Schrems II-domen och överföringar till tredjeland

Ogiltigförklarandet av Privacy Shield innebar att det inte längre var tillåtet för personuppgiftsansvariga i EU att med Privacy Shield som grund överföra personuppgifter till mottagare i USA.

Domstolen ansåg däremot att EU-kommissionens beslut om standardavtalsklausuler fortsatt var giltigt och att sådana klausuler kan användas vid överföring till länder utanför EU och EES men att det i samband med användandet av dem kan behövas ytterligare skyddsåtgärder. Så är fallet om mottagarlandet genom sin lagstiftning eller praxis inte kan anses tillförsäkra en i allt väsentligt likvärdig skyddsnivå för uppgifterna som inom EU och EES.

Sedan dess har EU-kommissionen antagit nya standardavtalsklausuler som kan användas för överföring av uppgifter utanför EU/EES. Europeiska dataskyddsstyrelsen (EDPB) har också antagit rekommendationer om när ytterligare skyddsåtgärder kan behövas och vad sådana åtgärder kan vara.

Obs! Efter förhandlingar med USA har EU-kommissionen fattat ett nytt beslut om adekvat skyddsnivå, om mottagaren omfattas av ”EU–U.S. Data Privacy Framework”. Bedömningen, som följer av Schrems II-domen och EDPB:s rekommendationer (01/2020), av om exempelvis standardavtalsklausuler behöver kompletteras av ytterligare skyddsåtgärder är dock fortsatt relevant vid överföring till tredjeländer eller mottagare som inte omfattas av något beslut om adekvat skyddsnivå.

EDPB:s rekommendationer 01/2020 om ytterligare åtgärder för att tillförsäkra att EU:s nivå av skydd för personuppgifter upprätthålls

EDPB har tagit fram rekommendationer om vilka ytterligare skyddsåtgärder som kan användas vid överföring av personuppgifter till länder utanför EU och EES när skyddsnivån i mottagarlandet inte kan anses tillförsäkra en likvärdig skyddsnivå. Rekommendationerna innefattar också kriterier som tydliggör under vilka tänkbara omständigheter som en överföring inte är möjlig. Bedömningen av vilka åtgärder som ska användas och i vilken utsträckning det är tillräckligt för att uppnå en godtagbar skyddsnivå ska göras i varje enskilt fall och av exportören.

Till hjälp för bedömningen rekommenderar EDPB en process på sex olika steg. Den går i korthet ut på att kartlägga vilka överföringar som ska ske, identifiera vilket stöd man har för överföringen enligt kapitel V i dataskyddsförordningen, utvärdera situationen i mottagarlandet för att se om ett tillräckligt skydd för uppgifterna kan garanteras där – i annat fall, identifiera och vidta de ytterligare åtgärder som krävs för att ett tillräckligt skydd ska uppnås.

Bedömningen är beroende både av omständigheterna för den specifika överföringen och av rättsläget i det land som uppgifterna ska överföras till. Det spelar inte bara roll hur lagstiftningen ser ut i teorin utan även den praktiska tillämpningen ska beaktas. Mottagarens erfarenheter om hur lagstiftningen tillämpas i praktiken på just de uppgifter som ska överföras kan beaktas – inte som enda faktor men som en del av en helhetsbedömning där också andra källor finns med som underlag.

EDPB har listat olika källor som kan vara relevanta och ger också vissa exempel på olika situationer där åtgärder behövs och vilka de åtgärderna kan vara. Det handlar till exempel om kryptering eller pseudonymisering, där uppgifter inte är direkt identifierbara till en enskild person.

Till hjälp för att avgöra om ett land ska anses ha en tillräcklig skyddsnivå har EDPB också tagit fram ett annat dokument om European Essential Guarantees (Rekommendationer 02/2020). Där anger man vilka grundläggande garantier som måste respekteras när ett land beslutar om ingrepp i rätten till integritets- och dataskydd (till exempel genom övervakningsåtgärder), för att dessa ingrepp inte ska gå utöver vad som är nödvändigt och proportionerligt i ett demokratiskt samhälle.