Hoppa till innehåll på sidan
IMY-bloggen
Blå EU-flagga med gula stjärnor mot en blå himmel.

Efter Schrems II – är EDPB:s ändrade rekommen­dationer lösningen?

Publicerad: 21 juni 2021
Schrems II, Privacy Shield, EDPB … ord som det senaste året skapat många diskussioner och bryderier hos både företag och myndigheter. Men vad handlar det om?

Förra sommaren meddelade EU-domstolen dom i det så kallade Schrems II-målet vilket bland annat innebar att personuppgifter inte längre kunde föras över till USA med stöd av Privacy Shield. Det finns andra sätt att skapa garantier för att personuppgifter skyddas efter överföring till länder utanför EU men domstolen klargjorde att dessa kan behöva kompletteras med ytterligare åtgärder om lagstiftningen i mottagarlandet hindrar att personuppgifterna får det skydd som är avsett. Just i USA ansåg domstolen att lagstiftningen (genom Section 702 i FISA) ger en alltför långtgående rätt för övervakningsmyndigheter att få tillgång till personuppgifter hos företag. Domen väckte stor uppmärksamhet förstås och EDPB (som består av EU/EES-ländernas dataskyddsmyndigheter) tog fram rekommendationer för att försöka ge närmare vägledning kring hur man bedömer om det behövs ytterligare åtgärder och vilka sådana åtgärder kan vara.

En stor mängd synpunkter har kommit in från företag och myndigheter och många ansåg att rekommendationerna var alltför strikta – man önskade bland annat större möjlighet att kunna ta hänsyn till den faktiska sannolikheten i det enskilda fallet för att myndigheter ska försöka få tillgång till överförda personuppgifter. I fredags beslutade EDPB om en ny och slutlig version där man försökt möta önskemålen så långt man ansett det möjligt. De slutliga rekommendationerna ger tydligare utrymme för personuppgiftsansvariga i EU att ta hänsyn till den praktiska tillämpningen för att bedöma vilka risker som finns för att uppgifterna inte ska kunna ges ett tillräckligt skydd i mottagarlandet.

Man kan dock inte göra egna subjektiva bedömningar. Det krävs objektiva ställningstaganden utifrån mottagarlandets lagstiftning och vad man kunnat utröna om hur den tillämpas i praktiken. Att mottagaren kan visa att myndigheter i praktiken aldrig begärt åtkomst till den här sortens uppgifter kan vara en faktor i bedömningen men måste kompletteras med annan information. Det krävs också att man tydligt visar, och dokumenterar, sin bedömning av att mottagarlandets lagstiftning inte i praktiken tolkas eller tillämpas på ett sätt som är problematiskt för de uppgifter som ska överföras. EDPB anger exempel på vilka källor som kan användas för att göra bedömningen och den listan har utökats jämfört med den tidigare versionen.

Om det å andra sidan står klart att mottagarlandets lagstiftning i praktiken tillämpas på ett problematiskt sätt är den personuppgiftsansvarige i EU skyldig att antingen upphöra med överföringen eller vidta ytterligare åtgärder som motverkar riskerna. Rekommendationerna innehåller exempel på vad sådana ytterligare åtgärder kan vara, som till exempel kryptering eller pseudonymisering, det vill säga att uppgifter inte förs över i direkt identifierbar form.

Slutet gott, allting gott?

Med den slutliga versionen har EDPB alltså försökt att möta omvärldens önskemål i viss mån. Samtidigt kan EDPB inte avvika från det som domstolen uttalat, nämligen att en skyddsnivå för personuppgifter, som i huvudsak är likvärdig den i EU, måste garanteras när uppgifter förs över till tredje land. Dataskyddsmyndigheterna i EU:s medlemsländer har av domstolen uttryckligen uppmanats att avbryta eller förbjuda överföringar av personuppgifter som sker med stöd av standardavtalsklausuler om man ser att klausulerna inte kan efterlevas i praktiken.

Framtida beslut från EU-kommissionen om adekvat skyddsnivå fortsätter att vara viktigt för en enklare och säkrare tillämpning av reglerna om överföring av uppgifter till tredje land. Sådana beslut kan förstås bara tas om kravet på adekvat skyddsnivå är uppfyllt. I mars meddelade EU-kommissionen att förhandlingar mellan EU och USA om ett nytt starkare Privacy Shield skulle intensifieras:
Intensifying Negotiations on transatlantic Data Privacy Flow

Nyligen antog också EU-kommissionen nya standardavtalsklausuler för överföring av uppgifter till tredje land som ska göra det lättare att följa domen i Schrems II-målet:
European Commission adopts new tools for safe exchanges of personal data

Elisabeth Jilderyd,
jurist och internationell samordnare

 

Vad menas med överföring av personuppgifter och vilka regler gäller?

GDPR innehåller inte någon definition av begreppet tredjelandsöverföring men sådan överföring av personuppgifter sker i många situationer som vi kanske inte tänker på; koncerngemensamma system där uppgifter om anställda, kunder m.m. görs tillgängliga för bolag över hela världen, användande av molntjänster som tillhandahålls av stora globala företag och som innebär att uppgifter lagras på servrar utanför EU eller outsourcing av supporttjänster och liknande till företag i länder utanför EU.

De särskilda villkoren i GDPR för sådan tredjelandsöverföring ska garantera att det skydd som EU:s regler ger inte undermineras när uppgifterna förs över till ett land utanför EU/EES. I grunden finns också EU-stadgan om de grundläggande rättigheterna med dess särskilda bestämmelser om respekt för privatlivet och skydd för personuppgifter.

Senast uppdaterad: 01 september 2021
Senast uppdaterad: 01 september 2021