysninger utelukkende behandlet i EØS

Risikovurdering knyttet til morselskapsproblematikk

GDPR har en risikobasert tilnærming. Ved avgjørelsen av hvilken risiko som foreligger og hvilke tekniske og organisatoriske tiltak som er egnet til å ta ned risikoen, skal den behandlingsansvarlige ta utgangspunkt i behandlingens art, omfang, formål og sammenhengen den utføres i.(14)GDPR art. 24 og 32 (2) Ved vurderingen av hva som er riktig beskyttelses – og sikkerhetsnivå skal det særlig tas hensyn til risikoene forbundet med ikke-autorisert utlevering av eller tilgang til de aktuelle personopplysningene(15)GDPR art.32. Den behandlingsansvarliges vurdering av om en databehandlers garantier er tilstrekkelige, er en risikovurdering som vil avhenge av typen behandling som er betrodd databehandleren.(16)Guidelines 07/2020 on the concepts of controller and processor in the GDPR, punkt 96.

Risikovurderinger er helhetsvurderinger hvor en rekke ulike elementer veies mot hverandre. Det er ved eierskapsproblematikk naturlig å starte med å undersøke hvorvidt morselskapet faktisk kan være bundet av inngripende lovgivning. Her kan man be om databehandlerens egne vurderinger, men disse bør ikke være avgjørende alene.(17)Datatilsynet; Overføring av personopplysninger ut av EØS | kapittel 6 Tilleggskrav (Schrems II) Dersom man kommer til at databehandleren kan bli pålagt å utlevere personopplysninger på bakgrunn av inngripende lovgivning i tredjelandet hvor morselskapet er etablert, må den behandlingsansvarlige også risikovurdere dette aspektet.(18)GDPR art. 32 Relevante momenter vil blant annet være hvilke personopplysninger det er tale om, formålet med behandlingen og tjenesten, hvilken risiko en utlevering vil medføre for de registrerte, og hvilke tekniske, organisatoriske og kontraktuelle tiltak som vil iverksettes for å forhindre utlevering og redusere risiko.

Schrems II-dommen er kritisert for at den ikke åpner for en risikobasert tilnærming. Det er viktig å være oppmerksom på at når det gjelder eierskapsproblematikk, stiller dette seg annerledes. Det at regelverket åpner for en risikobasert tilnærming i denne sammenheng ble tydeliggjort i en avgjørelse fra den franske forvaltningsdomstolen Conseil d’Etat i mars 2021.(19) Conseil d’Etat (2021) Saken gjaldt om personopplysninger som ble behandlet ved booking av Covid-19-vaksinasjoner var tilstrekkelig beskyttet på plattformen som ble driftet av AWS Sarl; et datterselskap av amerikanske Amazon Web Services (AWS). Klageren, fagforeninger i helsesektoren, hevdet at det ble behandlet sensitive personopplysninger og at det innebar et brudd på personvernrettighetene at personopplysninger ble behandlet i et system driftet av et datterselskap av det amerikanskbaserte AWS.

For det første påpekte Conseil d’Etat at det i dette tilfellet ikke skjedde en overføring av personopplysninger slik overføringsbegrepet skal forstås etter GDPR kapittel V. Dette fordi behandlingen skjedde i Europa av et europeisk selskap. De anså det imidlertid som en risiko at amerikanske myndigheter kunne få tilgang til personopplysninger på bakgrunn av det amerikanske eierskapet. Domstolen kom likevel frem til at personopplysningene ikke var sensitive under begrunnelse av dette kun gjaldt navn på personer og deres tidspunkt for vaksinering, og at beskyttelsesnivået var tilstrekkelig på bakgrunn av iverksatte tiltak. Av iverksatte tiltak ble det vist til at personopplysningene ville bli slettet etter tre måneder, det fantes sikkerhetsmekanismer (kryperting) som ville forhindre tredjeparter i å kunne lese data, og partene hadde avtalt en egen prosess som skulle følges dersom AWS Sarl skulle få innsynsbegjæringer fra utenlandske myndigheter. Her skulle alle forespørsler som ikke var i tråd med europeisk regelverk bestrides.

Selv om dommen ikke kan gis generell rekkevidde, underbygger den likevel forståelsen av at der databehandler har avgrenset behandlingen til EU/EØS, vil betydningen av eierskap og muligheter for utlevering til offentlige myndigheter på bakgrunn av dette, kunne avgjøres gjennom en risikovurdering av den konkrete databehandleren. Som del av disse vurderingene har det vært tatt til orde for at det bør undersøkes i hvilken grad databehandler og morselskapet tidligere har mottatt begjæring om utlevering av personopplysninger, hvilke personopplysninger som ble etterspurt og i hvilken grad personopplysningene ble utlevert. Videre bør det vurderes hva databehandler selv uttrykker om hvordan pålegg om utleveringer håndteres. Det må også vurderes om databehandler har iverksatt organisatoriske og tekniske tiltak for å hindre at myndigheter i ikke-godkjente tredjeland kan få tilgang.

Man bør imidlertid være oppmerksom på at det også er avsagt en avgjørelse som gir utrykk for at det at databehandler kan bli pålagt å utlevere personopplysninger, er å anse som en overføring. I desember 2021 kom den tyske forvaltningsdomstolen Wiesbaden Administrative Court til at Rhine-Main University of Applied Sciences måtte slutte å bruke et cookie-samtykkeverktøy fordi det overfører personopplysninger til et selskap som har eiere i USA. Opplysningene ble opplyst å være lagret i EU og avtalen skal ha vært inngått med det europeiske tilknyttede selskapet. Domstolen skal ifølge IAPP(20) IAPP (2021) aldri ha vurdert hvorvidt en overføring faktisk finner sted, men de formidler at domstolen går langt i å si at så lenge mottaker av personopplysningene formelt kan bli forespurt om utlevering av personopplysninger fra myndigheter utenfor EU, må det regnes som en overføring. Denne tilnærmingen er annerledes enn European Data Protection Board (EDPB) sin definisjon av hva en “overføring” er. Her viser ingen av eksemplene til EDPB knyttet til overføring, at personopplysningene fysisk fortsatt forblir i EU.(21) EDPB (2021)

Dersom eksisterende tiltak gjør behandlingsansvarlig trygg på at risikoen for at myndigheter i ikke-godkjente tredjeland får tilgang til personopplysningene er liten, sammenlignet med den nytten behandlingsansvarlig får av den aktuelle behandlingen, taler dette for at risikoen ved å bruke en databehandler med morselskap i et ikke-godkjent tredjeland kan aksepteres.

Det vil være særlig viktig at alle risikovurderinger knyttet til databehandleren og behandlingen dokumenteres. Slike vurderinger er ikke en engangsøvelse som er lett å gjennomføre. Her må det ofte benyttes flere ressurser med ulike kompetanser, og vurderingene som gjelder lokal lovgivning i ikke-godkjente tredjeland, kan være spesielt krevende.

Kontraktsvilkår som tillater overføring til ikke-godkjente tredjeland

Som nevnt skal databehandleren bare behandle personopplysningene basert på dokumenterte instrukser fra den behandlingsansvarlige, og slik kan det settes forbud mot overføring til ikke-godkjente tredjeland i partenes databehandleravtale. Imidlertid blir behandlingsansvarlig ofte møtt med standardvilkår som tar forbehold om at nettopp slik overføring kan skje, og hvor det oppleves å være lite forhandlingsrom.

For slike tilfeller vil det allerede ved kontraktsinngåelse være stadfestet at overføring er en reell mulighet som behandlingsansvarlig også har samtykket til på forhånd. Dette reiser både behovet for å fastslå hvem av partene som vil være behandlingsansvarlig for en slik overføring, og dersom databehandleren skal anses som behandlingsansvarlig for overføringen; hvilket behandlingsgrunnlag den behandlingsansvarlige kunden har for å tillate dette ettersom utlevering av personopplysninger også krever et gyldig behandlingsgrunnlag.(22) Datatilsynet; Overføring av personopplysninger ut av EØS | kapittel 7 Opplysninger utelukkende behandlet i EØS I praksis betyr dette at den behandlingsansvarlige kunden må identifisere det gyldige behandlingsgrunnlaget for at kontraktsinngåelse og benyttelse av databehandleren skal være i tråd med personvernregelverket.

Dersom det er særlige kategorier av personopplysninger som behandles, kan dette bli særlig utfordrende fordi behandlingen da også vil kreve at tilleggsvilkår for å behandle slike personopplysninger er oppfylte, og disse er betraktelig snevrere.(23) GDPR art. 9

Hva kan vi oppsummere med?

Det innebærer en risiko for en ulovlig utlevering å benytte en databehandler som utelukkende skal behandle personopplysninger i EU/EØS dersom morselskapet er etablert i et ikke-godkjent tredjeland og underlagt lovgivning som kan innebære pålegg om utlevering av personopplysninger. Det må i slike tilfeller foretas en dokumentert risikovurdering som hensyntar typen personopplysninger som behandles, risiko for personvernet, formålet med tjenesten, hvilke tekniske og organisatoriske tiltak som vil bli innført, hvordan forholdet skal kontraktreguleres mellom partene, og hvordan databehandleren håndterer henvendelser fra myndigheter. Særlig varsomhet bør utvises dersom man som behandlingsansvarlig i kontrakt samtykker til at slik utlevering kan skje, uten at roller, ansvar og behandlingsgrunnlag er vurdert.

Kilder:

  • Conseil-etat.fr/ (2021). URL: The urgent applications judge does not suspend the partnership between the Ministry of Health and Doctolib for the management of COVID-19 vaccination appointments (conseil-etat.fr) Hentet 2. mai 2022

  • Direktiv 2016/679 EUROPAPARLAMENTS- OG RÅDSFORORDNING (EU) 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger samt om oppheving av direktiv 95/46/EF (generell personvernforordning) [PVF, GDPR]

  • European Data Protection Board (EDPB) “Guidelines 05/21 on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR” (2021) Hentet 14. mars 2022

  • European Data Protection Board (EDPB) “Guidelines 07/2020 on the concepts of controller and processor in the GDPR Version 2.0 Adopted on 07 July 2021” Hentet 14. mars 2022.

  • International Association of Privacy Professionals (IAPP) v/Daniel Felz og Peter Swire, “New EU data blockage as German court would ban many cookie management providers” (2021) New EU data blockage as German court would ban many cookie management providers (iapp.org) Hentet 14. mars 2022

  • Sak C-311/18, CJEU, Data Protection Commissioner v Facebook Ireland Ltd, Maximillian Schrems, ECLI:EU:C:2020:559

  • Det norske Datatilsynet URL: https://www.datatilsynet.no/rettigheter-og-plikter/virksomhetenes-plikter/overforing-av-personopplysninger-ut-av-eos/omrader-med-tilstrekkelig-beskyttelsesniva/ Hentet 20.05.2022

  • Det norske Datatilsynet URL: https://www.datatilsynet.no/rettigheter-og-plikter/virksomhetenes-plikter/overforing-av-personopplysninger-ut-av-eos/personopplysninger-utelukkende-behandlet-i-eos/ Hentet 20.05.2022

Noter

  1. Direktiv 2016/679 EUROPAPARLAMENTS- OG RÅDSFORORDNING (EU) 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger samt om oppheving av direktiv 95/46/EF (generell personvernforordning) [PVF, GDPR] gjennomført i personopplysningsloven (LOV-2018-06-15-38)
  2. GDPR art. 44
  3. GDPR art. 45
  4. https://www.datatilsynet.no/rettigheter-og-plikter/virksomhetenes-plikter/overforing-av-personopplysninger-ut-av-eos/omrader-med-tilstrekkelig-beskyttelsesniva/
  5. GDPR art. 28 (3)
  6. GDPR art. 28 (3)
  7. GDPR art. 28 (10)
  8. GDPR art. 5
  9. GDPR art. 5
  10. GDPR art. 28 (1)
  11. GDPR art. 32
  12. GDPR art. 32
  13. Datatilsynet; Overføring av personopplysninger ut av EØS | kapittel 7 Opplysninger utelukkende behandlet i EØS
  14. GDPR art. 24 og 32 (2)
  15. GDPR art.32
  16. Guidelines 07/2020 on the concepts of controller and processor in the GDPR, punkt 96.
  17. Datatilsynet; Overføring av personopplysninger ut av EØS | kapittel 6 Tilleggskrav (Schrems II)
  18. GDPR art. 32
  19. Conseil d’Etat (2021)
  20. IAPP (2021)
  21. EDPB (2021)
  22. Datatilsynet; Overføring av personopplysninger ut av EØS | kapittel 7 Opplysninger utelukkende behandlet i EØS
  23. GDPR art. 9
Eirin Helen Hauvik
Eirin Hauvik, portrett
Hanne Pernille Gulbrandsen
Hanne Gulbrandsen, portrett
Marianne Lie Howard
Marianne Howard, portrett