Schrems II-dommen

Schrems II-dommen

Kort oppsummert[rediger | rediger kilde]

EU-domstolen avsa 16. juli 2020 en prinsipiell dom om overføring av personopplysninger til land utenfor EU/EØS. Dommen kan få betydning for flere digitale løsninger som benyttes av innbyggere, offentlige og private virksomheter.

Bakgrunn[rediger | rediger kilde]

Avgjørelsen kalles «Schrems II-dommen» etter den østerrikske personvern-aktivisten Max Schrems. Schrems klaget til det irske datatilsynet for å stoppe overføringen av personopplysninger mellom Facebook Irland og Facebook Inc. i USA. Han begrunnet dette med at personopplysningene hans ikke var godt nok beskyttet i USA.

Dersom personopplysninger skal overføres til land utenfor EU/EØS, må man ha et overføringsgrunnlag i henhold til personvernforordningen.

Et mye brukt overføringsgrunnlag til USA var «Privacy Shield». Dette var en sertifiseringsordning for virksomheter i USA opprettet i samarbeid mellom EU og USA. EU-domstolen kom til at EU-kommisjonens beslutning om «Privacy Shield» var i strid med kravene til et tilstrekkelig beskyttelsesnivå i personvernforordningen, lest i lys av menneskerettighetene. Sentralt i vurderingen var de vide hjemlene til amerikansk etterretning og at europeiske borgere ikke har god nok mulighet til å overprøve beslutningene om overvåking.

Betydning[rediger | rediger kilde]

De praktiske konsekvensene av Schrems II er per dags dato uklare. Dommen vil blant annet få betydning for bruken av skytjenester, men i hvilken grad er usikkert. Det er også grunn til å tro at enkelte anskaffelser vil påvirkes.

I mange tilfeller berører dommen hvordan den underliggende IT-infrastrukturen er organisert. Det er derfor også en risiko for at brukere av offentlige tjenester i noen tilfeller vil oppleve noe dårligere enkel-tjenester.

Ettersom de praktiske konsekvensene av Schrems II ikke er fullstendig kartlagt, er det uklart i hvilken utstrekning dommen vil påvirke regjeringens digitaliseringsstrategi. Samtidig er det en prinsipiell og vidtrekkende dom, som blant annet får betydning for bruken av skytjenester og hvordan offentlige tjenester utvikles. Gevinsten i bruk av ny teknologi fordrer at krav i lover og øvrige rammeverk er klarlagt.^[1]

Andre konsekvenser[rediger | rediger kilde]

Det europeiske personvernrådet (EDPB) har vedtatt mer utfyllende veiledning om Schrems II-dommen. Alle som overfører eller planlegger å overføre personopplysninger til land utenfor EØS, bør lese veiledningen.^[2]

Referanser[rediger | rediger kilde]

^ «Hva er Schrems II-dommen | Digdir». www.digdir.no. Besøkt 13. september 2022.
^ «Utfyllende veiledning om Schrems II». Datatilsynet (norsk). Besøkt 13. september 2022.

Eksterne lenker[rediger | rediger kilde]

«Veiledning om de grunnleggende personvernprinsippene». Datatilsynet (norsk). Besøkt 13. september 2022.

[:0-1] «Hva er Schrems II-dommen | Digdir». www.digdir.no. Besøkt 13. september 2022.

[:1-2] «Utfyllende veiledning om Schrems II». Datatilsynet (norsk). Besøkt 13. september 2022.

[1]

[2]