Den 16 juli 2020 meddelade EU-domstolen dom i det så kallade Schrems II-målet. Domstolen slog fast att Privacy Shield-avtalet mellan EU och USA inte gav ett tillräckligt skydd för personuppgifter när dessa förs över till USA.
Ogiltigförklarandet av Privacy Shield innebär att det inte längre är tillåtet för personuppgiftsansvariga i EU att med Privacy Shield som grund överföra personuppgifter till mottagare i USA.
Domstolen ansåg däremot att EU-kommissionens beslut om standardavtalsklausuler fortsatt var giltigt och att sådana klausuler kan användas vid överföring till länder utanför EU och EES men att det i samband med användandet av dem kan behövas ytterligare skyddsåtgärder. Så är fallet om mottagarlandet genom sin lagstiftning eller praxis inte kan anses tillförsäkra en i allt väsentligt likvärdig skyddsnivå för uppgifterna som inom EU och EES.
Sedan dess har EU-kommissionen antagit nya standardavtalsklausuler som kan användas för överföring av uppgifter utanför EU/EES – läs mer om dem nedan. Europeiska dataskyddsstyrelsen (EDPB) har också antagit rekommendationer om när ytterligare skyddsåtgärder kan behövas och vad sådana åtgärder kan vara.
EDPB:s Rekommendationer 1/2020 om ytterligare åtgärder för att tillförsäkra att EU:s nivå av skydd för personuppgifter upprätthålls
EDPB har tagit fram rekommendationer om vilka ytterligare skyddsåtgärder som kan användas vid överföring av personuppgifter till länder utanför EU och EES när skyddsnivån i mottagarlandet inte kan anses tillförsäkra en likvärdig skyddsnivå. Rekommendationerna innefattar också kriterier som tydliggör under vilka tänkbara omständigheter som en överföring inte är möjlig. Bedömningen av vilka åtgärder som ska användas och i vilken utsträckning det är tillräckligt för att uppnå en godtagbar skyddsnivå ska göras i varje enskilt fall och av exportören.
Till hjälp för bedömningen rekommenderar EDPB en process på sex olika steg. Den går i korthet ut på att kartlägga vilka överföringar som ska ske, identifiera vilket stöd man har för överföringen enligt kapitel V i dataskyddsförordningen, utvärdera situationen i mottagarlandet för att se om ett tillräckligt skydd för uppgifterna kan garanteras där – i annat fall, identifiera och vidta de ytterligare åtgärder som krävs för att ett tillräckligt skydd ska uppnås.
Bedömningen är beroende både av omständigheterna för den specifika överföringen och av rättsläget i det land som uppgifterna ska överföras till. Det spelar inte bara roll hur lagstiftningen ser ut i teorin utan även den praktiska tillämpningen ska beaktas. Mottagarens erfarenheter om hur lagstiftningen tillämpas i praktiken på just de uppgifter som ska överföras kan beaktas – inte som enda faktor men som en del av en helhetsbedömning där också andra källor finns med som underlag.
EDPB har listat olika källor som kan vara relevanta och ger också vissa exempel på olika situationer där åtgärder behövs och vilka de åtgärderna kan vara. Det handlar till exempel om kryptering eller pseudonymisering, där uppgifter inte är direkt identifierbara till en enskild person.
Till hjälp för att avgöra om ett land ska anses ha en tillräcklig skyddsnivå har EDPB också tagit fram ett annat dokument om European Essential Guarantees (Rekommendationer 02/2020). Där anger man vilka grundläggande garantier som måste respekteras när ett land beslutar om ingrepp i rätten till integritets- och dataskydd (t.ex. genom övervakningsåtgärder), för att dessa ingrepp inte ska gå utöver vad som är nödvändigt och proportionerligt i ett demokratiskt samhälle.
Nej, EU-domstolens dom (C-311/18) innebär att Privacy Shield har upphört att gälla. Finns det ett behov av att överföra uppgifter till USA måste ni hitta en annan juridisk lösning än Privacy Shield.
De möjligheter som finns för att överföra personuppgifter till tredjeland anges i kapitel V i dataskyddsförordningen. Schrems II-domen betonar att alla bestämmelser om tredjelandsöverföring i kapitel V måste tillämpas så att de säkerställer att den skyddsnivå som förordningen ger fysiska personer inte undergrävs. De lämpliga skyddsåtgärder som kan göra det möjligt att föra över personuppgifter enligt artikel 46 måste tillhandahålla en skyddsnivå som är ”väsentligen likvärdig” med den som garanteras inom EU genom dataskyddsförordningen. Den Europeiska dataskyddsstyrelsen (EDPB) kommer att bedöma vilka konsekvenser domen får på de andra överföringsverktyg än standardavtalsklausuler och bindande företagsbestämmelser som listas i Artikel 46. För standardavtalsklausuler och bindande företagsbestämmelser finns mer vägledning nedan.
EU-domstolen anser att standardavtalsklausuler som regel fortfarande kan användas för att överföra personuppgifter till ett tredjeland. I sin dom talar dock EU-domstolen om att standardavtalsklausuler kan behöva kompletteras med ytterligare skyddsåtgärder i situationer där det ser ut att vara tveksamt om lagstiftningen i det mottagande landet gör det möjligt att leva upp till det som standardavtalsklausulerna är avsedda att tillförsäkra, nämligen att upprätthålla en i allt väsentligt samma nivå av skydd för grundläggande fri- och rättigheter som råder inom EU.
EU-kommissionen antog i juni 2021 en ny uppsättning standardavtalsklausuler för överföring av personuppgifter till tredjeland som ska göra det lättare att följa Schrems II-domen. Avtal som har ingåtts med de tidigare godkända standardavtalsklausulerna kan fortsätta att gälla fram till 27 december 2022 under förutsättning att behandlingen av uppgifter inte ändras och att de säkerställer ett tillräckligt skydd hos mottagaren.
EU-domstolens dom i Schrems II-målet kan även påverka överföringar av personuppgifter som sker med stöd av bindande företagsbestämmelser (binding corporate rules eller BCR) eftersom ett tredjelands lag kan komma att påverka skyddet som tillhandahålls genom sådana överföringsverktyg.
Det är upp till den som vill föra över personuppgifter till USA eller annat tredjeland att göra en bedömning av om de anser att tillräckliga skyddsåtgärder har vidtagits för att garantera att kraven i dataskyddsförordningen uppfylls.
När IMY godkänner bindande företagsbestämmelser kontrolleras om de krav som dataskyddsförordningen ställer på sådana bestämmelser är uppfyllda. Bindande företagsbestämmelser ska bland annat ange hur koncernen följer grundläggande principer om exempelvis ändamålsbegränsning och uppgiftsminimering, de registrerades rättigheter samt processen för hantering av klagomål. Därefter är det upp till den som fått sina bindande företagsbestämmelser godkända att bedöma om de garantier och det skydd som ges i företagsbestämmelserna i praktiken kan upprätthållas vid en överföring av personuppgifter till USA eller annat tredjeland.
Ett godkännande av en koncerns bindande företagsbestämmelser innebär därmed inte ett tillstånd att överföra uppgifter till ett särskilt land eller att de åtgärder och åtaganden som finns i de bindande företagsbestämmelserna har bedömts mot lagstiftningen i de länder till vilka överföring kan tänkas ske.
Trots att en koncern har fått sina bindande företagsbestämmelser godkända kan det alltså vara så att ytterligare skyddsåtgärder behöver vidtas eller att en överföring till och med måste avbrytas, om koncernen efter en helhetsbedömning kommer fram till att man inte kan leva upp till sina åtaganden och att lämpliga skyddsåtgärder i praktiken inte kan säkerställas.
Överföring till tredjeland kan fortfarande ske i de särskilda, icke systematiska, situationer som anges i artikel 49 under förutsättning att de villkor som anges där är uppfyllda. Europeiska dataskyddsstyrelsen har tagit fram riktlinjer om vad som gäller enligt artikel 49.
IMY har tillsammans med övriga dataskyddsmyndigheter i Europa genom EDPB tagit fram rekommendationer om ytterligare skyddsåtgärder (Rekommendationer 01/2020) som kan behövas vid överföring av uppgifter till länder utanför EU/EES.
IMY har också deltagit i EDPB:s arbete med att ta fram mer generell information om domen och dess konsekvenser såsom EDPB:s dokument med vanliga frågor och svar. Notera dock att detta dokument publicerades innan EDPB:s rekommendationer om ytterligare skyddsåtgärder antogs slutligt och därför kan innehålla information som inte längre stämmer.
Vi arbetar kontinuerligt både på nationell nivå och tillsammans med de andra dataskyddsmyndigheterna inom EU/EES för att uppnå en enhetlig tolkning och tillämpning av domens effekter.
Följ stegen i dokumentet med rekommendationer som EDPB tagit fram.
Det första ni bör göra är att kartlägga vilka flöden av personuppgifter som finns i organisationen och i vilka fall personuppgifter kan komma att överföras till tredjeland.
Om uppgifter överförs till tredjeland bör ni undersöka hur skyddet hos det mottagande landet ser ut i det särskilda fallet. Här ska ni till exempel titta på om det till följd av lagregler eller praktisk tillämpning är så att myndigheter i mottagarlandet kan få tillgång till uppgifterna på ett sätt som inte skulle vara tillåtet inom EU/EES. Därefter måste ni ta ställning till om det finns stöd för överföringen eller inte.
I EDPB:s rekommendationer finns utförlig information om hur man bedömer situationen i mottagarlandet och vilka ytterligare åtgärder som kan behöva vidtas.
I era avtal med eventuella personuppgiftsbiträden ska det framgå om personuppgifter överförs till tredjeland. Ni bör även ta reda på om eventuella underleverantörer överför uppgifter till tredjeland.
EU-kommissionen har också antagit nya standardavtalsklausuler som kan läggas till grund för överföring av personuppgifter till tredjeland. Klausulerna tar hänsyn till Schrems II-domen och kravet på ytterligare åtgärder om det visar sig att skyddet som klausulerna ska garantera inte kan uppnås i praktiken.