Eg viser til mine tidlegare postingar rundt Schrems II-domen og personvernrådet i Europa (EDPB) sine tilrådingar:

• Nok til å bli EU-motstandar
• Kan det bli verre, EU?

EU har vore tydeleg i dommen og i etterkant:

…must ensure that the data subject is granted a level of protection essentially equivalent to that guaranteed by the General Data Protection Regulation (GDPR) and the EU Charter of Fundamental Rights (CFR) – if necessary with additional measures to compensate for lacunae in protection of thirdcountry legal systems. Failing that, operators must suspend the transfer of personal data outside the EU.

… Furthermore, the EDPB announced that it will not suspend enforcement for a regulatory grace period.

EDPB, som Datatilsynet i Norge er medlem av, er krystallklare i talen. Ein har ikkje innvilga nokon form for friperiode. Greier ein ikkje å etablere eit tilsvarande nivå som innafor EU, må ein avslutta overføring av data til USA-baserte/-eigde tenester. Basert på tilrådinga fra EDPB, er det ingen moglegheit å sikre informasjon på nemde tenester og stette kravet som er sett. Datatilsynet i Norge er utydelege, men kanskje vi kan sjå eit par lyspunkt frå dei.

Det første lyspunktet finn eg i breva frå Datatilsynet til kommunane dei kontrollerte bruken av G-Suite for Education i skulen. Breva er datert 7. desember 2020, nesten 5 månadar etter domen og 1 månad etter utkast til tilrådingar frå EDPB vart publisert. Etter å ha skumma breva, er det ein ting eg har bite meg merke til: Datatilsynet har ikkje skrive at kommunane skal avslutte bruken av G-Suite for Education.

Det andre lyspunktet er rettleiaren for bruk av Google Chromebook og G Suite for Education (og andre skytenester) i grunnskulen. Dei har utarbeidd ei rettleiing for ei USA-basert/-eigd teneste som etter mi, og mange andre si, forståing av Schrems II-domen og EDPB sine tilrådingar, ikkje kan levere tilstrekkeleg personvern og er i strid med EU sitt lovverk. Personinformasjon vil kunne hentast ut av amerikansk etterretning, f.eks. etter PRISM-paragrafen, som gjer at etterretninga kan pålegge Google å hente ut informasjon som ligg kor som helst i verda på Google sine tenester.

Før du blir blenda av lyset, skal eg like godt blåse det ut. Datatilsynet har lagt til grunn ei tilnærming som er risikobasert. Slik det står no frå EU er det ikkje anledning å gjere ei risikobasert tilnærming. Ergo framstår Datatilsynet i Norge sine handlingar som mildt sagt forvirrande, når alt er avhengig av ei politisk løysing. USA må endre sine lover slik at USA-baserte/-eigde tenester kan levere tilstrekkeleg personvern.