🤔 Får vi Schrems III? 🤔 Will there be a Schrems III? 🤔

Nyhetsbrev om nasjonal DPIA for Google Workspace for Education

Får vi Schrems III?

Hei !

«Får vi Schrems III?»

Dette er et spørsmål mange stiller seg nå som EU-kommisjonen i sommer kom med den nye adekvansbeslutning. Du kjenner den kanskje som «adekvansvurderingen», eller «Data Privacy Framework» eller kanskje du kaller den «det nye rammeverket for overføringer til USA»? Kjært barn har som kjent mange navn!

Men hvor lenge vil du kunne bruke dette nye overføringsgrunnlaget? EU-domstolen har jo tilsidesatt de forrige overføringsgrunnlagene ved Schrems I og II. Sagt på en annen måte:

Får vi en Schrems III?

Hva mener vi med de forskjellige begrepene?
Før vi går videre, har vi lyst til å fortelle deg hva vi mener med de forskjellige begrepene.

Adekvansbeslutningen er kort fortalt den beslutningen hvor EU-kommisjonen har vurdert og bestemt at det nå er «sikkert» å overføre personopplysninger til USA. Og med «sikkert» mener EU-kommisjonen at personvernrettighetene våre vil bli respektert på et tilsvarende nivå som i EU/EØS.

Data Privacy Framework er et rammeverk som inneholder personvernforpliktelser som amerikanske virksomheter må leve opp. Hvis de klarer det, kan de sertifiseres etter rammeverket, og det betyr at de også kan bruke det som overføringsgrunnlag. Det betyr igjen at du som behandlingsansvarlig kommune kan bruke Data Privacy Framework som overføringsgrunnlag hvis du har en leverandør som overfører personopplysninger til USA.

Du finner en oversikt over hvilke amerikanske virksomheter som er sertifisert her.

Det er et krav at når du overfører personopplysninger ut av EU/EØS, trenger du et overføringsgrunnlag. Hvilke overføringsgrunnlag som du kan bruke, er listet opp i GDPR kapittel 5.

Hvis du bruker Google Workpace for Education, skal du bruke Data Privacy Framework som overføringsgrunnlaget ditt til USA

Vi i det nasjonale DPIA-prosjektet hadde jobbet en del med overføringer til USA da adekvansvurderingen kom i sommer.

Vi var godt i gang med vurderingene om det amerikanske etterretningslovverket EO 12333 fikk anvendelse på en kommunes behandling av personopplysninger i Google Workspace for Education.

Vi skal ikke si at de vurderingene ble ubrukelige over natta, men det er egentlig det vi sier. Fordi hvis du bruker Google Workspace for Education, skal du bruke Data Privacy Framework eller adekvansvurderingen som overføringsgrunnlag for overføring av personopplysninger til USA.

Google gir deg ikke noe valg. Du kan ikke lenger bruke Standard Contractual Clauses (eller Standardbestemmelsene på norsk), du må bruke adekvansvurderingen.

Hva vi har laget
Det vi har laget er en vurdering av om det er grunn til å tro at EO 12333 i får anvendelse på en kommunes behandling av personopplysninger i Google Workspace for Education. Du kan laste den ned her.

Vurderingen vil bare være relevant for deg som har en leverandør som bruker Standard Contractual Clauses (SCC) som overføringsgrunnlag og som ikke er sertifisert etter Data Privacy Framework. Når du bruker SCC som overføringsgrunnlag, må du i tillegg gjøre det vi kaller en Transfer Impact Assessment eller en tredjelandsvurdering, og vår vurdering kan være en del av det.

Denne vurderingen kan også brukes som en del av en tredjelandsvurdering hvis adekvansvurderingen blir ugyldiggjort og du som bruker Google Workspace for Education på nytt må bruke SCC som overføringsgrunnlag.

Det som er verdt å legge merke til er imidlertid at hvis adekvansvurderingen blir ugyldiggjort, kan det være at noen av de reglene vi har vurdert ikke lenger gjelder. Vi tenker spesielt på EO 14086, og hvis det er tilfelle, må vurderingen vår justeres før du kan bruke den!

Invitasjon til LinkedIn Live
Ok, ok, sier du kanskje. Men vil adekvansvurderingen ble satt til side?

Ja, det er det store spørsmålet. Og for å kunne svare på det, må vi se på hva som er forskjellen med hvordan etterretningsmyndighetene i USA er regulert nå, i forhold til det som var tilfelle før.

Vi ønsker å invitere deg til en egen LinkedIn Live 07.12 kl. 12.00-13.00. Vi vil forsøke å svare på det, samt gjennomgå følgende punkter:

🟢 Hva sier adekvansvurderingen? Hvordan begrunner EU-kommisjonen at personvern for EU-borgere nå blir ivaretatt ved overføringer til USA?

🟢 Spesifikt om EO 14086? Hva betyr den for hvor «sikkert» det er å overføre personopplysninger til USA nå?

🟢 Hva mener vi er risikoen for at den blir overprøvd? Svakheter? Andres kritikk!

🟢 Hva er scenarioene for at den blir overprøvd?

Jeg ønsker deg en riktig god, personvernvennlig helg!

Vennlig hilsen

Ida Thorsrud

prosjektleder nasjonal DPIA

Ps. Jeg anbefaler deg å se denne LinkedIn Liven fordi vi juristene i det nasjonale DPIA-prosjektet kommer til å gjøre noe som ikke faller oss naturlig: vi skal spekulere i faktum! Altså gi deg vår personlige og faglige mening på hva vi tror! Og det er litt uttafor komfortsona, men vi skal gjøre det likevel.

KS er kommunesektorens organisasjon og representerer alle
norske kommuner og fylkeskommuner.

Jeg ønsker ikke å motta flere nyhetsbrev

Har du gått glipp av noen nyhetsbrev? Se en fullstendig oversikt her!

Newsletter: Progress on the National DPIA for Google Workspace for Education

Will there be a Schrems III?

Hi !

"Will there be a Schrems III?"

This is a question many are asking now that the EU Commission released the new adequacy decision this summer. You might know it as the "adequacy assessment," "Data Privacy Framework," or maybe you call it "the new framework for transfers to the USA"? Beloved child has many names, as we say in Norwegian!

But how long will you be able to use this new basis for transfer? The Court of Justice of the European Union has set aside the previous transfer bases in Schrems I and II.

Put another way: Will there be a Schrems III?

What do we mean by the different terms?
Before we proceed, we'd like to explain what we mean by these terms.

The adequacy decision, in short, is the decision where the EU Commission has assessed and determined that it is now "safe" to transfer personal data to the USA. And by "safe," the EU Commission means that our data protection rights will be respected at a level equivalent to that in the EU/EEA.

The Data Privacy Framework is a framework that contains privacy obligations that American companies must comply with. If they manage this, they can be certified under the framework, which means that they can also use it as a basis for transfer. This again means that you, as a data controller and municipality, can use the Data Privacy Framework as a basis for transferring personal data to the USA if you have a supplier transferring personal data to the USA.

You can find a list of certified American companies here.

There is a requirement that when you transfer personal data out of the EU/EEA, you need a basis for transfer. The transfer bases that you can use are listed in GDPR Chapter 5.

If you use Google Workspace for Education, you should use the Data Privacy Framework as your basis for transferring your data to the USA

We in the national DPIA project had worked a lot with transfers to the USA when the adequacy decision came this summer.

We were well underway with the assessments of whether the American intelligence law EO 12333 applies to a municipality's processing of personal data in Google Workspace for Education.

We're not saying that these assessments became useless overnight, but that's actually what we're saying. Because if you use Google Workspace for Education, you should use the Data Privacy Framework or the adequacy decision as the basis for transferring personal data to the USA.

Google doesn't give you a choice. You can no longer use Standard Contractual Clauses, you must use the adequacy decision.

What we have created

What we have created is an assessment of whether there is reason to believe that EO 12333 applies to a municipality's processing of personal data in Google Workspace for Education. You can download it here.

This assessment will only be relevant to you if you have a supplier using Standard Contractual Clauses (SCC) as a basis for transfer and who is not certified under the Data Privacy Framework. When you use SCC as a basis for transfer, you also need to conduct what we call a Transfer Impact Assessment or a third-country assessment, and our assessment can be part of that.

This assessment can also be used as part of a third-country assessment if the adequacy assessment is invalidated and you, as a user of Google Workspace for Education, again have to use SCC as a basis for transfer.

However, it is worth noting that if the adequacy assessment is invalidated, some of the rules we have assessed may no longer apply. We are thinking specifically of EO 14086, and if that's the case, our assessment must be adjusted before you can use it!

Invitation to LinkedIn Live
Ok, ok, you might say. But will the adequacy assessment be set aside? Yes, that's the big question. And to answer it, we need to look at how the intelligence authorities in the USA are regulated now, compared to what was the case before.

We invite you to a special LinkedIn Live on 07.12 at 12:00-13:00. We will try to answer that, as well as go through the following points:

🟢 What does the adequacy assessment say? How does the EU Commission justify that data protection for EU citizens is now upheld in transfers to the USA?

🟢 Specifically about EO 14086? What does it mean for how "safe" it is to transfer personal data to the USA now?

🟢 What do we think is the risk that it will be overturned? Weaknesses? Other critiques!

🟢 What are the scenarios for it being overturned?

I wish you a wonderful, privacy-friendly week-end!

Best regards,

Ida Thorsrud

Project manager national DPIA

This newsletter was translated from Norwegian to English with assistance from ChatGPT by OpenAI. While it guided our translation, we made independent editorial choices. Any discrepancies result from this combined approach.

Ps. I recommend you watch this LinkedIn Live because we, the jurists in the national DPIA project, are going to do something that doesn't come naturally to us: we will speculate about the facts! That means giving you our personal and professional opinions on what we believe! And it's a bit outside our comfort zone, but we're going to do it anyway!

KS is The Norwegian Assosiation of Local and Regional Authorities

Jeg ønsker ikke å motta flere nyhetsbrev

Har du gått glipp av noen nyhetsbrev? Se en fullstendig oversikt her!