EU-domstolen underkjenner det amerikanske personvern-regimet

EU domstolen avsa den 16. juli 2020 en prinsipiell dom om overføring av personopplysninger til tredjeland, herunder USA. En viktig mekanisme for overføring av personopplysninger til USA – Privacy Shield-sertifisering – er kjent ugyldig. Kjernen i saken er beskyttelse av personvernet til europeiske borgere og amerikanske overvåkningslover som gir myndighetene tilgang til opplysninger. Enkelte omtaler avgjørelsen som en slags «privacy trade war» mellom EU og USA siden EU domstolen ha lagt til grunn at personvernet ikke vil være tilstrekkelig sikret i USA gjennom Privacy Shield ordningen. 

Personopplysninger kan ikke lenger overføres til USA med grunnlag i EUs Privacy Shield-ordning. I tillegg tydeliggjøres pliktene behandlingsansvarlige og databehandlere har når de bruker EUs standardkontrakter for dataoverføringer til tredjeland, dvs. land utenfor EØS.

Saken har sin bakgrunn i et krav fra Maximillian Schrems om å stoppe overføring av hans personopplysninger fra Facebook Ireland til Facebook Inc, i USA. 

Overføringer av personopplysninger til land utenfor EØS forutsetter grunnlag i Personvernforordningen (GDPR). Det eksisterer ulike muligheter, hvor de vanligste er EUs standard personvernkontrakter (såkalte «Standard Contractual Clauses»), bindende virksomhetsregler for konsernselskap og EU-kommisjonens beslutning om et tredjelands tilstrekkelige beskyttelsesnivå, jf. artikkel 45. Det kanskje viktigste eksempelet på sistnevnte grunnlag er beslutningen om å godkjenne amerikanske bedrifter som er tilsluttet EU-US Privacy Shield for å ha tilstrekkelig beskyttelsesnivå.

I sin avgjørelse vurderer domstolen blant annet hva som ligger i kravene til «tilstrekkelig beskyttelsesnivå» i art. 45 og «nødvendige garantier» i art. 46. Domstolen legger til grunn at disse garantiene skal være av en slik art at de sikrer at det gjelder et beskyttelsesnivå for personopplysningene som i det vesentlige svarer til det nivå som er sikret i EU.

EU domstolen konkluderer med at beskyttelsen som sikres gjennom EU-US Privacy Shield var utilstrekkelig, primært grunnet amerikanske myndigheters overvåkingsadgang og EU-borgeres manglende mulighet til rettsmidler mot amerikanske selskap under ordningen. Dermed er EU-kommisjonens EU-US Privacy Shield-beslutning ikke lenger et gyldig overføringsgrunnlag. Det er et stort antall amerikanske selskaper som er sertifisert under ordningen, blant annet Facebook Inc. Overføring til USA som er basert på denne sertifiseringen må derfor opphøre. 

For det første påpekte domstolen at amerikansk sikkerhetslovgivning ikke fastsatte tilstrekkelige retningslinjer for når personvernprinsippene kunne settes til side, og dermed ikke var begrenset til det som var nødvendig. Dette ble ansett i strid med kravet til proporsjonalitet i EUs Charter of Fundamental Rights art. 52 (1). Mer konkret uttalte domstolen i avsnitt 184:

«It follows therefore that neither Section 702 of the FISA, nor E.O. 12333, read in conjunction with PPD 28, correlates to the minimum safeguards resulting, under EU law, from the principle of proportionality, with the consequence that the surveillance programmes based on those provisions cannot be regarded as limited to what is strictly necessary.»

For det andre la domstolen vekt på EU-borgernes manglende mulighet til å få håndhevet sine rettigheter, noe som ikke var i overenstemmelse med kravet til et effektivt rettsmiddel i EUs Charter of Fundamental Rights art. 47:

«…neither PPD 28 nor E.O. 12333 grants data subjects rights actionable in the courts against the US authorities, from which it follows that data subjects have no right to an effective remedy»

I tillegg ble den eksisterende ombudsmann-mekanismen vurdert som mangelfull. 

Hva gjelder EUs standardkontrakter fant retten at disse generelt sett er gyldige. Behandlingsansvarlige bedrifter og databehandlere plikter imidlertid å undersøke beskyttelsesnivået personopplysningene vil få i tredjelandet – dataoverføringen er avhengig av at beskyttelsen er tilnærmet på EU nivå. Denne undersøkelsesplikten gjelder for hver enkelt dataoverføring.
At EU-domstolen fastholder at det påhviler tilsynsmyndigheter og behandlingsansvarlige å undersøke om personvernet ivaretas ved bruk av standardkontraktene, tilsier en skjerpet aktsomhetsplikt. Virksomheter som ønsker å overføre personopplysninger til tredjeland, herunder USA, basert på standardkontraktene, må nå vurdere blant annet nasjonale sikkerhetsmyndigheters mulighet til innsyn i opplysningene og statens respekt for menneskerettighetene.

Hvordan selve vurderingen skal foretas er fremdeles uklart, men det er grunn til å bemerke at virksomhetene bør se hen til de hensynene som er opplistet i art. 45 (2) som benyttes av EU-kommisjonen ved vurderingen av om tredjeland har et tilstrekkelig beskyttelsesnivå. I tillegg vil det trolig være relevant å ta hensyn til hvorvidt det er tale om overføring av særlige kategorier av personopplysninger og de sikkerhetstiltak som er iverksatt.  Det kan imidlertid neppe gis en uttømmende liste av relevante momenter, da vurderingen nødvendigvis må foretas konkret i hvert enkelt tilfelle.

Den 20. juli publiserte det Europeiske personvernrådet en foreløpig uttalelse om dommen. Det fremgår blant annet i denne at de europeiske tilsynene vil foreta en nærmere analyse av dommen, med henblikk på å gi en mer konkret veiledning for overføring av personopplysninger fra EU til tredjeland.

Det er sannsynlig at overføringer til land uten tilstrekkelig beskyttelsesnivå eller lovlige overføringsmekanismer kan føre til erstatningsansvar og sanksjoner på lik linje med andre brudd på GDPR. Med tanke på de vidtgående konsekvensene dette kan få for virksomheter som overfører personopplysninger, forventes en videre avklaring i nærmeste fremtid.

Datatilsynet har varslet at de vil komme med ytterligere veiledning.