I domen ogiltigförklarade EU-domstolen Privacy Shield som en mekanism för överföring av personuppgifter till USA, men ansåg att standardavtalsklausulerna fortfarande kan användas. Den personuppgiftsansvarige måste dock göra en undersökning av om lagstiftningen i mottagarlandet säkerställer ett tillräckligt skydd för personuppgifterna innan utkontraktering sker.
Under hösten 2020 presenterade den Europeiska Dataskyddsstyrelsen (EDPB) en första version av rekommendationer angående överföring av personuppgifter till länder utanför EU/EES. I syfte att anpassa regelverket till GDPR och dessutom ta hänsyn till Schrems II-domen tog EU-kommissionen fram förslag på nya standardavtalsklausuler.
I början av juni i år kom så EDPBs slutliga version av rekommendationerna om överföring av personuppgifter till länder utanför EU/EES. Strax före midsommar kom även EU-kommissionens slutliga version av standardavtalsklausulerna. Dessutom tillät EU-kommissionen i beslut den 28 juni överföring av personuppgifter till Storbritannien.
Jag kommenterar dessa nyheter och den påverkan de får på utkontraktering av it-tjänster nedan.
EDPB:s rekommendationer angående överföring av personuppgifter till länder utanför EU/EES
Den första versionen av rekommendationerna kritiserades under det offentliga samrådet för att vara för strikt och opraktisk. EDPB har tagit hänsyn till synpunkterna framför allt i frågan om hur lagstiftningen i mottagarlandet ska bedömas i praktiken.
Enligt min bedömning innebär det nya ställningstagandet en lättnad i möjligheterna till överföring av personuppgifter till länder utanför EU/EES vid utkontraktering. Innan jag kommenterar det närmare rekapitulerar jag först vad rekommendationerna innebär.
Rekommendationerna innehåller en ”roadmap” som bolag, myndigheter och andra organisationer bör följa inför en tredjelandsöverföring (och i förhållande till pågående överföringar) liksom information kring vilka kompletterande skyddsåtgärder som kan behöva vidtas för att tredjelandsöverföringen ska vara förenlig med GDPR.
De olika steg som organisationer bör följa vid en tredjelandsöverföring är:
- Identifiera vilka överföringar av personuppgifter som sker till tredje land,
- Identifiera vilken överföringsmekanism i GDPR:s kapitel V (t.ex. standardavtalsklausulerna) som används,
- Utreda huruvida lagstiftning eller praxis i det tredje landet inskränker överföringsmekanismens effektivitet,
- Identifiera och vidta ytterligare skyddsåtgärder om nödvändigt,
- Vidta nödvändiga processuella åtgärder som krävs för tillämpning av de ytterligare skyddsåtgärderna,
- Utvärdera skyddsnivån för personuppgifter som överförts till det tredje landet med lämpliga intervaller samt bevaka om det skett eller kommer att ske ändringar som kan komma att påverka skyddsnivån.
Exempel på ytterligare skyddsåtgärder enligt punkt 4 är kryptering av personuppgifterna, till exempel då den tjänst som en molntjänstleverantör erbjuder är lagring av uppgifter. En annan skyddsåtgärd som lyfts fram är pseudonymisering av personuppgifter, det vill säga personuppgifterna visas inte i klartext utan det krävs kompletterande uppgifter för att kunna identifiera individen.
Det viktigaste förändringen i de slutliga rekommendationerna är alltså synen på hur bedömningen av lagstiftningen och rättstillämpningen i mottagarlandet ska göras. Det är inte längre ”svart eller vitt” på det sätt som den tidigare versionen av rekommendationerna kunde uppfattas.
Fokus ligger på hur lagstiftningen och praxis i mottagarlandet påverkar den aktuella överföringen av personuppgifter i praktiken. Det framgår till exempel uttryckligen av exempel som ges i rekommendationerna att en överföring av personuppgifter till USA kan vara tillåten om Section 702 i den amerikanska lagstiftningen FISA inte är tillämplig i praktiken på den aktuella överföringen och därför inte inskränker överföringsmekanismens (till exempelstandardavtalsklausulernas) effektivitet.
Det understryks dock att den undersökning av lagstiftningen och praxis i det tredje landet som ska göras måste vara noggrann.
Faktorer av betydelse vid undersökningen är bland annat.:
- om mottagarlandets lagstiftning och/eller praxis i praktiken är tillämplig på de uppgifter som överförs och/eller på mottagaren;
- erfarenheter från outsourcingleverantören och andra motsvarande leverantörer inom den relevanta sektorn och/eller erfarenheter angående motsvarande typ av uppgifter som överförs;
- huruvida myndigheter i mottagarlandet har begärt att få tillgång till uppgifter som liknar de som ska överföras;
- om det är tillåtet eller förbjudet för outsourcingleverantören att informera om det har kommit en myndighetsbegäran om tillgång.
Det betonas att den information som bedömningen grundas på ska vara relevant, objektiv, trovärdig, verifierbar och publikt tillgänglig.
Som framgår är det ett omfattande arbete som måste läggas ned på att dokumentera hur lagstiftningen och praxis i mottagarlandet slår mot en överföring av personuppgifter vid utkontraktering. Det är lämpligt att outsourcingleverantören – som är den som närmast har tillgång till informationen – medverkar vid utredningen. Det är också lämpligt att konsultera en jurist som är expert på lagstiftningen i mottagarlandet för att komma rätt i bedömningen.
De uppmjukningar som EDPB gjort i den slutliga versionen av rekommendationerna är välkomna. I praktiken innebär regleringen att det är fortsatt möjligt att överföra personuppgifter till ett land utanför EU/EES i samband med utkontraktering,till exempel med stöd av standardavtalsklausuler (givetvis måste även andra bestämmelser i GDPR vara uppfyllda).
Innan en överföring sker måste dock en omfattande undersökning göras för att säkerställa att lagstiftningen eller praxis i mottagarlandet inte inskränker det skydd som till exempel standardavtalsklausulerna ger. Om utredningen visar att standardavtalsklausulerna inte ger ett tillräckligt skydd på grund av hur lagstiftningen eller praxis i mottagarlandet tillämpas på liknande överföringar måste ytterligare skyddsåtgärder (steg 4) vidtas.
EU-kommissionens nya standardavtalsklausuler
De nya standardavtalsklausulerna är anpassade till GDPR. De olika typerna av överföringar har samlats i ett dokument och parterna åtaganden har delats upp i olika moduler:
- Överföring från personuppgiftsansvarig till personuppgiftsansvarig
- Överföring från personuppgiftsansvarig till personuppgiftsbiträde
- Överföring från personuppgiftsbiträde till personuppgiftsbiträde
- Överföring från personuppgiftsbiträde till personuppgiftsansvarig
Parternas åtaganden varierar beroende på vilken modul som är aktuell att använda. Tanken är att det ska vara möjligt för flera än två parter att använda sig av standardavtalsklausulerna.
Standardavtalsklausulerna speglar EDPB:s rekommendationer på så sätt att det i klausul 14 anges att parterna garanterar att de inte har någon anledning att misstänka att lagar och praxis kommer att förhindra outsourcingleverantören från att fullgöra sina skyldigheter enligt klausulerna. Vid bedömningen ska de särskilda omständigheterna kring överföringen beaktas, däribland:
- behandlingskedjans längd;
- antalet inblandade aktörer;
- typen av mottagare;
- kategorier och format på de överförda personuppgifterna; och
- platsen för lagring av de överförda personuppgifterna.
I en fotnot till klausulen anges att om parterna vill förlita sig på sina ”praktiska erfarenheter” av offentliga myndigheters tidigare begäranden om utlämning av data behöver detta stödjas av andra relevanta, objektiva aspekter och parterna måste noggrant överväga huruvida dessa aspekter tillsammans är tillräckliga för att underbygga antagandet.
Parterna ska i synnerhet ta hänsyn till om deras praktiska erfarenhet bekräftas av allmänt tillgänglig och tillförlitlig information om offentliga myndigheters begäran att få tillgång till personuppgifter till exempel. genom rättspraxis eller rapporter från oberoende tillsynsorgan. Bedömningen måste vidare dokumenteras och på förfrågan lämnas ut till behörig tillsynsmyndighet.
Det går att använda de nya standardavtalsklausulerna i avtal som tecknas nu. De tidigare versionerna av standardklausuler kan dock under vissa förutsättningar fortfarande användas, det vill säga man behöver inte byta ut standardavtalsklausulerna direkt. Detta gäller för avtal med de tidigare standardavtalsklausulerna som har tecknats/tecknas före den 27 september 2021. I dessa fall behöver ett byte av standardavtalsklausulerna mot de nya klausulerna ske senast den 27 december 2022.
En praktisk konsekvens är följaktligen att det behöver ske ändringar i upphandlade avtal som använder sig av de tidigare standardavtalsklausulerna som mekanism för överföring av personuppgifter till land utanför EU/EES. Senast den 27 december 2022 behöver de tidigare standardavtalsklausulerna bytas ut mot de nya. Arbetet med utbyte bör påbörjas i god tid dessförinnan.
Brexit
Som ett ytterligare led i arbetet med att förenkla överföringar av personuppgifter beslutade EU-kommissionen den 28 juni 2021 att dataöverföring får ske från EU till Storbritannien även efter att de övergångsbestämmelser som tagits fram i samband med Storbritanniens EU-utträde löpt ut. EU-kommissionen fastslår att Storbritannien säkerställer en adekvat skyddsnivå, och personuppgifter kan alltså även fortsättningsvis överföras till Storbritannien utan att några särskilda överföringsmekanismer, t.ex. standardavtalsklausuler, behöver användas.
Avslutande kommentar
Personuppgiftsbehandling är en stor och viktig del i avtal om utkontraktering av it. Många insatser för att klarlägga och förenkla för offentlig sektor och övriga som vill lägga ut sin it-hantering görs just nu. Samtidigt är området komplext och kräver noggranna förberedelser och överväganden, särskilt om utkontraktering ska ske till en leverantör i ett land utanför EU/EES.
Vi kan förhoppningsvis förvänta oss ytterligare klarlägganden framöver i syfte att skapa ett regelverk för utkontraktering som är både balanserat och förutsebart.
Peter Nordbeck
Advokat, Advokatfirman Delphi
Kommentatorerna ansvarar för sina egna kommentarer