Risikoen for at ulike lands etterretningsmyndigheter får tilgang til opplysningene er en av risikoene for personvernet ved bruk av digitale tjenester. Denne risikoen er ikke ny, men den har fått større oppmerksomhet i kjølvannet av Schrems II-dommen.
Hvor er jeg i veiledningen?
1 Hvorfor ser vi særlig på risikoen for innhenting til etterretningsformål?
Ved bruk av digitale tjenester er det alltid en risiko for informasjonssikkerhetsbrudd. Hvor stor denne risikoen er avhenger av flere faktorer, slik som sårbarheter og trusselbilde. Når personopplysninger behandles i tjenesten, vil et brudd på informasjonssikkerheten kunne medføre brudd på personopplysningssikkerheten.
Risikoen for innhenting til etterretningsformål er bare en av mange risikoer ved bruk av digitale tjenester. Kjernen i Schrems II var likevel forholdet mellom europeisk personvernlovgivning og amerikansk etterretningslovgivning. Etter Schrems II har virksomheter derfor blitt bevisst at de kan måtte se på risikoen for innhenting til etterretningsformål i flere av sine vurderinger. Dette oppleves som svært krevende. Arbeidsgruppen ser derfor særlig på denne risikoen.
Her mener vi den personvernrettslige risikoen for at etterretningsmyndigheter i et annet land, på bakgrunn av lovgivning eller praksis, får tilgang til personopplysninger, og behandler disse videre på en måte som ikke er i samsvar med kravene etter den europeiske personvernretten. Risikoen for innhenting til etterretningsformål er et svært vidt begrep og konkretiseres i mange av arbeidsgruppens tekster. Vi understreker at vi kun ser på risikoen for innhenting til etterretningsformål i en personvernrettslig kontekst.
Slik arbeidsgruppen ser det, er risikoen for at andre lands etterretningsmyndigheter får tilgang til personopplysninger en sentral del av vurderingen som ved overføring til tredjeland i lys av Schrems II-dommen. Videre er risikoen for innhenting til etterretningsformål noe som kan være relevant i vurderingen av valg av databehandler, jf. personvernforordningen artikkel 32, jf. 28 nr. 1. Arbeidsgruppen legger til grunn at alle land driver med etterretning, og dette er sentralt i begge vurderingene.
For virksomhetene i koordineringsarbeidet er det særlig skytjenester som reiser spørsmål. Risikoen for innhenting til etterretningsformål er derfor vurdert i en personvernrettslig kontekst ved bruk av skytjenester. Fordi risikoen både kan være en viktig del av vurderingen ved valg av databehandler og en del av en overføringsvurdering, ser arbeidsgruppen disse vurderingene i sammenheng flere steder.
2 De rettslige utgangspunktene for arbeidsgruppen
Vi har forsøkt å avklare de rettslige rammene for hvordan risiko for innhenting til etterretningsformål skal vurderes som et ledd i vurderingen ved valg av skytjeneste og i helhetsvurderingen ved overføring av personopplysninger. I dette avsnittet finner du en kort oppsummering av dette, samt lenkene til tekstene.
2.1 Hva er en overføring?
Schrems II gjaldt overføringer etter personvernforordningens kapittel V, men overfører din virksomhet egentlig personopplysninger? Her utdyper vi hva som ligger i overføringsbegrepet. Vi konkluderer med at en overføring forutsetter en faktisk flyt av opplysninger til land utenfor EU/EØS. Videre kan forholdet mellom personvernforordningen artikkel 3 og kapittel V ha betydning.
2.2 Hvilket vern mot etterretning ved bruk av skytjenester har vi etter Grunnloven og EMK?
Her beskriver vi hvilket vern mot innhenting til etterretningsformål norske innbyggere har etter Grunnloven og menneskerettslige forpliktelser slik som EMK artikkel 8. Slik vi ser det, må vernet mot innhenting til etterretningsformål vurderes ut ifra hvilken relasjon det er til landet. Vi stiller opp fire tilfeller:
- Hvilket vern har innbygger i land A mot etterretning fra sitt eget land?
- Hvilket vern har innbygger i land A mot etterretning fra land B når begge er underlagt EMK og personvernforordningen?
- Hvilket vern har innbygger i land A mot etterretning fra tredjeland C ved overføring av personopplysninger til land C, når kun land A er underlagt EMK og personvernforordningen? (Schrems II)
- Hvilket vern har innbygger i land A mot etterretning fra tredjeland C når kun land A er underlagt EMK og personvernforordnignen? (typisk situasjon ved bruk av skytjenester i EU/EØS)
For punkt 1 finnes det mye rettspraksis som kan gi veiledning. For punkt 3 følger det noen føringer av Schrems II. For punkt 2 og 4 anser arbeidsgruppen situasjonen som for usikker til at det er mulig å konkludere.
2.3 Personvernforordningens sentrale bestemmelser for vurdering av etterretningsrisiko
Her beskrives kort de sentrale rettslige utgangspunktene i personvernforordningen for sikkerhetsvurderinger ved valg av skytjenesteleverandører. Vurderingene etter disse bestemmelsene må gjøres uavhengig av om du overfører personopplysninger eller ikke.
Med utgangspunkt i artikkel 32 skal den behandlingsansvarlige og databehandleren sørge for tilstrekkelig sikkerhet ved behandlingen. Hva som er tilstrekkelig sikkerhet, må avgjøres på bakgrunn av en bred vurdering hvor det akseptable sikkerhetsnivået er det som er «egnet med hensyn til risikoen», og hvor «risikoen» må vurderes bredt og konkret. Ved valg av databehandler kan en behandlingsansvarlig kun benytte en databehandler som har gitt «tilstrekkelige garantier» for at de vil gjennomføre «egnede organisatoriske og tekniske tiltak», i samsvar med artikkel 28 nr. 1.
Hvilket risikonivå som er akseptabelt må vurderes konkret. Det vil alltid være en risiko. En behandlingsansvarlig kan derfor ikke legge til grunn at kun eksistensen av en risiko for innhenting til etterretningsformål er uakseptabel. Størrelsen på risikoen er avgjørende. Videre må den sees i sammenheng med øvrige risikoer. Ofte vil det dessverre være slik at løsninger og tiltak som er sikre mot noen typer risiko, har sårbarheter og svakheter som medfører andre typer risiko.
2.4 Hva sier egentlig Schrems II?
Schrems II kan være krevende å lese. Her går vi gjennom noen sentrale deler. Vi skiller særlig på vurderingene gjort av Standard Contractual Clauses (SCC) og vurderingene gjort av Privacy Shield. Forståelsen av dommen som er presentert her er den arbeidsgruppen har lagt til grunn i sine vurderinger.
2.5 Bruk av skytjenester i EU/EØS?
Vi legger til grunn at der dataflyten ved bruk av skytjenester kun skjer innad i EU/EØS skjer det ikke en overføring. Dette kan for eksempel være fordi skytjenesten er satt opp slik at serverne er satt til et land i EU/EØS. Det kan fremdeles være relevant å vurdere risikoen for innhenting til etterretningsformål, men da ikke som ledd i en vurdering etter personvernforordningens kapittel V.
2.6 Oppsummering av relevante rettskilder for overføring av personopplysninger
Dersom du har kommet til at du overfører personopplysninger i henhold til personvernforordningens kapittel V er det mange rettskilder du må vurdere. Her forsøker vi å oppsummere dem, men med god hjelp av Datatilsynets veiledning. Vi peker særlig på forordningens kapittel V, nye Standard Contractual Clauses (SCC), veiledning fra Datatilsynet og det Europeiske Personvernrådet (EDPB). Disse rettskildene sees i lys av det vi har sagt om EMK artikkel 8 og vår tolkning av Schrems II.
3 Hvordan kan du vurdere etterretningsrisikoen?
De rettslige utgangspunktene gir dessverre lite praktisk hjelp til å vurdere etterretningsrisiko som et ledd i vurderingen ved valg av skytjeneste og i helhetsvurderingen ved overføring av personopplysninger. Vi har derfor forsøkt å gi deg ytterligere veiledning. For å gjøre det enklere for deg som skal gjennomføre disse vurderingene ser vi vurderingen etter artikkel 32, jf. 28 nr. 1 i sammenheng med helhetsvurderingen ved overføring av personopplysninger.
4 Praktisk veiledning for enkelte typer opplysninger
Det er noen spørsmål som ofte går igjen ved bruk av skytjenester. Mange av virksomhetene har spørsmål om bruk av verktøy i arbeidssammenheng som medfører at noen opplysninger om de ansatte blir overført til tredjeland, samt spørsmål knyttet til supporttjenester. Her kan du lese mer om våre vurderinger knyttet til disse temaene.
Kontakt
Har du spørsmål eller tilbakemeldinger? Ta kontakt med oss!
E-post: markedsplassen [at] dfo.no (markedsplassen[at]dfo[dot]no)