Privacy Shield ogiltig – Vad gäller nu vid överföring av personuppgifter till tredje land?
EU-domstol har nu fastslagit i målet Schrems II att Privacy Shield, mekanismen för självcertifiering för att garantera tillräcklig skyddsnivå vid överföring av personuppgifter till USA, ogiltigförklaras [1]. Dock ansåg domstolen att standardavtalsklausuler fortfarande kan användas. Veckans blogg ger sammanhang och bakgrund för detta, förklarar varför det är problematiskt för organisationer som nyttjar amerikanskägda molntjänster, samt ger förslag på åtgärder att vidta.
Överföring av personuppgifter till tredje land
Ökningen av överföringar av personuppgifter i takt med t.ex. digitalisering och internationell handel utanför EU medför utmaningar för skyddet av personuppgifter. Enligt GDPR (Artikel 44-50) är överföring till tredje land (utanför EU och EES) tillåten om personuppgiftsansvarig vidtagit lämpliga skyddsåtgärder. t.ex. standardavtalsklausuler (SCC:s), bindande företagsbestämmelser(BCR:s) eller vid särskilda situationer då undantag råder, samt att adekvat skyddsnivå kan uppvisas i det land uppgifter ska överföras till. Adekvat skyddsnivå innebär att skyddet för individen är väsentligt likvärdig med nivån som GDPR garanterar i EU. Till skillnad från personuppgiftslagen är det enbart EU-kommissionen som kan avgöra om nivån är adekvat eller inte i ett tredje land. De väger in t.ex. landets lagar. möjligheter att få rättslig prövning som registrerad, om landet respekterar mänskliga rättighter, samt om oberoende tillsynsmynighet existerar med ansvar för verkställande av tillämpningen av GDPR.
Utöver en lista på länder som bedömts ha adekvata nivåer, däribland Japan, Schweiz samt Kanada, har EU-kommisionen bedömt att USA i och med Privacy Shield år 2016 (som är en uppdaterad Safe Harbour) har adekvat skyddsnivå. Där kan nämligen företag, om de uppfyller principer i Privacy Shield för hur uppgifter till USA hanteras, ansluta genom att anmäla sig till handelsdepartementet. FTC säkerställer efterlevnad av Privacy Shield. Konkret har detta inneburit att Personuppgiftsansvariga inom EU som nyttjat leverantöri USA (t.ex. lagring i molntjänst) uppfyllt GDPR avseende tredjelandsöverföring, om företaget varit anslutet til Privacy Shield, samt upprättat SCC:s. Det vill säga, ända tills nu.
Schrems II (C-311/18)
Efter att Safe Harbour ogiltigförklarats i målet Schrems I (C-362/14) [4] eftersom det inte visade att USA säkerställde en adekvat skyddsnivå, ansökte Max Schrems återigen till den irländska datainspektionen. Det gällde tillsyn av hur Facebook Irland överförde personuppgifter utanför EU för att pröva om Privacy Shield och standardavtalsklausuler kan anses tillräckligt. Målet gick vidare till EU-domstol i 2018 och har nu avgjorts [1]. Intressant och avgörande är att Privacy Shield har (precis som Safe Harbour) innehållit samma möjligheter för begränsning av principerna med hänsyn till t.ex. nationell säkerhet [4]som alltså både i Schrems I och II bedömts utgöra ingrepp i rättigheter för personer vars uppgifter lagras i USA. Övervakninslagar i USA kolliderar således med EU:s integritetsskydd, d.v.s trots Privacy Shield anslutning har alltså amerikanska myndigheter lagstadgad rätt att vid vissa situationer, få tillgång till personuppgifterna. I deomen har säkerligen även utfallet i Schrems I dessutom varit vägledande i tolkning av vad en adekvat skyddsnivå är (eller egentligen inte är) och vägts in i den slutliga bedömningen att Privacy Shield inte är förenligt med GDPR.
Vad blir konsekvenserna av domen?
All överföring till USA som nyttjat Privacy Shield som legal bas är otillåten i och med Schrems II. Detta gäller t.ex. lagring i amerikanskägda molnbaserade tjänster och databaser vilket kan få påverkan på såväl privata företag som myndigheter i Sverige. Det kan dock finnas omständigheter då överföring till tredjeland (t.ex. USA) är tilllåtet, i.e. då standardavtalsklausuler, bindande företagsbestämmelser eller undantagsregeln nyttjas, men då krävs kompletterande arbete, vilket jag strax kommer till.
Vilka åtgärder bör verksamheter vidta i detta läge?
Generellt behöver Personuppgiftsansvariga samt biträden omgående
- se över nuläget, dvs gå igenom sina behandlingsregister för att identifiera vilken behandling som innebär överföring till tredjeland
- undersöka vid vilka fall Privacy shield används samt omständigheter för denna behandling
- identifiera de fall då standardavtalsklausuler eller företagsbestämmelser används och huruvida de är godkända av kommisionen
se över leverantörsavtal då personuppgifter behandlas för att säkerställa att de inte uttrycker möjlig överföring till tredje land
Vägledningen som Europeiska Dataskyddsstyrelsen (EDPB) nu beskriver i en FAQ [5] ger viss information om förväntansnivåer på det arbete som krävs. Den säger t.ex. att om SCC:s eller BCR.s tillämpas vid överföringen utanför EU ska följande ny bedömning göras av Personuppgiftsansvariga:
-för varje enskilt fall väga in omständigheter för överföringen samt samt vilka ytterligare skyddsåtgärder som, skulle kunna införas, för en tillräcklig skyddsnivå av uppgifter som inte påverkas av landets lagar (?). Visar bedömningen på en skyddsnivå som inte är likvärdig den inom EU ska överföringen omedelbart avslutas. Om bedömningen visar det motsatta, måste Datainspektionen meddelas för att överföringen ska kunna fortgå.
EDPB meddelar att ytterligare information och vägledning i vad domen prkatiskt innebär är att vänta. Man får hoppas att detta minst t.ex. omfattar förtydligande avseende vad som är tillräckliga ytterligare skyddsåtgärder för att minska den nu överhängande risken för godtyckliga bedömningar.
Referenser:
[1] https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091en.pdf
[2] https://www.datainspektionen.se/lagar–regler/dataskyddsforordningen/tredjelandsoverforing/
[5] https://edpb.europa.eu/sites/edpb/files/files/file1/ 20200724_edpb_faqoncjeuc31118_en.pdf