Privacy shield og Max Schrems-dommen

CYBERSECURITY

Jan Bjørnsen
18.09.2020

Nylig besluttet EU domstolen en dom som har stor betydning for de som av forskjellige grunner utveksler person informasjon («Personal Identifiable Information», PII) med USA (dommen kan leses her). Dommen i den såkalte «Max Schrems II-saken» om lovligheten av Privacy Shield arrangementet om utveksling av informasjon mellom EU og USA basert på en form for «egenvurdering» hvor selskaper beskriver seg som «Compliant» i forhold til sikringstiltak for PII data og hvor landene på begge sider av Atlanteren garanterer at deres rettsvesen vil behandle personopplysninger likt ved utveksling av personopplysninger, er blitt erklært som ulovlig.

For en kunde jeg har jobbet med har dette stor betydning da det skandinaviske selskapet har amerikanske eiere og i tillegg har kunder over hele verden. Problemstillinger om PII og lovkrav på alle kontinenter må sorteres ut. Jeg vil i forskjellige blogg-innlegg trekke fram noen av disse.


Litt om bakgrunn

Max Schrems var en student i Østerrike som skapte oppstyr da han hevdet at hans personopplysninger gitt til Facebook og som var lagret hos et stort selskap i Europa var blitt overført til USA uten hans godkjennelse og at den daværende «Safe Harbour»-avtalen som ble inngått i år 2000 for utveksling av informasjon mellom EU og USA, ikke ga den beskyttelsen den var tiltenkt å ha. Klagen ble rettet til det isrke Datatilsynet, da både Microsoft og Facebook hadde sine Europeiske hovedkvarter i det landet. Safe Harbour baserte seg på at rettspraksis i utgangspunktet var lik på begge sider av Atlanteren og at personlige data derfor var beskyttet likt i alle land i EU og i USA. Det viste seg ikke å stemme. Denne rettsaken omtales som «Max Schrems I». Saken omfattet i utgangspunktet store lagringsselskaper (Amazon, Google, Microsoft, Facebook etc) som tilbyr lagring i sine datasentre som en skytjeneste, og hvor Safe Harbour skulle sikre at personopplysninger kun var tilgjengelig for brukeren i Europa. Men Safe Harbour ble også lagt til grunn av andre selskaper og virksomheter som hadde private servere eller operasjoner på begge sider av Atlanteren.


Saken til Schrems kom derfor opp i både EU-systemet og i det amerikanske rettssystemet. I USA ble saken tatt opp av Microsoft i 2 forskjellige rettsinstanser i USA, 1 sak i New York og 1 sak i Florida hvor Microsoft på vegne av sine brukere/kunder hevdet at statlige sikkerhetsmyndigheter i USA ikke kunne kreve innsyn i personopplysninger som var lagret på deres systemer i Europa. Problemet var imidlertid at Microsoft benyttet automatisert backup mellom forskjellige datasentre rundt om i verden, og at nasjonale sikkerhetsmyndigheter i USA i henhold til amerikansk lovgivning kan kreve innsyn av all informasjon samlet på amerikansk jord, mens den europeiske lovgivningen forutsatte at dataene ikke skulle være tilgjengelig for andre enn eieren av dataene.  Så når en backup fra et europeisk datasenter havnet på et amerikansk datasenter gjaldt ikke lenger europeisk krav til rettssikkerhet, og USAs myndigheter kunne kreve innsyn og har gjort akkurat det i enkelte tilfeller.


EU avventet rettssakene i USA, men sakene endte med at Microsoft vant fram i den ene saken og tapte i den andre. Man var derfor like langt og EUs domstoler konkluderte dermed med at Safe Harbour som skulle sikre personopplysninger mot innsyn fra en tredjepart ikke var oppfylt og måtte annulleres i 2015.


For å bøte på dette fikk man da på plass en del andre mekanismer for å kunne utveksle informasjon mellom EU og USA kjent som «Corporate Binding Rules» (CBR) for utveksling av informasjon internt mellom selskaper innen et konsern(Enterprise); og «Standard Contractual Clauses» (SCC) der man ønsket å dele informasjon med andre selskaper/brukere. Disse er tunge å bruke, krever mye dokumentasjon og må stadig fornyes/utvides. I tillegg må disse lages for hvert enkelt selskap/virksomhet og medfører derfor mye arbeid i form av arkivhold, ajourføring osv for det enkelte selskapet. Men de er fortsatt  i bruk og er fremdeles gyldige å bruke. Selvfølgelig ønsket derfor alle en ny “overnasjonal avtale” basert på at retssbehandlingene i de forskjellige landene ble ansett for tilfredsstillende slik at man ikke trengte “Case-by-case” avtaler som BCR og SCC.


I 2016 etablerte man «Privacy Shield» som et nytt regelverk for utveksling av informasjon mellom EU og USA, men Max Schrem mente igjen at rettssikkerheten ikke var ivaretatt i ytterste konsekvens da den amerikanske lovgivningen fortsatt åpnet for innsyn fra nasjonale sikkerhetsmyndighet i USA, selv om man nå måtte grunngi hvorfor man krevde innsyn mye bedre enn tidligere. Han gikk til domstolene på nytt og nå har altså hans syn vunnet fram i Europa nok en gang. Privacy Shield ble formelt annullert i sommer.

 

Hva betyr dette for skandinaviske eller europeiske virksomheter med behov for utveksling av informasjon? Det kommer jeg tilbake til i neste blogginnlegg.

Abonner på vårt nyhetsbrev