Videre arbeid med oppfølging av Schrems II-dommen


EU-domstolen avsa i sommer en avgjørelse i Schrems II-saken. Avgjørelsen har betydning for overføring av personopplysninger til tredjeland.

Foto: Shutterstock

Fagutvalget for informasjonssikkerhet og personvern diskuterte saken på august-møtet og utrykte bekymring for konsekvensene av dommen for UH-sektoren. Fagutvalget har foreslått at Unit gjennomfører en samlet kartlegging av konsekvensene for de fellessystemene som er fremforhandlet gjennom rammeavtaler av Unit/Uninett for hele sektoren.  

Fagutvalget har nedsatt en arbeidsgruppe for koordinering av dette arbeidet mellom aktørene i sektoren. Arbeidsgruppen består av representanter fra Unit, NSD, Uninett, UiO, UiT og NMBU. Målet for arbeidsgruppen er å foreta en samlet kartlegging av tjenester i sektoren som rammes av Schrems II-dommen, samt en vurdering og en anbefaling til sektoren.  

Saken har også vært drøftet på november-møtet i sektorens forum for personvernombud, og forumet vil orienteres løpende om fremgang i dette arbeidet. 

Første møte i arbeidsgruppen for oppfølging av Schrems II-dommen 

Arbeidsgruppen hadde sitt første møte 17. desember 2020. Gruppen diskuterte følgende temaer: 

  • Vurdering av rettstilstanden 
  • Arbeidsform for gruppen 
  • Prioritering og tidsaspekt for arbeidet 
  • Fremgangsmåte og metodikk for kartlegging av sektorens tjenester, og aktuelle anbefalinger 
  • Erfaringsdeling om utfordringer ved de forskjellige virksomhetene 
  • Diskusjon rundt aktuelle tiltak 
  • Vurdering av restrisiko 

Arbeidsgruppen vedtok at de først vil supplere Units kartlegging av fellestjenester med virksomhetenes egne kartlegginger, for å få et bredere grunnlag for kartleggingen av tjenestene i sektoren som er omfattet av dommen. Deretter vil arbeidsgruppen hente inn manglende informasjon gjennom dialog med tjenesteleverandørene om blant annet aktuelle tiltak. Dette vil skape grunnlaget for arbeidsgruppens anbefalinger for sektoren. 

Hva er Schrems II-saken? 

EU-domstolen krever at man vurderer om det er nødvendig å iverksette ytterligere tiltak ved overføring av personopplysninger på bakgrunn av standardkontrakter som overføringsgrunnlag. Domstolen har allerede slått fast at dette vil være nødvendig for overføring til USA. Det Europeiske personvernrådet publiserte 11.11.2020 to veiledere med eksempler på ytterligere tiltak som kan være aktuelle å iverksette avhengig av hva slags type overføring det er snakk om: 

  • Tekniske tiltak fremheves som mest virkningsfulle. Aktuelle tiltak er pseudonymisering og kryptering. Iverksetting av kryptering forutsetter at opplysningene forblir kryptert så lenge de er hos mottakeren.  
  • Organisatoriske eller kontraktsmessige tiltak er ikke tilstrekkelige, men kan iverksettes som supplement til tekniske tiltak. 

Det Europeiske personvernrådet gir følgende råd om videre oppfølging: 

  1. Fremskaffe oversikt over overføringene.  
  2. Fremskaffe oversikt over overføringsgrunnlag.  
  3. Vurdere om det er forhold hos mottakeren som medfører at personopplysningene ikke er undergitt det samme vernet som GDPR krever.  
  4. Identifisere og iverksette ytterliggere tiltak.  
  5. Konsultere Datatilsynet (om nødvendig).  
  6. Evaluere om overføringen oppfyller kravene med jevne mellomrom. 

Arbeidsgruppen skal bidra til mer klarhet i hvordan institusjonene skal jobbe med oppfølging av disse rådene. 

Se også tidligere nyhetssak om nye krav til overføring av personvernopplysninger etter EU-dommen.


Share: Share to LinkedIn Share to Facebook Share by mail Share to Twitter