Tre ting jeg har innsett om tredjelandsvurderinger

Written By Ida Tho

Photo by Andrew Stutesman on Unsplash

I dagjobben min har jeg jobbet mye med tredjelandsvurderinger det siste året. Så mye at en kollega og jeg hadde en LinkedIn Live hvor vi snakket om overføringer av personopplysninger til tredjeland for en tid tilbake siden.

Fikk du det ikke med deg, anbefaler jeg deg på det sterkeste å se på opptaket du kan finne her.

La meg bare si at jeg har lært SÅ mye om tredjelandsvurderinger på forholdsvis kort tid. Og det skyldes i all hovedsak at jeg har fått lov til å veilede kollegaen min som har gjort selve arbeidet. Det har vært skikkelig lærerikt.

Og i den forbindelse har jeg innsett tre ting som jeg har lyst til å dele med deg.

1. En tredjelandsvurdering er ikke en risikovurdering, det er en «mini-adekvansvurdering»

Husker du den diskusjonen for noen år siden hvor et større advokatfirma og Datatilsynet kranglet på LinkedIn om du kunne ha en risikobasert tilnærming til overføringer?

Nei? Det er kanskje bare jeg som husker dette som veldig dramatisk fordi jeg er en liten dramaqueen selv. Nuvel! Tilbake til poenget!

Det har lenge vært en diskusjon om man kan ha en risikobasert tilnærming til overføringer. Det jeg har skjønt etter å ha jobbet med dette en stund, er at det spørsmålet egentlig ikke er så relevant.

I 2020 utga EDPB en veileder om «European Essential Garantees for surveillance measures». Veilederen skisserer at du i en tredjelandsvurdering må se på lovene i det landet du skal overføre personopplysninger til. Så må du vurdere om de personverninngrepene som landet har åpnet for ville bli akseptert i EU/EØS.

Innenfor EU/EØS har vi nemlig en rettstradisjon som bare respekterer inngrep i menneskerettighetene under visse forutsetninger. Personvern er en slik menneskerettighet.

Og det betyr at en tredjelandsvurdering ikke er en risikovurdering, men en vurdering av om personverninngrepene som fremgår av lovene i tredjelandet ville bli godtatt i EU/EØS.

Hvis svaret på det er ja, trenger du ikke implementere supplerende tiltak, men hvis svaret er nei, må du.

2. En av grunnene til at dette er vanskelige vurderinger, er at vi ikke er vant til å vurdere om inngrep i lover er legitime

Jeg er jurist. Det betyr at jeg er veldig vant til å tolke loven. Men jeg er mye mindre vant til å vurdere om loven er «lovlig». Altså om de inngrepene i personvernet som loven innebærer er et legitimt inngrep.

Dette er egentlig essensen i menneskerettighetene våre, og personvern er som kjent en menneskerett i vår europeiske kontekst (EMD artikkel 8). Menneskerettighetene – og i forlengelsen av dem – personvernrettighetene, er ikke absolutte. Inngrep i dem kan godtas på visse vilkår.

Men de vurderingene er det som regel bare den Europeiske menneskerettighetsdomstolen eller EU-domstolen som gjør. Som jurister er vi som regel veldig lite interessert i dette. Og det gjør at når vi skal gjøre de vurderingene på lover i land utenfor EU/EØS, er det en veldig fremmed ting.

Og det er med på å gjøre tredjelandsvurderinger ekstra vanskelige.

3. Du som norsk personvernrådgiver er mer kvalifisert til å gjøre denne vurderingen enn det du tror

Når jeg gjør en tredjelandsvurdering, henger jeg meg ofte opp i de tingene jeg ikke kan. Svakhetene jeg som norsk jurist tar med meg.

Og de er mange:

  • Jeg kjenner ikke til alle lovene i tredjelandet som er relevante. Og når jeg finner lover som jeg tror er relevante, blir jeg usikker på om jeg vet jeg gjerne ikke nok til å vurdere om de kommer til anvendelse. 

  • Jeg blir usikker på om jeg tolker dem riktig. Både fordi de er på et annet språk, men også fordi de er skrevet i en rettstradisjon som jeg ikke er trent i

  • Jeg vet ikke hvor jeg skal finne praksis som kan gi meg mer innsikt i hvordan de fungerer i praksis.

Disse tingene har gjort at jeg har tenkt at andre enn meg burde gjøre tredjelandsvurderinger. F.eks. jurister som er eksperter på lovene i det landet det er snakk om. Og akkurat det gjør det ekstra vanskelig og stressende å gjøre tredjelandsvurderinger.

Men jeg innså denne uka at du som sitter med en tredjelandsvurdering faktisk ER den beste til å gjøre jobben, for du skal vurdere lovene opp mot rettsstandarden i EU/EØS. Den fiktive juristen jeg tror er bedre rusta til å gjøre dette er IKKE ekspert på det.

Den endringen i tankesett kom ved at jeg forsto bedre hva en tredjelandsvurdering faktisk er.

Jeg sier ikke at de ikke er vanskelige og tar tid, for det er de og det gjør de. Men jeg innså at noen av de hindrene jeg har laget for meg selv, er nettopp det. Hindre JEG har laget fordi jeg tror at jeg ikke er kvalifisert til å gjøre en tredjelandsvurdering.

Og det var en endring i tankesett som har hjulpet meg veldig, og da kan den kanskje også hjelpe deg neste gang du skal gjøre en tredjelandsvurdering!

Denne bloggposten er basert på nyhetsbrevet mitt om personvern. Driver du med personvern og kunne tenke deg støtte i form av et ukentlig nyhetsbrev? Meld deg på her!

Ida Tho
Previous

Noen databehandlere er så store at de trenger å være i en egen kategori

Next

Oversikt over EU - US Data Privacy Framework