Gå till innehållet

Schrems II-domen och överföringar till tredje land

Den 16 juli 2020 meddelade EU-domstolen dom i det så kallade Schrems II-målet. Domstolen slog fast att Privacy Shield-avtalet mellan EU och USA inte ger ett tillräckligt skydd för personuppgifter när dessa förs över till USA.

Privacy Shield är en mekanism för självcertifiering som finns i USA. Det innebär att företag i USA kan anmäla sig till det amerikanska handelsdepartementet (Department of Commerce) och meddela att de uppfyller de krav som ställs i Privacy Shield.

Enligt ett tidigare (numera ogiltigförklarat) beslut från EU-kommissionen har det varit tillåtet för personuppgiftsansvariga i EU att överföra personuppgifter till mottagare som har anslutit sig till Privacy Shield.

Den 16 juli 2020 meddelade EU-domstolen dom i det så kallade Schrems II-målet. Domstolen slår fast att Privacy Shield-avtalet mellan EU och USA inte ger ett tillräckligt skydd för personuppgifter när dessa förs över till USA.

Ogiltigförklarandet av Privacy Shield innebär att det inte längre är tillåtet för personuppgiftsansvariga i EU att med Privacy Shield som grund överföra personuppgifter till mottagare i USA.

Domstolen ansåg däremot att Kommissionens beslut om standardavtalsklausuler är giltigt och att sådana kan användas vid överföring till länder utanför EU och EES men att det i samband med användandet av dem i sin nuvarande form kan behövas ytterligare skyddsåtgärder. Så är fallet om mottagarlandet genom sin lagstiftning eller praxis inte kan anses tillförsäkra en i allt väsentligt likvärdig skyddsnivå för uppgifterna som inom EU och EES.

Läs EU-domstolens pressmeddelande om domen

EDPB:s Rekommendationer 1/2020 om ytterligare åtgärder för att tillförsäkra att EU:s nivå av skydd för personuppgifter upprätthålls

EDPB har tagit fram rekommendationer om vilka ytterligare skyddsåtgärder som kan användas vid överföring av personuppgifter till länder utanför EU och EES när skyddsnivån i mottagarlandet inte kan anses tillförsäkra en likvärdig skyddsnivå. Rekommendationerna innefattar också kriterier som tydliggör under vilka tänkbara omständigheter som en överföring inte är möjlig. Bedömningen av vilka åtgärder som ska användas och i vilken utsträckning det är tillräckligt för att uppnå en godtagbar skyddsnivå ska göras i varje enskilt fall och av exportören.

Bedömningen är beroende både av omständigheterna för den specifika överföringen och av rättsläget i det land som uppgifterna ska överföras till.

Till hjälp för att avgöra om ett land ska anses ha en tillräcklig skyddsnivå har EDPB också tagit fram, och nu uppdaterat, ett annat dokument om European Essential Guarantees (Rekommendationer 2/2020). Där anger man vilka grundläggande garantier som måste respekteras när ett land beslutar om ingrepp i rätten till integritets- och dataskydd (t.ex. genom övervakningsåtgärder), för att dessa ingrepp inte ska gå utöver vad som är nödvändigt och proportionerligt i ett demokratiskt samhälle.

Rekommendationer 02/2020 om europeiska nödvändiga garantier för övervakningsåtgärder

Frågor och svar om Schrems II-domen

Nej, EU-domstolens dom (C-311/18) innebär att Privacy Shield har upphört att gälla. Finns det ett behov av att överföra uppgifter till USA måste ni hitta en annan juridisk lösning än Privacy Shield.

De möjligheter som finns för att överföra personuppgifter till tredjeland anges i kapitel V i dataskyddsförordningen. Schrems II-domen betonar att alla bestämmelser om tredjelandsöverföring i kapitel V måste tillämpas så att de säkerställer att den skyddsnivå som förordningen ger fysiska personer inte undergrävs. De lämpliga skyddsåtgärder som kan göra det möjligt att föra över personuppgifter enligt artikel 46 måste tillhandahålla en skyddsnivå som är ”väsentligen likvärdig” med den som garanteras inom EU genom dataskyddsförordningen. Den Europeiska dataskyddsstyrelsen kommer att bedöma vilka konsekvenser domen får på de andra överföringsverktyg än standardavtalsklausuler och bindande företagsbestämmelser som listas i Artikel 46. För standardavtalsklausuler och bindande företagsbestämmelser finns mer vägledning nedan.

EU-domstolen anser att standardavtalsklausuler som regel fortfarande kan användas för att överföra personuppgifter till ett tredje land. I sin dom talar dock EU-domstolen om att standardavtalsklausuler kan behöva kompletteras med ytterligare skyddsåtgärder i situationer där det ser ut att vara tveksamt om lagstiftningen i det mottagande landet gör det möjligt att leva upp till det som standardavtalsklausulerna är avsedda att tillförsäkra, nämligen att upprätthålla en i allt väsentligt samma nivå av skydd för grundläggande fri- och rättigheter som råder inom EU.

EU-domstolens dom i Schrems II-målet kan även påverka överföringar av personuppgifter som sker med stöd av bindande företagsbestämmelser (binding corporate rules eller BCR) eftersom ett tredjelands lag kan komma att påverka skyddet som tillhandahålls genom sådana överföringsverktyg.

Det är upp till den som vill föra över personuppgifter till USA eller annat tredje land att göra en bedömning av om de anser att tillräckliga skyddsåtgärder har vidtagits för att garantera att kraven i dataskyddsförordningen uppfylls.

När IMY godkänner bindande företagsbestämmelser kontrolleras om de krav som dataskyddsförordningen ställer på sådana bestämmelser är uppfyllda. Bindande företagsbestämmelser ska bland annat ange hur koncernen följer grundläggande principer om exempelvis ändamålsbegränsning och uppgiftsminimering, de registrerades rättigheter samt processen för hantering av klagomål. Därefter är det upp till den som fått sina bindande företagsbestämmelser godkända att bedöma om de garantier och det skydd som ges i företagsbestämmelserna i praktiken kan upprätthållas vid en överföring av personuppgifter till USA eller annat tredje land.

Ett godkännande av en koncerns bindande företagsbestämmelser innebär därmed inte ett tillstånd att överföra uppgifter till ett särskilt land eller att de åtgärder och åtaganden som finns i de bindande företagsbestämmelserna har bedömts mot lagstiftningen i alla länder till vilka överföring kan tänkas ske.

Trots att en koncern har fått sina bindande företagsbestämmelser godkända kan det alltså vara så att ytterligare säkerhetsåtgärder eller andra åtgärder behöver vidtas eller att en överföring till och med måste avbrytas, om koncernen efter en helhetsbedömning kommer fram till att man inte kan leva upp till sina åtaganden och att lämpliga skyddsåtgärder i praktiken inte kan säkerställas. Vad som gäller ifråga om sådana ytterligare åtgärder framgår ovan, se under frågan Vad kan sådana ytterligare skyddsåtgärder vara?

Överföring till tredjeland kan fortfarande ske i de särskilda, icke systematiska, situationer som anges i artikel 49 under förutsättning att de villkor som anges där är uppfyllda. Europeiska dataskyddsstyrelsen har tagit fram närmare riktlinjer om vad som gäller enligt artikel 49.

Riktlinjer 2/2018 för undantagen i artikel 49 enligt förordning 2016/679

IMY har tillsammans med övriga dataskyddsmyndigheter i Europa tagit fram de rekommendationer som antogs av EDPB om ytterligare skyddsåtgärder (Rekommendationer 01/2020). Integritetsskyddsmyndigheten har också deltagit i EDPB:s arbete med att ta fram mer generell information om domen och dess konsekvenser såsom EDPB:s dokument med vanliga frågor och svar.

Vi arbetar kontinuerligt både på nationell nivå och tillsammans med de andra dataskyddsmyndigheterna inom EU/EES för att få till en enhetlig tolkning och tillämpning av domens effekter.

Följ stegen i dokumentet med rekommendationer som EDPB tagit fram. Det första ni bör göra är att kartlägga vilka flöden av personuppgifter som finns i organisationen och i vilka fall personuppgifter kan komma att överföras till tredje land. Om uppgifter överförs till tredje land bör ni försöka utröna hur skyddet hos det mottagande landet ser ut i det särskilda fallet. Därefter måste ni ta ställning till om det finns stöd för överföringen eller inte.

I era avtal med eventuella personuppgiftsbiträden ska det framgå om personuppgifter överförs till tredje land. Ni bör även ta reda på om eventuella underleverantörer överför uppgifter till tredje land. Många tjänster överför idag uppgifter till tredje land.
Rekommendationerna om ytterligare skyddsåtgärder undergår nu publik konsultation där alla och envar har möjlighet att komma med synpunkter senast den 30 november 2020.

Rekommendationerna om ytterligare skyddsåtgärder på publik konsultation till 30 november 2020.

Därefter kommer de slutligt att antas av EDPB.

 

Senast uppdaterad: 18 maj 2021
Sidans etiketter Dataskydd