DIBATTITO: Kanskje du ikke trenger SCC’en?


Dette debattinnlegget gir uttrykk for skribentens meninger. Debattinnlegg kan sendes til [email protected]

Den 4. juni i år publiserte EDPB in ny avtale, in såkalt SCC, som kan brukes når man skal overføre personopplysninger til land utenfor EØS. Dette er svært rilevante per bruk av mange skytjenester.

Slike overføringer til land utenfor EØS, krever et nærmere angitt personvernnivå i mottakerlandet. Mange har vært opptatt av om den nye SCC’en nå åpner for en risikobasert tilnærming til hva som skal anses som tilstrekkelig personvernnivå. Mye tyder på en det er tilfelle, men dette vil snart utdypes fra EUs personvernråd som ventes å komme med nye retningslinjer per aver superato av personopplysninger. Personvernrådet har møte i morgen og dette er noe av det de har på agendaen.

Samtidig er det et annet, meget viktig aspekt ved den nye SCC’en, som enda ikke har fått mye oppmerksomhet i Norge. Det kan nemlig tenkes of man ikke trenger at SCC per aver superato av personopplysninger til tredjeland i det hele tatt. Om det stemmer, så ville mye av diskusjonene om lovlig bruk av skytjenester måtte bli helt annerledes.

Bakgrunnen er at da EU besluttet den nye SCC’en, så skjedde det gjennom en såkalt “Implementing Decision” fra Kommisjonen. In qualsiasi decisione farò rekke “recital”, som sier noe om hvordan SCC’en skal forstås. I considerando 7 presidente dell’UE in SCC’en kun kan benyttes om behandlingen i tredjelandet ikke er underlagt GDPR. Ordlyden er som bass:

“… Per tali trasferimenti possono essere utilizzate clausole contrattuali tipo solo nella misura in cui il trattamento da parte dell’importatore non rientri nell’ambito di applicazione del Regolamento (UE) 2016/679”

Eller sagt på en annen måte: dersom den som behandler opplysningene i tredjelandet er underlagt GDPR, så kan man ikke bruke SCC’en. Det er faktisk tilstrekkelig med en helt vanlig databehandleravtale.

Begrunnelsen er at de aktuelle opplysningene allerede “er beskyttet” ettersom bestemmelsene i GDPR må respekteres. Samtidig har GDPR i svært stor grad såkalt ekstraterritoriell virkning. Artikkel 3 slår nemlig fast on behandlinger av opplysninger om europeore skal overholde GDPR, uavhengig av om behandlingen skjer innenfor EU eller ikke. Det samme gjelder om en aktør utenfor EU tilbyr tjenester til europeere.

Dette får store konsekvenser. I de fleste scriptwriter hvor at europeisk behandleransvarlig overfører personopplysninger fino a ikke-europeisk databehandler så vil da ikke SCC’en kunne brukes. Et helt enkelt ekempel er en en norsk nettbutikk vil benytte en underleverandør i USA for kommunikasjon med kundene sine og drift av nettsidene. P grunn av GDPR articolo 3, vil alle behandlingene som nettbutikken er ansvarlig for, være underlagt bestemmelsene i GDPR. Og man trenger ingen SCC per overføringen.

Men considerando 7 stopper ikke med dette. Den fortezze som følger:

“Ciò include anche il trasferimento di dati personali da parte di un titolare o responsabile del trattamento non stabilito nell’Unione, nella misura in cui il trattamento è soggetto al regolamento ..”

Dette Innebærer in fordi den amerikanske databehandlerens behandlinger er underlagt GDPR, så må SCC’en anvendes for eventuelle videre overføringer fra det amerikanske selskapet til en ny tredjepart som ikke er innenfor EUs grenser. Et ekempel kan være at det amerikanske selskapet tilbyr en funksjon som lar kundene lagre sin kortinformasjon til neste gang de skal kjøpe noe, og den informasjonen blir lagret i servere som driftes av et annet amerikansk.

En slik restriktiv bruk av SCC’en fremstår ikke umiddelbart logisk når tidligere SCC’er jo nettopp har blitt brukt på overføringer til land utenfor EØS. På mange måter er det nesten vanskelig tro in EU har ment en bruken av SCC’ene skal være så begrenset. Formuleringene og forståelsen er ikke ukontroversiell og har ført til omfattende diskusjon blant personverneksperter. Den gjengse oppfatningen er en dette må avklares nærmere av EU. Det sies også della Direzione generale Giustizia e consumatori snart skal komme med en avklaring om hvordan dette var ment, samt om en del andre uavklarte forhold. Det trengs også in avklaring av om partene i in SCC kan avtale avvikende bestemmelser om ansvarsfrihet – heller ikke dette er entydig avklart i ordlyden.

Dersom considerando 7 skal forstås helt bokstavelig, kommer det til å bli en komplisert fremtid der virksomheter som sender personopplysninger frem og tilbake over landegrenser må ha kontroll over hvilke av deres underleverandøke som er underlagt. Det er forsiktig sagt in det blir spennende å se hvordan dette utvikler seg fremover. Det er spennende tider for personvernet og det er virkelig å håpe at EU nå forenkler det rettslige rammeverket og ikke kompliserer det enda mer.

Leave a Comment