Dette innlegget er skrevet som en innledning til Datatilsynets årsmelding for 2015
Det mest spennende med å være leder i Datatilsynet er at det alltid dukker opp store saker som gjør at vi må snu opp ned på prioriteringene våre. Noen opplever kanskje dette som frustrerende, men som jeg pleier å si til de flinke folka i tilsynet: Vi skal være veldig glade for at vi har en arbeidsplass der vi hele tiden må gjøre prioriteringer og endre på planene våre.
Året begynte med fire prioriterte sektorer og to prioriterte prosjekter. Justissektoren, der borgernes rett til å leve sitt liv uten overvåking står mot fellesskapets behov for trygghet, var som alltid viktig. Det samme var helsesektorens innsamling av våre mest sensitive og private opplysninger, samt offentlig sektor for øvrig der det er store mengder opplysninger om oss alle og der man nok ikke alltid har full oversikt over hvilke opplysninger som faktisk behandles. Så var det utdanningssektoren der opplysninger som tidligere var i meldingsbøker, på karakterutskrifter og i ranselpost, blir digitalisert og gjort til gjenstand for analyse og vurdering.
De to prosjektene har et klart internasjonalt tilsnitt. Vi skal forberede oss på EUs nye personvernregelverk i form av en forordning som også vil bli gjeldende lov i Norge. Vi ville også kartlegge hvordan personopplysninger blir brukt kommersielt, særlig når det gjelder å skreddersy reklame basert på den enkeltes interesser, bosted, familieforhold og inntekt.
Mer overraskende var at de to siste prosjektene plutselig befant seg i kjernen av en langt større konflikt, nemlig hvorvidt USA er et trygt land å lagre data i, og om det skal være lov for europeiske selskaper å overføre data til USA.
Sporene etter Snowden
Men la oss spole noen år tilbake. I begynnelsen av juni 2013 sto en beskjeden mann med navn Edvard Snowden fram med banebrytende avsløringer. Ikke bare hadde National Security Agency (NSA) samlet inn enorme datamengder om helt vanlige borgeres liv, de hadde også avlyttet telefonen til storheter som Angela Merkel og 35 andre statsledere. Det er ulike meninger om Edvard Snowden, men det er hevet over enhver tvil at hans avsløringer har hatt svært stor betydning for personverndebatten og forholdet mellom Europa og USA.
Det startet allerede da EU-parlamentet skulle debattere personvern-forordningen. Kommisjonens opprinnelige forslag bygde på det vi kan kalle den tradisjonelle lære – en virksomhet må være etablert i et europeisk land for at europeisk rett skal gjelde. Spørsmålet om jurisdiksjon er viktig, for på personvernområder, som på mange andre, er det stor forskjell på europeisk og amerikansk rett. Blant annet er terskelen for hva som er en personopplysninghøyere i USA, og muligheten for å dele data større. Men EU-parlamentet vedtok en regel om at europeisk rett skal gjelde for alle virksomheter som retter sine tjenester mot europeiske borgere, og det gjelder de aller fleste. Jeg har tidligere kalt dette lex Snowden, fordi parlamentet i begrunnelsen hadde en veldig enkel begrunnelse, de gjorde dette på grunn av Snowdens avsløringer som viste at vi europeere måtte sørge for at europeiske regler gjaldt i Europa.
Når forordningen ble vedtatt var lex Snowden en del av pakka. Men før det, hadde nok en avgjørelse rystet store deler av næringslivet og relasjonene mellom USA og Europa. Da avgjorde nemlig EU-domstolen at den såkalte Safe Harbor-avtalen er ugyldig. De færreste hadde hørt om denne avtalen, men plutselig var den på alles lepper.
Personvernregelverket er på dette punktet veldig enkelt: Det er forbudt å overføre data til tredjeland, det vil si utenfor EØS-området. Dette med mindre EU-kommisjonen har definert tredjelandet som et trygt sted å lagre data. Derfor er det inngått en rekke avtaler mellom EU og land som Chile, Israel og Uruguay, og fastslått at overføring til disse landene er trygt. Så også til USA, men der har avtalen fått et eget navn, Safe Harbor. Den inneholder ganske enkelt et sett regler som amerikanske selskaper kan forplikte seg til å følge. Ved å skrive under en egenerklæring er de et sertifisert datasenter som europeiske selskaper kan overføre data til. Når vi vet at overføring av persondata er en sentral del av nær sagt enhver forretning mellom EU og USA, trengs det ingen tilleggsforklaring på at avgjørelsen som kjente avtalen ugyldig var svært dramatisk. At det er over 4 000 sertifiserte Safe Harbor-sentre sier nok.
Det er ulike meninger om Edvard Snowden, men det er hevet over enhver tvil at hans avsløringer har hatt svært stor betydning for personverndebatten og forholdet mellom Europa og USA.
Så var det Edvard Snowden igjen. Generaladvokaten i EU-domstolen, som skriver innstillinger til dom, la i sin innstilling vekt på nettopp Edvard Snowdens avsløringer når han kom med sin konklusjon om at USA ikke var et trygt land når det gjaldt å behandle data om europeiske borgere. Og EU-domstolen kom kun uker senere til samme konklusjon.
Avgjørelsen var banebrytende, og burde strengt tatt vært omtalt på førstesiden av alle landets aviser. I realiteten, hvis det ikke blir inngått en ny Safe Harbor-avtale, betyr avgjørelsen at mange tusen europeiske virksomheter ikke lenger kan overføre data til USA i medhold av Safe Harbor, men må finne andre, mer tungvinte metoder. Mest nærliggende er å bruke noe som kalles standard modellavtaler, men nå hadde personvernere fått blod på tann. De hevdet at standardavtalene hadde akkurat samme svakheten som Safe Harbor-avtalen, nemlig at amerikanske sikkerhetsmyndigheter kan få tilgang til dataene. Det er vel ingen hemmelig at de fleste jurister mener det er godt hold i et slikt argument.
Dermed måtte vi i Datatilsynet kaste oss rundt. Vi la ut veiledning på hjemmesiden vår, sendte brev til over hundre virksomheter vi visste brukte Safe Harbor og besvarte en lang rekke telefoner. I skrivende stund er det forhandlet fram en ny Safe Harbor-avtale, kalt Privacy Shield, men det kan stilles store spørsmålstegn ved om denne er god nok.
USA versus Microsoft
Men det er ikke bare europeiske domstoler som har vist muskler. Også en domstol i New York fattet en avgjørelse som kan få dramatisk konsekvenser. Microsoft har datasentre over hele verden, men er som alle vet et amerikansk selskap. CIA ville imidlertid ha utlevert blant annet e-poster som lå lagret på en server i Microsofts datasenter i Dublin, Irland. Microsoft nektet og hevdet en amerikansk domstol ikke kan fatte beslutninger som får konsekvenser for europeiske borgere lagret i et europeisk datasenter. Men dommeren mente det motsatte, og påla Microsoft å utlevere e-postene under henvisning til at det var et amerikanske selskap. Dommen skal opp til avgjørelse i en høyere domstol, og ender trolig i Høyesterett, men den illustrerer et interessant forhold. Når slutter amerikansk rett å gjelde? Ved USAs grense? Eller kan et amerikansk selskap tvinges til å utlevere data fra borgere i hele verden, uansett i hvilket land selskapet har sin virksomhet?
Kan et amerikansk selskap tvinges til å utlevere data fra borgere i hele verden, uansett i hvilket land selskapet har sin virksomhet?
Microsoft har protestert heftig og skrevet til alle datatilsynsmyndighetene i Europa og bedt om støtte for sin sak. Konsekvensen for europeiske borgere kan bli dramatisk dersom avgjørelsen blir stadfestet av høyere domsinstanser. Det betyr i klartekst at et amerikanskeid selskap etablert i Norge, kan tvinges til å utlevere norske borgeres data til USA, et land EU-domstolen har fastslått ikke er trygt i så henseende. Et paradoks? Javisst, men det er også dette: Dersom Høyesterett i USA kommer til at dataene må utleveres til USA, bryter de virksomhetene som utleverer dataene europeisk lov. Dersom de nekter å etterkomme en amerikansk dom, bryter de amerikansk lov.
Siste ord er ikke sagt i denne saken, men vi kan trygt slå fast at det blir meget spennende å følge dette videre, ikke minst om Microsoft og andre teknologigiganter lager selskapskonstruksjoner som gjør at de juridisk sett ikke lenger er amerikanske selskaper når det lagres data i Europa. Følgene av dette kan bli store.
Annonseindustriens datakappløp
Datatilsynet lanserte i september rapporten «Det store datakappløpet – om kommersiell utnyttelse av personopplysninger». Som det først datatilsyn i verden, kartla vi hvordan annonseindustrien samler inn enorme mengder svært detaljerte opplysninger om oss. Dette er opplysninger som i sin tur brukes til å sende skreddersydd reklame basert på akkurat vår profil. Det vil for eksempel bety at ti mennesker som går inn på morgenavisen.no vil få ti ulike annonser. Dette utfordrer personvernet på en rekke områder. Kan dataene avsløre følsomme opplysninger om oss? Kan det føre til diskriminering av kunder? En undersøkelse i USA viste at menn får annonser for bedre betalte jobber enn kvinner, og at folk med lav inntekt og betalingsproblemer i større grad enn andre får annonser for kreditter med høy rente. Det er også bekymringsfullt at det digitale annonsemarkedet er svært komplisert og at de aller færreste, om noen, har oversikt over hva som skjer.
Det kom mange reaksjoner fra norske aktører på rapporten, de fleste positive. Samtidig kom det fram en bekymring: Norske virksomheter må ikke ha dårlige rammebetingelser enn våre konkurrenter. Og konkurrentene er jo «the usual suspects» som Facebook, Google og Microsoft. Dermed er vi tilbake der denne innledningen til årsmeldingen startet, ved våre to prioriterte prosjekter, som ikke bare ble nasjonale anliggender, men en del av en personvernkonflikt mellom USA og Europa.