Nyhetsbrev - Ny retning for personvernet i Trumps Amerika

Trumps fire første måneder viser at norske selskaper blir direkte påvirket av endringer i amerikansk personvernpolitikk. Digital transformasjon fører til en sterk vekst i mengden data som strømmer over grensene. Digitaliseringen gjør at norske selskaper i økende grad utveksler data med utenlandske virksomheter, enten som leverandør eller kunde, internt i konsern, eller i forbindelse med transaksjoner. Dette reiser problemstillinger knyttet til reglene om behandling og overføring av personopplysninger.

Flere personvernspørsmål ligger an til å få en annen løsning under Trump. Utfallet vil ha konsekvenser for norske virksomheter som overfører personopplysninger til USA og til andre land utenfor EU/EØS.

Utskriftsvennlig versjon

EUs standardkontrakter kan bli kjent ugyldige

EUs standardkontrakter er det viktigste rettslige grunnlaget for overføring av personopplysninger fra Norge til USA. Flere amerikanske og norske selskaper har basert sin virksomhet på EUs standardkontrakter. Det irske datatilsynet har gått til sak mot Facebook Ireland Ltd for å få en rettslig avklaring av hvorvidt EUs standardkontrakter er i overenstemmelse med EU-retten. Det er High Court i Irland som skal avgjøre spørsmålet i første omgang. Saken ble tatt opp til doms i midten av mars. En avgjørelse er ventet om noen måneder.

Dersom High Court i Irland bestemmer seg for å sende spørsmålet til EU-domstolen, er et mulig utfall at EUs standardkontrakter kan bli kjent ugyldige. Prosessen vil i så fall følge samme mønster som “Schrems vs Facebook”-saken (C-362/14 Maximillian Schrems v Data Protection Commissioner), hvor EU-domstolen den 6. oktober 2015 erklærte at hele Safe Harbor-ordningen var ugyldig. Safe Harbor-avtalen ble, som følge av “Schrems vs Facebook”-dommen, i sin helhet erstattet av Privacy Shield-avtalen den 12. juli 2016.

Utfallet i den pågående saken ved High Court i Irland, som potensielt ender i EU-domstolen, vil ha konsekvenser for alle norske og amerikanske virksomheter som baserer sine overføringer av personopplysninger på EUs standardkontrakter. Norske selskaper bør derfor vurdere alternative behandlingsgrunnlag for overføring av personopplysninger til USA, f.eks. bindende konsernregler, Privacy Shield-sertifisering eller andre mekanismer beskrevet i personvernforordningen (Regulation (EU) 2016/679) artikkel 46.

USA dropper samtykkekrav for internettleverandører

Trump signerte 3. april en resolusjon om å fjerne regelen som ville tvunget amerikanske internettleverandører til å innhente samtykke fra kunder før personopplysninger blir brukt til markedsføring eller solgt til tredjeparter. Internettleverandører har vanligvis tilgang til mer detaljerte data om kunder enn andre selskaper i verdikjeden, blant annet hvilke nettsteder kunden har besøkt.

Regelen som ble vedtatt høsten 2016 ville pålagt amerikanske internettleverandører å etablere et såkalt “opt-in” regime for kunder. Samtykkekravet skulle etter planen tre i kraft i desember i år, men dette har Trump nå satt en stopper for.

Amerikanske internettleverandører er fremdeles underlagt krav til å informere om hvilke personopplysninger som samles inn om kunder og hva informasjonen brukes til, men det er få kunder som leser brukervilkår. Fordelen med en “opt-in” struktur er bevisstgjøringen som følger av at kunden må ta et aktivt valg. I overskuelig fremtid ser det dermed ut til at amerikanske personvernforkjempere og vanlige forbrukere må benytte VPN-løsning (dvs. et virtuelt privat datanettverk eller “tunnel”) for å unngå at internettleverandørene får innsyn i aktivitet på nettet.

Trumps beslutning har ført til en stor debatt om personvern i USA, og blir av noen medier beskrevet som et enormt nederlag for personvernet, en seier for internettleverandører som Comcast, AT&T og Verizon og et bevis på at den amerikanske kongressen er “kjøpt og betalt” av kommersielle aktører.

Debatten om spørsmålene har i det minste ført til økt bevissthet rundt personvern. I dagene etter signering av resolusjonen meldte blant annet Opera Software om en 109 % økning i brukere av deres nettleser, som har en innebygget VPN-løsning.

Andre personvernspørsmål ligger også an til å få en annen løsning under Trump. Den nye presidenten har blant annet uttalt seg kritisk til prinsippet om nettnøytralitet. Det er også usikkerhet knyttet til hvordan Trump-administrasjonen vil forholde seg til inngåtte avtaler om grensekryssende overføring av personopplysninger. EU-kommisjonen vil antakelig be om fornyet tillit fra Trump når Privacy Shield-avtalen evalueres for første gang sommeren 2017. Norske selskaper som baserer sine overføringer av personopplysninger på Privacy Shield-avtalen bør være forberedt på regelendringer i tiden som kommer.

Lettere for EU-borgere å klage over USA-overføringer

EU-kommisjonens personverngruppe (“Artikkel 29-gruppen”) har utarbeidet to nye dokumenter for å gjøre det enklere for borgere i EU å klage over overføring av personopplysninger til USA. Dokumentene består av en veiledning til Privacy Shield-reglene og klageprosessen, samt et klageskjema. Veiledningen klargjør rollen til medlemstatenes datatilsyn i klagesaker.

Nytt tap for FBI i Microsoft-saken

Tidligere i år gikk FBI på et nytt tap i saken om hvorvidt amerikanske myndigheter kan få tilgang til data lagret på Microsofts servere i Irland.

Microsoft vant sommeren 2016 frem med sitt syn om at data lagret på servere i utlandet ikke faller inn under amerikansk jurisdiksjon selv om opplysningene, som i denne saken var lagret på en server i Irland, er eid og kontrollert av et amerikansk selskap. Nå er også ankesaken avgjort i Microsofts favør.

Avgjørelsen blir ansett for å være en stor personvernrettslig seier for både internasjonale teknologiselskaper, europeiske myndigheter og europeiske borgere, som formodentlig ønsker å ha sine data beskyttet mot innsyn fra amerikanske myndigheter. I rettsaken ble Microsoft støttet av den irske regjeringen, det amerikanske handelskammeret og flere nyhets- og teknologiselskaper blant annet CNN, Fox News, Verizon og Apple.

FBIs rettslige grunnlag i saken var en lov fra 1986 (“the Stored Communications Act”), et regelverk som på ingen måte er tilpasset hvordan data lagres, flyttes og overføres over internett. Moderne skytjenester medfører at svært mye data overføres mellom flere jurisdiksjoner over korte tidsrom. Dette tekniske aspektet ble ikke behandlet i saken og begrenser antakelig verdien av avgjørelsen. Myndigheters tilgang til data som svært ofte ikke er lagret ett bestemt sted, er et spørsmål som derfor trolig vil dukke opp i flere saker fremover. Norske selskaper som benytter skytjenester bør ta grep for å sikre samsvar med personopplysningsloven, blant annet gjennomføre en risiko- og sårbarhetsanalyse, ha databehandleravtale i tråd med norsk rett, foreta jevnlige sikkerhetsrevisjoner og sørge for kryptering.

Forretningsområder

Primærkontakter

Kaare M. Risung
Jeppe Songe-Møller
Anne-Marit Wang

Publisert

15. mai 2017