Hva sier egentlig Schrems II?

Det er vanskelig å forstå hva Schrems II sier. Her klarlegger vi innholdet i dommen.

Hvor er jeg i veiledningen?
Figur som viser en oversikt over veiledningen
Denne figuren viser hvordan vi ser for oss at sidene i veiledningen henger sammen. Leter du etter en spesifikk side, finner du den ved å følge sidene i veiledningen, eller under vår oversikt nederst på hovedsiden.

1         Innledning

Formålet med regler om overføring av personopplysninger til tredjeland er å sikre at vernet som personvernforordningen (pvf.) gir i EU/EØS ikke undergraves når personopplysninger overføres til en mottaker som ikke er bundet av forordningen. Dette kommer blant annet til uttrykk i artikkel 44 i pvf.

Personvernforordningen legger opp til flere forskjellige mekanismer for å lovlig overføre personopplysninger til tredjeland. De ulike mekanismene for overføring har forskjellige tilnærminger for å ivareta rettighetene til den registrerte. Bestemmelsene i kapittel V i pvf. viser et visst hierarki blant mekanismene. Du kan lese mer generelt om de forskjellige overføringsmekanismene på Datatilsynets nettsider.

For å gi litt bakgrunn for Schrems II, vil vi først peke på noen forskjeller mellom overføringsmekanismer før vi går igjennom deler av dommen.

2         Grunnleggende forskjeller mellom overføringsmekanismer

Schrems II Case C-311/18 handler om to forskjellige overføringsmekanismer:

  • Privacy Shield (en såkalt Adequacy Decision jf. pvf art. 45)
  • Standard personvernbestemmelser (Standard Contractual Clauses, forkortet SCC jf. pvf. art. 46).

For å forstå dommen er det viktig å være klar over de grunnleggende forskjellen mellom de to mekanismene: hvordan mekanismene sikrer at den registrertes rettigheter ivaretas, hvem som er ansvarlig for hva og hvordan etterlevelse kan kontrolleres.

2.1        Privacy Shield er en beslutning om tilstrekkelig beskyttelsesnivå tatt av EU-kommisjonen

Privacy Shield er en beslutning om tilstrekkelig beskyttelsesnivå jf. pvf. art 45. EU-Kommisjonen er pliktsubjektet etter art. 45 og har ansvaret for å sikre at personopplysninger som overføres basert på en slik beslutning har et tilstrekkelig vernenivå. Kommisjonens beslutning anses som uttømmende og er bindende. Dette følger av traktaten om den europeiske unions funksjonsmåte (TFEU) artikkel 288 fjerde ledd. En behandlingsansvarlig eller databehandler som overfører personopplysninger basert på art. 45 trenger ikke å foreta en egen vurdering av om vernenivået vil være tilstrekkelig ved overføringen.

Fordi kommisjonens beslutning om tilstrekkelighet er bindende er det som hovedregel ikke mulig for en tilsynsmyndighet til å gå imot Kommisjonens beslutning, siden dette ville undergrave kommisjonens myndighet til å fatte slike beslutninger (Se også den første Schrems-dommen av 6. okt. 2015 C-362/14 avsnitt 52). Tilsynsmyndighetens mulighet for å ivareta den registrertes rettigheter ved for eksempel å pålegge stans av overføringen, er dermed begrenset sammenlignet med andre overføringsmekanismer. 

2.2        Standard Contractual Clauses bidrar til å sikre et tilstrekkelig vernenivå, men er ikke uttømmende

Ved overføring basert på en av mekanismene som nevnes i pvf art. 46, er det den som overfører (behandlingsansvarlig eller databehandler) som er pliktsubjektet og er ansvarlig for å sikre at beskyttelsesnivået som forordningen sikrer ikke undergraves.

Et av instrumentene som bidrar til å sikre et tilstrekkelig beskyttelsesnivå er bruk av standard personvernbestemmelse (Standard Contractual Clauses, SCC). Dette er en standardkontrakt som har til hensikt å forplikte den som mottar opplysninger (en databehandler eller behandlingsansvarlig) til å behandle personopplysningene i henhold til kravene i personvernforordningen.

Instrumentene som nevnt i art. 46 er med på å sikre et godt nok beskyttelsesnivå, men om beskyttelsesnivået er bra nok er blant annet avhengig av hvordan den registrerte kan håndheve sine rettigheter i praksis. Bruk av SCC vil derfor være et mulig utgangspunkt (‘appropriate’ slik det følger av den engelske språkversjonen), men det er ikke nødvendigvis tilstrekkelig for å sikre beskyttelsesnivået i praksis.

Bruk av SCC krever ingen forhåndsgodkjenning av Datatilsynet. Dersom Datatilsynet imidlertid finner at en overføring av personopplysninger basert på SCC i praksis fører til at beskyttelsesnivået ikke er ivaretatt, kan Datatilsynets pålegge stans av overføringen (jf. pvf. art. 58 nr. 2 bokstav j). Dette er en vesentlig forskjell fra Privacy Shield hvor Datatilsynet ikke har slik myndighet.

3         Hva sier Schrems II-dommen?

3.1        Hva vurderer domstolen egentlig?

I Schrems II Case C-311/18 vurderer EU-domstolen flere spørsmål fra High Court of Ireland i en såkalt «Reference for a preliminary ruling». Domstolen i Irland ønsker å høre hva EU-domstolen mener om tolkningen av EU-regelverket før de fortsetter med sin avgjørelse. Domstolen i Irland har mange spørsmål om overføring av personopplysninger til tredjeland og hvordan det sikres at beskyttelsesnivået i forordningen ikke undergraves. Schrems II-dommen er bygget opp med utgangspunkt i disse spørsmålene. På noen punkter behandler EU-domstolen noen av spørsmålene samlet. I det følgende skal vi gå igjennom tre av domstolens vurderinger.

3.2        Den registrerte har krav på et vernenivå som er «essentially equivalent»

EU-domstolen slår fast at utgangspunktet for vernenivået er pvf. artikkel 44. Denne sier at bestemmelsene i pvf. kapittel V «skal få anvendelse for å sikre at det nivået for vern av fysiske personer som garanteres [i personvernforordningen], ikke undergraves» [vår tilpasning]. Dette må igjen leses i lys av Den europeiske unions pakt om grunnleggende rettigheter (EU Charter on Fundametal Rights, forkortet CFR).

Ved bruken av SCC, etablerer domstolen først at beskyttelsesnivået må være ‘essentially equivalent’ av det som kan forventes i EU, jf. pvf. artikkel 44, 46(1) og 46(2)(c) (avsnitt 96). Dette må ses i lys av Charteret (avsnitt 105), og at dette samlet sett innebærer at de registrerte må nytte ‘appropriate safeguards, enforceable rights and effective legal remedies (avsnitt 103).

På bakgrunn av dette konkluderer og oppsummerer EU-domstolen i avsnitt 105 med at vernenivået skal være «a level of protection essentially equivalent to that guaranteed within the European Union by that regulation, read in the light of the Charter.» Domstolen understreker videre at SCCene, mottakeren og mottakerlandets myndigheters tilgang til dataene særlig må vektlegges i vurderingen. Sistnevnte bør sees på bakgrunn av de relevante delene av rettsystemet i mottakerlandet, slik dette på ikke uttømmende måte er angitt i artikkel 45 nr. 2.

3.3        Hvordan vurderer domstolen SCC?

3.3.1        Kort om domstolens vurdering av SCC

Det kan være litt vanskelig å lese domstolens vurdering av SCC. Dette skyldes nok først og fremst at domstolen ikke vurderer hvordan SCC anvendes i en konkret sak. Domstolen vurderer derimot gyldigheten av EU-kommisjonens vedtakelse av SCC. Dette innebærer at det gjøres generelle vurderinger av hva SCC er og skal være, og om SCC kan fungere i praksis.

EU-domstolen gjør sin vurdering av SCC i to deler:

  • EU-domstolen vurderer først om det faktum at SCC er en kontraktsmekanisme som ikke kan binde tredjelandsmyndigheter, gjør at den er ugyldig. I dette har EU-domstolen mange relevante uttalelser som sier noe om hva SCC er, hvem som er pliktsubjekt og hva dette medfører.
  • I den andre delen er det en vurdering av om SCC i praksis gjør det mulig for pliktsubjektet å sørge for at den registrerte får rett beskyttelsesnivå. Dette innebærer en mer konkret vurdering av klausulene i SCC.

I vurderingene sier EU-domstolen også noe om tilsynsmyndighetens rolle ved SCC.

3.3.2        SCC er gyldig selv om den ikke binder tredjelands myndigheter

I den første delen av domstolens vurdering av SCC er spørsmålet om det faktum at SCC som en kontraktsmekanisme ikke kan binde tredjelands myndigheter gjør at den er ugyldig. Dette vurderer domstolen i avsnittene 127 flg., og konkluderer i avsnitt 146-147.

Domstolen forklarer at SCC har en annen natur enn Adequacy Decisions. Ved vedtakelsen av SCC skal ikke EU-kommisjonen nødvendigvis sørge for alle «safeguards» som er nødvendig ved en overføring til tredjeland. Som påpekt ovenfor i punkt 2.2 er ikke SCC nødvendigvis i seg selv uttømmende. SCC som overføringsgrunnlag er et utgangspunkt for å sikre rettighetene til den registrerte ved overføring av personopplysninger til et tredjeland. Det betyr i midlertidig ikke at den i alle tilfeller vil være tilstrekkelig for å ivareta beskyttelsesnivået som den registrerte har krav på. I visse tilfeller kan SCC måtte suppleres med ekstra tiltak for å sørge for at den registrerte får det nødvendige beskyttelsesnivået.

SCC er en kontraktsmekanisme og den skal ikke gå god for et område, land, sektor eller liknende. Formålet med SCC er å sikre kontraktuelle garantier som er like i tredjeland for databehandlere og behandlingsansvarlige som er i EU/EØS.

«It follows that the standard data protection clauses adopted by the Commission on the   basis   of Article46(2)(c)   of   the   GDPR   are   solely   intended   to   provide contractual guarantees that apply uniformly in all third countries to controllers and processors established in the European Union and, consequently, independently of the level of protection guaranteed in each third country.»

Schrems II-dommen avsnitt 133

Når EU-kommisjonen godkjenner SCC har de ikke ansvaret for å sørge for at et bestemt land har et bestemt beskyttelsesnivå. Dette ansvaret påhviler derimot den behandlingsansvarlige eller databehandleren i EU/EØS.

«In so far as those standard data  protection  clauses  cannot,  having  regard  to  their  very  nature,  provide guarantees beyond a contractual obligation to ensure compliance with the level of protection required under EU law, they may require, depending on the prevailing position in a particular third country, the adoption of supplementary  measures by the controller in order to ensure compliance with that level of protection»

Schrems II-dommen avsnitt 133

Den behandlingsansvarlige eller databehandleren har altså ansvar for å sørge for at overføringen ivaretar et riktig beskyttelsesnivå for den registrerte. Det kan være forhold ved landet det overføres til som gjør det nødvendig å supplere SCC med tiltak for å sikre beskyttelsesnivået til den registrerte.

«It is therefore, above all, for that controller or processor to verify, on a case-by-case basis  and,  where  appropriate,  in  collaboration with  the  recipient  of  the  data, whether  the  law  of  the  third  country  of  destination  ensures  adequate  protection, under  EU  law,  of  personal  data  transferred  pursuant  to  standard  data  protection clauses, by providing,  where necessary, additional safeguards to those offered by those clauses»

Schrems II-dommen avsnitt 134

Ved bruk av SCC påhviler det den behandlingsansvarlige eller databehandleren et ansvar om å foreta en konkret helhetsvurdering. Her må det vurderes om SCC i seg selv er tilstrekkelig for å sikre beskyttelsesnivået, eller om den må suppleres med ekstra tiltak. Beskyttelsesnivået er altså at det skal være «essentially equivalent» til den den registrerte har krav på i EU/EØS.

Det faktum at SCC er en kontraktsmekanisme som ikke kan binde myndighetene i et tredjeland gjør den ikke ugyldig, nettopp fordi det er opp til den behandlingsansvarlige eller databehandleren å vurdere og eventuelt supplere SCC med tiltak som sikrer et tilstrekkelig beskyttelsesnivå (avsnitt 136).

3.3.3        Har SCC mekanismer som i praksis gjør det mulig å sikre rettene til den registrerte?

I den andre vurderingen går EU-domstolen gjennom SCC for å se om den har slike mekanismer at den i praksis kan sikre rettighetene til den registrerte (avsnitt 137).

På bakgrunn av denne problemstillingen går EU-domstolen i avsnitt 137 flg. grundig igjennom relevante deler av SCC for å se om den har slike mekanismer. På bakgrunn av sine vurderinger, konkluderer domstolen i avsnitt 148 og 149 med at SCC gir slike effektive mekanismer. Dermed er SCC i seg selv fortsatt gyldig.

3.3.4        Hva er tilsynsmyndighetenes rolle?

Ved overføring av personopplysninger til tredjeland er det viktig at den registrerte kan håndheve sine rettigheter. Tilsynsmyndigheter har en viktig rolle i dette.

Dersom den behandlingsansvarlige eller databehandleren ikke klarer å sikre et tilstrekkelig beskyttelsesnivå ved bruk av SCC, for eksempel fordi det ikke er iverksatt tilstrekkelig ‘additionial safeguards’, minner EU-domstolen om at tilsynsmyndigheter har rett og plikt til å stanse en overføring jf. pvf. art. 58 nr. 2 bokstav f og j.  (avsnitt 135). Hvorvidt dette er tilfellet, må hvile på en helhetsvurdering:

"the competent supervisory authority is required (… ) to suspend or prohibit such a transfer if, in its view and in light of all the circumstances of that transfer, those clauses are not and cannot be complied with in that third country and the protection of the data transferred that is required by EU law cannot be ensured by other means"

Schrems II-dommen avsnitt 146 [våre tilpasninger]

3.4        Hvordan vurderer domstolen Privacy Shield?

EU-domstolen vurderer om EU-kommisjonens beslutning om at Privacy Shield sikrer et tilstrekkelig vernenivå ved overføring til USA er korrekt.

Privacy Shield er en type “adequacy decision”, jf. pvf. artikkel 45. Det innebærer at EU-kommisjonen blant annet må undersøke tredjelandets lovgivning for å se om den registrerte gis et vernenivå som er «essentially equivalent» til det som gis i EU/EØS (avsnitt 162).

Amerikansk etterretningslovgivning er vidtrekkende og gir myndighetene i USA tilgang til personopplysninger til europeiske borgere. Dette gjør at det kan stilles spørsmål ved EU-kommisjonens beslutningen om at USA har et tilstrekkelig vernenivå ved bruk av Privacy Shield. EU-domstolen vurderer Privacy Shield-beslutningen. Metoden som domstolen legger til grunn kommer frem i avsnitt 169 til 199.

Først etablerer domstolen hvilke rettigheter som berøres i denne saken og konkluderer at art. 7 og 8 i CFR er av relevans (avsnitt 169). Behandling av personopplysninger påvirker disse rettighetene (avsnitt 170). For å vurdere om det har skjedd et inngrep med rettighetene, konstaterer domstolen i avsnitt 171 at selve eksistensen av lovgivning i USA som muliggjør at amerikanske etterretningstjenester får tilgang til personopplysninger, er nok til konstatere et inngrep. For å sikre at inngrepet ikke anses som en krenkelse, må inngrepsvilkårene i art. 52 CFR være oppfylt (avsnitt 174). Domstolen forklarer først hvilke inngrepsvilkår som er relevante og fokuserer på kravene om at lovgivningen som anses til å utgjøre et inngrep må være klar og presis. Den må i tillegg være proporsjonal (avsnitt 173 til 176). 

Domstolen konstaterer at lovgivningen som gir amerikanske etterretningstjenester tilgang til opplysninger ikke er tilstrekkelig klar og avgrenset. Lovgivningen har heller ikke tilstrekkelige minimumsgarantier (avsnitt 180).

Videre vurderer domstolen hvorvidt det er domstolskontroll av etterretningstjenesters tilgang til opplysninger. Domstolen bemerker her at kontrollen er i form av årlige forhåndsgodkjenninger for bruk av visse overvåkningsprogrammer, heller enn en vurdering av om personer er et rettmessig mål for overvåkningen (avsnitt 179).

Domstolen mener samlet sett at den amerikanske lovgivningen som utgjør inngrepet i CFR art. 7 og 8 ikke ivaretar de minimumsgarantier som EUs lovgivning krever, og dermed ikke oppfyller prinsippet om proporsjonalitet (avsnitt 184 og 185).

Videre vurderer domstolen hvorvidt Privacy Shield sikrer håndhevbare rettigheter og effektive rettsmidler for den registrerte jf. CFR art. 47 (avsnitt 186). Her vurderer blant annet domstolen blant annet ordningen med å klage til en ombudsperson (avsnitt 190 til 196). Domstolen mener ordningen ikke ivaretar rettighetene til den registrerte på en god nok måte siden den ikke sikrer rettslig bindende avgjørelser (avsnitt 197).

Basert på denne vurderingen, kommer domstolen til at EU-kommisjonens beslutning om at Privacy Shield sikrer et tilstrekkelig beskyttelsesnivå ikke er gyldig siden den ikke etterkommer kravene i pvf. art. 45 nr. 1 sett i lys av CFR art, 7, 8 og 47.

3.5        Oppsummert - Schrems II i et nøtteskall

Litt forenklet er det altså to hovedpoenger i Schrems II og de kan oppsummeres slik:

Figuren viser at situasjonen etter Schrems II er at det kan overføres personopplysninger. Det kan ikke sies at alltid er greit. Det kan heller ikke sies at det aldri er greit.
  1. Privacy Shield er ugyldig på grunn av amerikansk etterretningslovgivning. Overføringer av personopplysninger til USA er derfor ikke (nesten) alltid OK.
  2. Standard Contractual Clauses er fortsatt gyldig. Overføringer til USA er derfor ikke aldri OK. Overføring kan skje dersom den registrerte får et vernenivå som er «essentially equivalent» til de den registrerte har i Europa.

4         Det må foretas en helhetsvurdering ved overføringer med SCC

For å forstå hvordan Schrems II skal anvendes i praksis, er det nødvendig å se dommen i lys av de overordnede menneskerettslige og konstitusjonelle rammer. Det er nemlig slike overordnede rammer som EU-domstolen vurderer i Schrems II.

Når uttalelsen fra Schrems II sammenholde med de menneskerettslige rammene, kan det oppsummeringsvis sies at:

  • For det første er utgangspunktet at den registrerte har krav på et beskyttelsesnivå som er «essentially equivalent» til den den registrerte har i EU/EØS.
  • For det andre innebærer dette at inngrepet som overføringen medfører i den registrertes rettigheter ikke må gå lengre enn det som er «necessary in a democratic society». Dette betyr blant annet at det må foretas en proporsjonalitetsvurdering.
  • For det tredje sier EU-domstolen sier at en overføring basert på SCC må vurderes i det konkrete tilfellet.
  • For det fjerde sier EU-domstolen at det kan være behov for å supplere SCC med ekstra tiltak i ved den konkrete overføring.
  • For det femte sier domstolen at tilsynsmyndighetene ved sin vurdering av om overføringen bør stanses må se hen til «in the light of alle the circumstances of that transfer».

Etter vårt syn gir dette samlet uttrykk for at virksomhetene må foreta en helhetsvurdering av den konkrete overføringen. Arbeidsgruppen gir i her støtte til hvordan en helhetsvurdering av den konkrete overføring kan gjennomføres.

Oppdatert: 12. september 2023

Kontakt

Gi oss tilbakemelding!

Har du spørsmål eller tilbakemeldinger? Ta kontakt med oss!

E-post: markedsplassen [at] dfo.no (markedsplassen[at]dfo[dot]no)

Fant du det du lette etter?

Nei

Det beklager vi!

Tilbakemeldingen din er anonym og vil ikke bli besvart. Vi bruker den til å forbedre nettsidene. Hvis du vil ha svar fra oss, ta kontakt på telefon, e-post eller kundesenter på nett.