Hva er Schrems II-dommen

EU-domstolen avsa 16. juli 2020 en prinsipiell dom om overføring av personopplysninger til land utenfor EU/EØS. Dommen kan få betydning for flere digitale løsninger som benyttes av innbyggere, offentlige og private virksomheter.

Bakgrunn

Avgjørelsen kalles «Schrems II-dommen» etter den østerrikske personvernaktivisten Max Schrems. Schrems klaget til det irske datatilsynet for å stoppe overføringen av personopplysninger mellom Facebook Irland og Facebook Inc. i USA. Han begrunnet dette med at personopplysningene hans ikke var godt nok beskyttet i USA.

Dersom personopplysninger skal overføres til land utenfor EU/EØS, må man ha et overføringsgrunnlag i henhold til personvernforordningen.

Et mye brukt overføringsgrunnlag til USA var «Privacy Shield». Dette var en sertifiseringsordning for virksomheter i USA opprettet i samarbeid mellom EU og USA. EU-domstolen kom til at EU-kommisjonens beslutning om «Privacy Shield» var i strid med kravene til et tilstrekkelig beskyttelsesnivå i personvernforordningen, lest i lys av menneskerettighetene. Sentralt i vurderingen var de vide hjemlene til amerikansk etterretning og at europeiske borgere ikke har god nok mulighet til å overprøve beslutningene om overvåking.

Kan en benytte andre overføringsgrunnlag?

Som følge av dommen er «Privacy Shield» ikke lengre gyldig som overføringsgrunnlag for personopplysninger mellom Europa og USA.

Det finnes fremdeles andre gyldige overføringsgrunnlag, men domstolen konkluderte med at å bruke slike grunnlag i seg selv ikke er nok. Den enkelte overføring må vurderes for å se om det må iverksettes ytterligere tiltak for å beskytte person-opplysningene.

Konsekvensene av Schrems II

De praktiske konsekvensene av Schrems II er per dags dato uklare. Dommen vil blant annet få betydning for bruken av skytjenester, men i hvilken grad er usikkert. Det er også grunn til å tro at enkelte anskaffelser vil påvirkes.

I mange tilfeller berører dommen hvordan den underliggende IT-infrastrukturen er organisert. Det er derfor også en risiko for at brukere av offentlige tjenester i noen tilfeller vil oppleve noe dårligere enkel-tjenester.

Betydningen for regjeringens digitaliseringsstrategi

Ettersom de praktiske konsekvensene av Schrems II ikke er fullstendig kartlagt, er det uklart i hvilken utstrekning dommen vil påvirke regjeringens digitaliseringsstrategi. Samtidig er det en prinsipiell og vidtrekkende dom, som blant annet får betydning for bruken av skytjenester og hvordan offentlige tjenester utvikles. Gevinsten i bruk av ny teknologi fordrer at krav i lover og øvrige rammeverk er klarlagt.

Digitaliseringsdirektoratet leder et koordineringsarbeid med offentlige virksomheter i arbeidet med Schrems II. Målet er å utveksle erfaringer og sørge for lik tilnærming til like utfordringer.