Nyheter

Europa gjeninnfører datamuren

EU-domstolens underkjennelse av Safe Harbour-avtalen fra 2000 påvirker ikke bare amerikanske selskaper, men får også konsekvenser for norske aktører, skriver Wiersholms advokater Rune Opdahl og Ørjan N. Skår i denne kronikken i DN i dag.

EU har siden 90-tallet hatt en felles regulering av persondata. Dette har muliggjort fri flyt av data innenfor EØS. Samtidig ble det etablert en usynlig datamur. EUs regulering gjorde det ulovlig å overføre persondata til land utenfor EØS fordi de ikke hadde lover som ga et betryggende personvern.

For å myke opp EU-reglenes proteksjonisme og for å legge til rette for handel med USA, etablerte Europakommisjonen og det amerikanske handelsdepartementet Safe Harbor-avtalen i 2000. Avtalen gjorde det lovlig å overføre persondata til amerikanske selskaper som var Safe Harbor-sertifisert. Sertifiseringen krevde kun en selvregistrering, hvor selskapene erklærte at de ville etterleve syv enkle Safe Harbor-prinsipper og en FAQ. Over 3000 selskaper hadde per 2015 sertifisert seg, blant annet Google, Microsoft, Facebook og Apple.

En kritisert ordning

Safe Harbor-ordningen har lenge vært kritisert. Den stiller beskjedne krav til de amerikanske selskapene; blant annet er videre utlevering av dataene tillatt. Flere norske og europeiske selskaper har hevdet at ordningen har vært konkurransevridende, fordi EUs personvernregler er strengere enn Safe Harbor-prinsippene. Kritikken har dessuten gått på at ordningen ikke beskytter persondataene mot amerikansk overvåkning, fordi amerikansk sikkerhetslovgivning har overstyrt Safe Harbor-prinsippene.

Østerrikeren Max Schrems har vært en av kritikerne. Han gikk til sak for å forby at Facebook Ireland (som også tilbyr Facebook i Norge) overførte hans data til USA. Overføringen skjedde blant annet til morselskapet Facebook Incs servere, basert på at selskapet var Safe Harbor-sertifisert. Schrems ønsket ikke at hans persondata skulle være eksponert for amerikansk etterretning.

EU-domstolens dom

Tirsdag vant han frem i sin sak. EU-domstolen mente at Safe Harbor-avtalen ikke ga et forsvarlig personvern og underkjente Europakommisjonens beslutning fra 2000. Havnen var ikke så trygg som tidligere antatt, og den er nå fjernet.

Avgjørelsen påvirker ikke bare amerikanske selskaper, men får også konsekvenser for norske aktører. Internett har gjort dataflyten global. En rekke norske selskaper og offentlige organer har data om sine ansatte, kunder og brukere lagret på servere i USA, for eksempel gjennom tjenester som Google Docs, Microsoft Office 365 og andre skylagringstjenester. I mylderet av leverandører, underleverandører, morselskaper og datterselskaper har neppe alle norske bedrifter oversikt over hvor dataene faktisk er lagret. Tirsdagens dom gjør det enda viktigere å få slik oversikt.

Konsekvenser for norske bedrifter

I kjølvannet av EU-domstolens avgjørelse rykket Datatilsynet ut og krevde at norske bedrifter umiddelbart må finne nye rettslige grunnlag for å overføre persondata til USA for å unngå å bryte norsk lov. Vi mener at tilsynet bør gi norske bedrifter tid til å områ seg og få på plass nye ordninger før sanksjoner ilegges.

Mange norske bedrifter vil nå se etter leverandører som tilbyr «EEA-only» lagring. De fleste store it-selskaper har allerede dette som en opsjon, selv om det gjerne koster noe mer. EU-dommen vil gjøre dette vanligere. Umiddelbart etter dommen falt på tirsdag annonserte blant annet skylagringsselselskapet NetSuite åpning av to datasentraler i EU.

For norske bedrifter som fortsatt ønsker å overføre persondata til leverandører eller konsernselskaper som bruker servere i USA, finnes det likevel løsninger. Et alternativ er å innhente samtykke fra personene som dataene gjelder. Et annet er å bruke EUs standard dataoverføringsavtale (model clauses). Selv om det kan være krevende å sørge for at slike avtaler inngås på riktig måte, og selv om hver avtale må sendes inn til eller godkjennes av Datatilsynet, er dette verktøyet inntil videre en lovlig måte å overføre data ut av EØS på.

Tirsdagens dom er det seneste eksempelet på at personvern er på dagsorden. Ifjor ble EUs datalagringsdirektiv kjent ugyldig. Omtrent samtidig kom Google-dommen, som ga personer «rett til å bli glemt» på internett. Om kort tid ventes EUs nye personvernforordning, hvor det varsles strengere regler for bruk av persondata og høyere bøter ved regelbrudd. Trenden er at personvernet styrkes på bekostning av bedrifters handlingsrom.

Tirsdagens dom stopper ikke Facebook, som noen har hevdet, men gjør det nødvendig både for Facebook og mange norske bedrifter å iverksette tiltak for å unngå lovbrudd.

Ta kontakt med: