Så ändras överföring av personuppgifter till USA

I den allmänna dataskyddsförordningen (GDPR) finns regler om när och hur överföring av personuppgifter till länder utanför EU, så kallade tredje länder, är tillåten. Ett tredje land som huserar några av marknadens mest populära molntjänster och andra digitala plattformar är USA. Den som använt sig av molnlagring och andra tjänster med servrar i USA har hittills kunnat förlita sig på att överföring av personuppgifter till landet varit laglig med stöd av Privacy Shield - ett ramverk där amerikanska företag kunnat certifiera sig för att visa på en tillräckligt hög skyddsnivå för personuppgifter, och därmed kunnat ta emot uppgifter från europeiska företag.

EU-domstolen har nu, genom sin dom i det så kallade Schrems II-målet den 16 juli, ogiltigförklarat Privacy Shield. Det innebär att det inte längre är möjligt att stödja sig på Privacy Shield vid överföring av personuppgifter till USA. I domen uttalar sig EU-domstolen även om giltigheten av Kommissionens standardkontraktsklausuler (SCC), som varit en annan vanligt förekommande skyddsmekanism för överföring av uppgifter till tredje land. SCC fortsätter enligt EU-domstolen att vara en giltig mekanism för överföring. Överförande företag (biträde eller ansvarig) samt mottagande företag måste däremot alltid, i förväg, göra en bedömning av huruvida mottagarlandet erbjuder ett tillräckligt skydd för personuppgifterna. Om offentliga myndigheter i tredje land har rätt att få åtkomst till personuppgifterna på ett sätt som bryter mot GDPR understryker EU-domstolen att personuppgiftsöverföringen ska avbrytas.

Konsekvenserna av Schrems II-målet påverkar således samtliga europeiska företag som använder sig av amerikanska molntjänstleverantörer eller som på annat sätt för över personuppgifter till USA. Även de företag som använder sig av SCC kommer att behöva se över huruvida villkoren i dessa klausuler verkligen kan upprätthållas utan konflikt mellan mottagarlandets lagar och GDPR. Med anledning av den omfattande betydelse som utfallet i Schrems II-målet får för personuppgiftsöverföringar till tredje land och framförallt USA har den europeiska dataskyddsstyrelsen (EDPB) uttalat att de kommer att göra en närmare analys av domen.

Den 24 juli publicerade EDPB en FAQ på sin hemsida med anledning av domslutet. Där framgår i korthet följande. Domen har inte bara verkan på SCC utan även på så kallade bindande företagsbestämmelser (BCR) inom en företagsgrupp. Om det för överföring av personuppgifter har undertecknats BCR måste parterna därför göra samma bedömning som vid SCC, det vill säga huruvida villkoren i BCR kan upprätthållas eller om lagen i mottagarlandet står i konflikt med GDPR och skyddsnivån för personuppgifterna därför inte kan garanteras.

Vid ogiltigförklarandet av föregångaren till Privacy Shield, Safe Harbour, som skedde 2015 gavs möjlighet till omställning av mekanismerna under en övergångsperiod. EDPB förtydligar att Privacy Shield i och med domen har förklarats ogiltigt och att beslutet gäller omedelbart. Samtliga överföringar till USA grundade på enbart Privacy Shield är därför ogiltiga per den 16 juli.

Om överförarande och mottagande företag kommer fram till att SCC eller BCR inte ger tillräckligt skydd för personuppgifterna ska parterna tillämpa kompletterande skyddsåtgärder. EDPB avser att komma med vägledning om sådana kompletterande skyddsåtgärder.

I avvaktan på kommande vägledning rekommenderar vi de som vill vara så förberedda som möjligt att se över följande:

• Om och i vilken omfattning ni överför personuppgifter till USA, t.ex. om ni har servrar som tillhandahålls av amerikanska företag och/eller som är belägna i USA.

• Om överföring sker till USA, vilken överföringsmekanism används idag? Är t.ex. mottagarföretaget anslutet till Privacy Shield, har ni ingått standardkontraktsklausuler med mottagarföretaget eller har ni samlat in samtycke till överföringen från de registrerade?

• Om och i vilken omfattning ni överför personuppgifter till andra tredje länder.

• Tänk på att inkludera även koncerninterna avtal.

Fondia bevakar den fortsatta utvecklingen i frågan och uppdaterar löpande. Kontakta Fondias Privacy Team för frågor.