Ber norske bedrifter være oppmerksomme på endringer i personvernregler
Frem til desember 2020, i den såkalte overgangsperioden forhandlet frem mellom EU og Storbritannia, er Storbritannia fremdeles omfavnet av EUs personverndirektiv (GDPR).
Deretter rår det stor usikkerhet med mindre Storbritannia og EU lander en avtale i tide.
Skulle det bli en hard brexit og Storbritannia blir et tredjeland, oppstår en del utfordringer knyttet til å lagre data- og personopplysninger i landet.
Det kan være kritisk for norske bedrifter med tett tilknytning til det britiske markedet.
Både norske og britiske myndigheter anbefaler bedrifter å bruke EUs såkalte standardavtaler – standard contractual clauses eller bare SCC – dersom utfallet skulle bli en hard brexit. Men på grunn av en rettssak i EU-domstolen satt i gang av den østeriske personvernaktivisten Max Schrems, er avtalene nå under angrep og står i fare for å bli ugyldige.
– Det er egentlig en veldig vanskelig situasjon, og kan bli et kjempeproblem. For det første har ikke bedrifter vært tilstrekkelig klar over dette, for det andre tar det en god stund å få godkjent nye standardavtaler, og for det tredje er standardavtalene under angrep av Max Schrems, sier Simen Sommerfeldt som er teknologidirektør i IT-konsulentselskapet Bouvet.
Senket Safe Harbour
Det var Schrems som senket Safe Harbour-avtalen om dataoverføring mellom USA og EU i 2015. Hans argument har vært at data som overføres fra Europa og blir behandlet i USA ikke er tilstrekkelig beskyttet for USAs overvåkning av innbyggere og avtalen tilrettelegger for misbruk av personopplysninger.
Schrems’ intensjon med den pågående rettssaken er å holde store selskaper – eksempelvis Facebook – ansvarlige for sikker behandling av data, men «bieffekten» er at man risikerer å gjøre alle standardavtaler om overføring av data og personopplysninger, ugyldige.
Rettssaken er foreløpig ikke avgjort, men i forrige uke kom uttalelsen fra EU-domstolens advokatgeneral Henrik Saugmandsgaard Øe. Han påpeker at standardkontraktene fremdeles er gyldige.
Kan bli et kjempeproblem
Uttalelsen avgjør ikke rettssaken, men slike blir ofte brukt som grunnlag i domstolens endelige avgjørelse. Om EU-domstolen likevel skulle finne avtalene ugyldige, er situasjonen verre.
– Avtalene kan bli vraket fordi de ikke er gode nok. Da har vi et kjempeproblem og egentlig ingen reell mulighet til å lagre data lovlig noen andre steder enn i USA, EU eller andre godkjente tredjeland, sier Sommerfeldt.
I et slikt scenario kan altså norske bedrifter som lagrer data i utlandet, bryte med loven. Et alternativ er at Storbritannia blir godkjent som tredjeland, men den prosessen tar lang tid.
Kan risikere å ikke bli godkjent som tredjeland
– Dessuten så har Storbritannia selv en god del tvilsom praksis rundt overvåkning av egne innbyggere, påpeker Sommerfeldt.
EUs personverndirektiv (GDPR) bygger på FNs menneskerettighetserklæring og stiller krav til at de universelle menneskerettighetene skal være godt beskyttet i et godkjent tredjeland. Men Storbritannia er allerede i konflikt med EUs lovgivning på flere punkter. Blant annet har Deloitte gjort en utredning som viser at en lov Storbritannia innførte i 2016, Investogatory Powers Act, åpner for langt bredere overvåkning av personer enn EUs personverndirektiv.
Det gjør at Storbritannia løper en viss risiko for ikke å bli godkjent av EU som tredjeland i det hele tatt, påpeker Sommerfeldt.
Dersom Storbritannia gjør et poeng ut av å balansere på kanten av EUs personverndirektiv (GDPR), kan de få trøbbel, mener Sommerfeldt.
– Situasjonen vi står oppe i er jo at veldig mange norske bedrifter kjøper tjenester fra Storbritannia og visa versa, og er faktisk ikke klar over dette, sier Sommerfeldt.
– Vinner Schrems rettssaken, blir dette en ganske utfordrende situasjon. Men uansett utfall er det et begrenset antall advokater der ute til å bistå bedrifter i å undertegne nye avtaler, påpeker han.
Ingen grunn til stor bekymring
Det forventes at Schrems-rettssaken vil få en endelig dom i løpet av de neste par månedene. Inntil videre er det ingen grunn til stor bekymring, mener Jørgen Skorstad, direktør for jus i Datatilsynet.
– Uttalelsen til generaladvokaten indikerer at det foreløpig ikke er noen store konsekvenser for muligheten til å bruke standardkontraktene for overføring av data mellom Storbritannia og EU eller EØS-land i et post-brexit-scenario, sier Skorstad.
Der et Datatilsynet som sørger for at norske, europeiske og internasjonale personvernregler etterleves. Datatilsynet har også myndighet til å stoppe overføring av data til utlandet dersom de anser at det er i brudd med gjeldende personvernlovgivning.
Kan miste rettslig instrument
Skorstad påpeker at bedriften som overfører data – altså den behandlingsansvarlige eller såkalte data controllers – må vurdere om det er risikofritt å overføre data til en mottaker i Storbritannia. En slik vurdering kan imidlertid bestå av mange forskjellige faktorer. Det kommer også an på hva slags type data man overfører, opplyser Skorstad.
– Er det for eksempel snakk om sensitive personopplysninger som omhandler folks helsetilstand eller seksuelle legning tenker jeg det er naturlig å kreve høyere aktsomhetsnivå til en behandlingsansvarlig før man setter i gang en dataoverføring, sier Skorstad.
– Hvis EU-domstolen, mot all formodning, skulle dømme standardavtalene som ugyldige blir det en utfordring for den delen av næringslivet som overfører personopplysninger til Storbritannia eller andre tredjeland som ikke er godkjent av EU. Da vil man i praksis stå uten et rettslig instrument for den type dataoverføring og har veldig få fungerende alternativer, sier Skorstad.
Lite konkret
Også IKT Norge understreker at det er stor usikkerhet knyttet til hva som vil skje med dataoverføring til Storbritannia etter brexit.
– Er det slik at norske bedrifter løper en viss risiko for å bryte loven om de har lagret data i Storbritannia?
– Ja, det er nettopp det, det kan skje. Men foreløpig er det mye som kan skje, og veldig lite som er konkret, sier direktør Fredrik Syversen for strategi- og forrtningsutvikling i IKT Norge.
Han understreker tematikken er noe norske bedrifter bør følge med på fremover.
– Vi tror jo ikke dette kommer til å sette alle bedrifter som har business i Storbritannia via tjenester i noen som helst limbo, men vi vet jo heller ikke hva som kommer til å skje, skal Storbritannia adoptere GDPR? Det vet vi ikke.
Sørg for tett dialog
Syversen råder også bedrifter til å holde tett dialog med kunder og leverandører i Storbritannia, samt følge med på råd fra Næringss- og fiskeridepartementet i tillegg til Næringslivetes hovedorganisasjon (NHO).
NHO har kommet med en egen sjekkliste for bedrifter i forbindelse med brexit. Også Datatilsynet har en veiledning for hva bedrifter må følge med på når det gjelder lovgivning for overføring av persondata fremover.
En ting er i alle fall ganske så sikkert, mener Syversen:
– Det er ingen som behandler denne tematikken som har noen som helst interesse av at det skal bli vanskeligere å drive tjenestesalg på tvers av Storbritannia og Norge eller Storbritannia og EU.