EU-US Privacy Shield

Publicerat:10 augusti, 2020
Ny EU-dom skriver om spelplanen - har ni fortfarande en laglig grund för överföring av
personuppgifter till USA?

EU-domstolen har i en dom den 16 juli 2020 (”Schrems II-domen”) funnit att EU-US Privacy Shield (det instrument som gemensamt beslutats av EU och USA och som utgör en laglig grund för överföring av personuppgifter från EU till USA) inte upprätthåller erforderligt skydd för personuppgifter och därför inte längre utgör en laglig grund för överföring av personuppgifter.

EU-domstolen har även funnit att standardavtalsklausulerna (ett annat instrument som finns att tillgå vid överföring av personuppgifter till tredje land) i och för sig är giltiga, men EU-domstolen pekar på att giltigheten är avhängig av att de aktuella parterna till standardavtalet (den part som exporterar uppgifter till tredje land och den part som importerar uppgifter från EU) i varje enskilt fall ska säkerställa att överföringen sker på ett lagligt sätt. Standardavtalsklausulerna är ju inte bindande för andra än just parterna som skrivit på dessa. Myndigheter i det tredje landet är således inte part, varför man således måste överväga i vad mån lag i det mottagande landet kan medföra att säkerheten för personuppgifterna inte upprätthålls.Det är viktigt att notera att domen i denna del avser överföring till tredje land – inte enbart USA (som är fallet med EU-US Privacy Shield). Schrems II-domen har således betydelse även om överföring sker till annat tredje land än USA. Domstolen har inte specifikt prövat om Standardavtalsklausulerna är olagliga i USA; men då amerikansk lagstiftning vad gäller EU-US Privacy Shield har befunnits vara i strid med europeisk lagstiftning, så är risken överhängande att även Standardklausulerna är otillräckliga och därmed inte lagliga vad avser överföring specifikt till USA.

Känns inte detta lite bekant?

Schrems II-domen är fortsättningen på det som skedde hösten 2015, då Schrems I-domen föll. Den tidigare domen rörde ett mål som drevs av Maximilian Schrems, en student från Österrike, avseende hur Facebook Ireland Ltd. behandlade Schrems personuppgifter. Schrems I-domen innebar att instrumentet Safe Harbor inte ansågs upprätthålla tillräcklig säkerhet och det blev således olagligt att använda Safe Harbor som grund för behandling. EU och USA lyckades efter lite tid komma överens om en ersättning för Safe Harbor i form av EU-US Privacy Shield. Nu har alltså EU-domstolen funnit att även detta instrument är otillräckligt för att säkerställa säkerheten för integriteten hos EU:s medborgare. Även denna gång är det Maximilian Schrems som har väckt en talan, återigen mot Facebook Ireland Ltd.Anledningen är i grunden att USA:s och EU:s lagstiftning i delar är oförenliga, lagstiftning såsom Cloud Act och FISA (Foreign Intelligence Surveillance Act) ger amerikanska myndigheter rätt att tillgå data på ett sätt som strider mot GDPR.

Vad innebär detta då i praktiken?

Överför en organisation personuppgifter till USA enbart baserat på EU-US Privacy Shield så är denna överföring sedan den 16 juli olaglig och ska som sådan upphöra utan dröjsmål. Om överföring sker enligt Standardavtalsklausulerna till ett tredje land (USA eller annat land) måste parterna göra en särskild bedömning om lagstiftningen i det tredje landet medför att säkerheten i den specifika överföringen uppnår den nivå som krävs enligt EU-rätt. Man måste då se till alla omständigheter för att utröna om man bedömer att man kan överföra uppgifterna enligt standardklausulerna.

Detta innebär i praktiken ett mycket påtagligt problem för de allra flesta europeiska och amerikanska aktörer då överföring från EU till USA är ytterst vanligt. Detta genom bland annat utnyttjande av molntjänster (Google och AWS t ex) och andra tjänsteleverantörer såsom Microsoft.

EU-US Privacy Shield är således inte längre en rättlig grund för överföring av personuppgifter till USA sedan den 16 juli 2020. Alla svenska och europeiska aktörer som överför uppgifter till USA och som förlitar sig på enbart EU-US Privacy Shield måste säkerställa att det finns någon annan laglig grund för sådan överföring. Det strider mot GPDR att överföra uppgifter till land utanför EU om inte en laglig grund för överföring finns. Har man förlitat sig på EU-US Privacy Shield, Standardklausulerna (eller i praktiken även BCR, Binding Corporate Rules) måste man således vidta åtgärder och detta utan dröjsmål.

2015, när Safe Harbor föll, gavs en viss ”grace period”. Så är inte fallet nu. Än har tillsynsmyndigheterna inte fått besked att de aktivt ska utreda om företag har upphört att överföra uppgifter baserat på EU-US Privacy Shield, men Datainspektionen (och övriga tillsynsmyndigheter inom EU) har uppmanats av EU att agera på klagomål.

Det är värt att påpeka att frågan i mångt och mycket är politisk, det pågår ett slags ställningskrig i denna fråga sedan länge mellan USA och EU, där USA anser sig ha rätt (på grund av nationell säkerhet) att tillgå all information som finns i amerikanska bolags servrar, oavsett var dessa finns. EU menar att detta innebär ett oacceptabelt intrång i EU-medborgarnas personliga integritet. De krockande lagstiftningarna har medfört att USA och EU inte har hittat en gemensam grund att stå på. Det är därför högst osäkert om det kommer en ny ersättare till EU-US Privacy Shield. En etablerad uppfattning synes vara att det i så fall kommer att kräva lagändringar i både EU och USA.

Hur går man vidare? Detta är tyvärr ännu högst oklart. Datainspektionen och EDPB (European Data Protection Board) kommer att komma med riktlinjer, men då överföring redan idag är olagligt rekommenderar vi att man snarast möjligt börjar vidta åtgärder.

Lutar man sig idag bara på EU-US Privacy Shield får man göra en riskbedömning och försöka lösa överföringen på annan laglig grund. Om man lutar sig på Standardavtalsklausuler eller Binding Corporate Rules måste man göra en bedömning om uppgifterna får ett tillräckligt skydd av den som behandlar uppgifterna i det tredje landet (t ex ett personuppgiftsbiträde). Man kan då också vidta ytterligare skyddsåtgärder för att säkerställa säkerheten (tekniska, organisatoriska eller juridiska). Ett exempel kan vara att man krypterar eller begränsar omfattningen av uppgifter (eller arten av uppgifter) som överförs. Den nya domen lägger ett stort ansvar på aktörerna och att dessa alltid säkerställer att säkerhetsnivån är acceptabel och förenlig med europeisk rätt. Praxis kommer i framtiden att avgöra var dessa gränser går – det är inte en lätt sak för vare sig personuppgiftsansvariga och personuppgiftsbiträden att göra de bedömningarna. En reflektion är att behovet av europeiska aktörer som kan tillhandahålla de tjänster som idag i mycket hög grad köps från amerikanska bolag ökar, det skulle ge en stabilitet och säkerhet i överföring av data som ofta är väsentlig i verksamheter.

Datainspektionen och EDPB arbetar för närvarande intensivt för att ta fram vägledningar och riktlinjer kring hur man ska agera, hur man ska göra riskbedömningar och hur man ska se på andra möjliga lagliga grunder för överföring (t ex samtycke).

Vår rekommendation är att man inte bör vänta in vägledningarna utan man bör utan dröjsmål se över verksamheten och i vad mån överföring sker på laglig eller olaglig grund. Generaldirektören för Datainspektionen, Lena Lindgren Schelin, har uttalat att man bör i varje enskilt fall säkerställa att överföring till USA sker på ett lagligt sett samt att ett aktivt agerande beaktas av Datainspektionen om organisationens behandling blir föremål för en utredning av Datainspektionen. Att avvakta och se vad som händer och hur man ska lösa detta är således inget att rekommendera, utan en riskbedömning ska i vart fall påbörjas och dokumenteras.

EDPBs uttalande om domen kan läsas i sin helhet här ->>

Domen som sådan återfinns här ->>

Slutligen kan noteras att den aktuella domen får långtgående konsekvenser för både amerikanska och europeiska organisationer och ett omfattande arbete har redan nu påbörjats för att hitta godtagbara politiska och legala lösningar. Dock vet vi idag inte hur man ska lösa det och hur fort det går. Till dess måste de som lyder under europeisk rätt agera för att minska integritetsintrång hos de individer vars uppgifter man behandlar och för att minska sin risk för att drabbas av påföljder på grund av brott mot GDPR.

Har du frågor kring GDPR?

Kontakta:

Sara Malmgren, advokat på Foyen Advokatfirma
073-322 84 28, sara.malmgren@foyen.se