En tydeliggjøring om deling av personopplysninger

Kronikk: Anne Kjersti Befring, førsteamanuensis med ansvar for helserett ved juridisk fakultet, Universitetet i Oslo (UiO)

EU-DOMSTOLENS avgjørelse i Schrems II-saken 16. juli 2020 (C-311/18) i stor avdeling, har ført til diskusjoner om den har betydning for deling av personopplysninger med tredjeland, i og med at den forbyr Facebook i Irland å dele personopplysninger med Facebook i USA.

I denne dommen konkluderes det med at avtalen mellom USA og EU må settes til side.

IKKE GENERELT FORBUD. Dommen kan ikke forstås slik at det er et generelt forbud mot å dele personopplysninger med USA, men viser til hvilke risikovurderinger som er relevante. Dette betyr blant annet at deling av personopplysninger i heleforskningsprosjekter med USA kan fortsette – forutsatt at risikoen er akseptabel. Det dreier seg om hvilke opplysninger som deles, hvordan de deles og hvordan de behandles i USA.

Det ligger i sakens natur at en generell forordning må tolkes da den gjelder for alle samfunnsområder, noe som fører til at rettsavgjørelsers overføringsverdi til andre områder enn det kommersielle; her Facebook, må vurderes konkret.

Les også: Hvordan kan personvernforordningen anvendes i norsk rett?

GRUNNLAG FOR FORSTÅELSE. Dommen er prinsipiell og gir et godt grunnlag for å forstå hvordan personvernforordningen (GDPR) tolkes i lys av andre regler. Det dreier seg om grunnleggende menneskerettigheter og hvordan risikovurderinger som omfatter ivaretakelsen av disse rettigheter foretas. Dommen gir også et godt grunnlag for å forstå hvordan GDPR er bygget opp, bakgrunnen for de mange skjønnstemaene i forordningen og hvordan den tolkes dynamisk.

Domspremissene viser variasjonen i risikovurderinger og forskjeller i hvilke krav som må stilles avhengig av hvem de behandles av og hvor. Det er forskjell på om personopplysninger behandles i regi av Facebook eller av et sykehus eller annen forskningsinstitusjon. I dette tilfellet USA, omtalt som et tredjeland. Med tredjeland menes land som ikke er medlemmer av EU eller EØS, som Island, Liechtenstein og Norge.

OVERFØRING. I personvernforordningen som har betydning for overføring av personopplysninger mellom land, trekkes det et skille mellom om overføring skjer innad i EU/EØS og til andre land. Med «overføring» menes deling fra en dataansvarlig i EU til en dataansvarlig utenfor EU og når en dataansvarlig eller behandler overlater behandlingen til databehandlere utenfor EU.

Når det skal deles med tredjeland, skilles det i personvernforordningen mellom det som omtales som sikre land (art. 45), som usikre land (art. 46, 47 og 49) – eller internasjonale organisasjoner. Til sikre tredjeland eller organisasjoner kan en overførsel som utgangspunkt skje uten videre dersom de ordinære vilkårene er oppfylt, mens overføringer til usikre tredjeland eller organisasjoner krever at det fastsettes nødvendige garantier eller at det foreligger unntak.

PERSONVERNFORORDNINGEN. Om sammenhengen med helseforskningsloven og menneskerettigheter: Helseforskningsloven viser til GDPR ved deling av personopplysninger med tredjeland. Loven bygger på internasjonale menneskerettigheter som gjelder innenfor helseforskning og på GDPR og andre deler av unionsretten som gjelder forskning.

Selv om det tas utgangspunkt i loven når det tas stilling til om personopplysninger skal deles, må det – i større grad enn før forordningen ble tatt inn i personopplysningen (juli 2018) – ses hen til GDPR og internasjonale reguleringer. Dette kommer til uttrykk i forarbeidene til personopplysningsloven som inkorporerer personvernforordningen (Prop. 56 LS (2017-2018) s. 183 og 184), der det står: «Dette vil på mange punkter innebære at man ved behandling av personopplysninger innenfor helselovenes virkeområde i større grad enn i dag må se hen til den generelle personopplysningsloven og forordningen».

Tilsvarende formulering er tatt inn i Helseforskningsloven § 2 (2), der det er presisert at det tas utgangspunkt i Helseforskningsloven, som må suppleres i den utstrekning ikke annet følger av helseforskningsloven av personopplysningsloven (og forordningen som del av denne loven). Denne tilnærmingen følger av at helseforskningsloven gjelder et særområde og bygger på menneskerettigheter innenfor helseforskning og GDPR, samt andre forordninger som har betydning for regulering av helseforskning.

GDPR er generell og gjelder for alle samfunnsområder. Helseforskningsloven har en del andre bestemmelser enn GDPR, blant annet som følge av internasjonale forpliktelse, men er funnet å samsvare med forordningen.

RISIKOEN FOR KRENKELSE. Skrems II-dommen dreier seg om Facebooks deling av persondata med USA. EU-domstolen ble bedt om å gi en prejudisiell uttalelse av irsk Høyesterett i rettstvisten mellom det irske datatilsynet (DPC) og Facebook, på bakgrunn av en klage fra en person fra Østerrike, Maximillian Schrems, som hadde klaget på at egne personopplysninger fra Facebook i Irland overføres til moderselskapet for Facebook i USA.

Privacy Shield baseres på EU-kommisjonens avgjørelse (2016/1250), om å kunne overføre personopplysninger fra EU til virksomheter som har sluttet seg til ordningen i USA. Grunnlaget for å dele disse opplysningene mellom Facebook i Irland og USA, var denne avtalen og de to standardkontraktene som EU kommisjonen har vedtatt som gyldig overføringsgrunnlag til en dataansvarlig eller behandler utenfor EU (Europa-parlamentets og Rådets direktiv 95/46/EF (2010/87/EU)).

RIEU-domstolen konkluderer med at EU-kommisjonens standardkontrakter og Privacy Shield, som er en avtale mellom EU og USA, ikke er et tilstrekkelig grunnlag i denne sammenhengen da det innebærer høy risiko for personens menneskerettigheter. Dette skyldes at USA har vedtatt økt myndighet til overvåking av privatpersoner – og at det ligger omfattende personopplysninger på Facebook. Det dreier seg her om personopplysninger som ligger åpent tilgjengelig, og at risikoen for krenkelser som følge av at USA har muligheter til å overvåke disse opplysningene, er høy i denne forbindelse.

FORHOLDSMESSIGHET. Det må vurderes hvilken risiko som eksisterer konkret ved deling av pseudonymiserte opplysninger fra helseforskning for at disse vil bli benyttet til overvåking.

EU-domstolens vurderinger viser at det foretas brede og konkrete risikovurderinger, og som innebærer et tydelig skille mellom reglene som gjelder for Facebook og for helseforskning.

Ved deling av pseudonymiserte opplysninger i et samarbeidsprosjekt med en forskningsorganisasjon i USA, må risiko og forholdsmessig vurderes.

MENNESKERETTIGHETER. Domspremissene i Schrems II-dommen behandler sammenhenger med nasjonal rett gjennom henvisninger og når det mangler slike henvisninger (premiss 100), og dessuten det felles grunnlaget i menneskerettigheter i Charteret og Den europeiske menneskerettskonvensjon (EMK), som utgjør generelle prinsipper (premiss 98 og 99).

Menneskerettigheter i EMK omtales som generelle prinsipper, som ligger til grunn for GDPR og som kommer til uttrykk i art. 6 (3), TEU, og Charteret (grunnloven i EU), og at også Charteret må utfylles av EMK selv om denne konvensjonen ikke er et rettslig instrument i EU (premiss 98). Dette innebærer blant annet at risikoen for andre krenkelser – retten til liv, helse og beskyttelse mot fysiske skader – har betydning for om personopplysninger kan deles. Dette har betydning for hvordan GDPR skal fortolkes, at den må fortolkes på bakgrunn av flere menneskerettigheter (premiss 99). Domstolene går også inn på begrensninger vis a vis nasjonal rett, også utenom der det er uttrykte henvisninger.

STORE FORSKJELLER. Dommen viser en bred tilnærming til risikovurderinger og beskyttelsesprinsippet på bakgrunn av de grunnleggende prinsipper og menneskerettigheter som skal ivaretas. Hvordan forskningsopplysninger er beskyttet i der de mottas, i et forskningsprosjekt eller organisasjon, har dermed betydning i vurderingen. Det er store forskjeller mellom omfattende personopplysninger som ligger åpent på Facebook og pseudonymiserte opplysninger som ligger i en forskningsdatabase. I dommen forutsettes det at det er forskjeller i risiko mellom sektorer innad samme tredjeland, og hvordan sektorer er regulert.

Forholdsmessighet, som er et gjennomgangstema i internasjonale menneskerettigheter, GDPR (her art. 49) og lovgivningen, innebærer at risikoen må vurderes konkret opp mot nytteverdien av å dele opplysninger.

Den samme risikoen er ikke til stede ved deling av pseudonymiserte opplysninger i helseforskning til en forskningsvirksomhet i USA eller en redaksjon for et tidsskrift, dersom de har et tilstrekkelig høyt nivå på hvordan opplysningene beskyttes, jamfør GDPR artikkel 49.

NYTTE – OG RISIKO. I en forholdsmessighetsvurdering må nytteverdien av å dele slike opplysninger i lys av menneskerettigheter, vurderes. Ved høy nytte kan høyere risiko aksepteres. Det dreier seg både om betydningen av å dele ny kunnskap – omtalt i FNs Verdenserklæring art. 27 – og betydning av å opparbeide kunnskap av betydning for det medisinske tilbudet til pasienter, for eksempel i forbindelse med den gradvise opparbeidelsen av kunnskap i kreftbehandling og ved behandling av alvorlig syke av Covid-19.

Schrems II har stor betydning for kommersielle aktører som deler personopplysninger med USA, og mindre betydning ved deling av personopplysninger i helseforskning – forutsatt at den aktuelle mottaker av opplysningene i USA har et tilstrekkelig beskyttelsesnivå på dataene.

I dommen gis det en systematisk gjennomgang av vurderinger av risiko og forholdsmessighet, samt hvordan GDPR anvendes i lys av andre rettskilder. Denne gjennomgangen har stor verdi for flere rettsspørsmål enn ved deling av personopplysninger med tredjeland.

Både Datatilsynet og Det europeiske personvernrådet (EDPB) har kommentert dommen.

TOLKNINGER. Domsslutningen er oversatt og forenklet i punktene under:

• Personvernforordningen skal tolkes slik at en overførsel av personopplysninger, til forretningsmessig formål av en kommersiell aktør som er etablert i en medlemsstat, til en kommersiell aktør i et tredje land, er omfattet av forordningens regler, uansett om opplysningene kan bli behandlet av tredjelands myndigheter av hensyn til den offentlige sikkerhet, forsvaret og statens sikkerhet.
• GDPR art. 46 (1) og art. 46 (2) c skal tolkes slik at nødvendige garantier må foreligge. Dette innebærer at rettigheter kan håndheves og at det foreligger effektive rettsmidler for å ivareta grunnleggende rettigheter, også når overføringen skjer på grunnlag av standardbestemmelser om databeskyttelse. Beskyttelsesnivået må i det vesentlige tilsvare nivået i EU. Dette omfatter menneskerettigheter som er inkludert av EU-charteret. Det må tas hensyn til kontraktsvilkår som er avtalt mellom den dataansvarlige eller dennes databehandler, som er etablert i Den Europeiske Union, og mottakeren av overførselen, som er etablert i det aktuelle tredjeland – og en eventuell adgang for dette tredjelands offentlige myndigheter til å innhente og behandle de overførte personopplysninger – rettssystemet i tredjelandet, samt de elementer, som er oppregnet i GDPR art. 45 (2).
• GDPR art. 58 (2) f og j skal tolkes slik at, med mindre det foreligger en avgjørelse om tilstrekkeligheten av beskyttelsesnivået som gjelder, har den kompetente tilsynsmyndighet plikt til å suspendere eller forby en overførsel av opplysninger til et tredjeland på grunnlag av standardbestemmelser om databeskyttelse. Dette gjelder kun dersom tilsynsmyndigheten i lys av en helhetsvurdering av de hensyn som kjennetegner overførselen, kan legge til grunn at standardbestemmelser ikke er overholdt eller ikke kan overholdes i dette tredjelandet, og at det ikke heller ikke er mulig å sikre nødvendig beskyttelse av opplysningene på andre måter som kreves etter EU-retten, charteret om grunnleggende rettigheter, og GDPR art. 45 og 46.
• Undersøkelsen av kommisjonens avgjørelse (2010/87/EU af 5. februar 2010) om standardkontraktbestemmelser for videreformidling av personopplysninger til registerførere etablert i tredjelandene i henhold til Europa-parlamentets og Rådets direktiv 95/46/EF, som endret ved kommisjonens avgjørelse om gjennomføring (EU) 2016/2297 av 16. desember 2016, i lys av artikkel 7, 8 og 47 i charteret om grunnleggende rettigheter, har ikke frembrakt noe som kan påvirke gyldigheten av denne avgjørelsen.
• Kommisjonens avgjørelse om gjennomføring (EU) 2016/1250 av 12. juli 2016 i henhold til Europa-parlamentets og Rådets direktiv 95/46/EF om tilstrekkeligheten av den beskyttelse som oppnås ved hjelp av EUs og USAs vern om privatlivets fred, er ugyldig.

Ingen oppgitte interessekonflikter