Målet handlar om huruvida det är lagligt för Facebook att överföra personuppgifter till USA med stöd av regelverket EU-US Privacy Shield, alternativt med tillämpning av de så kallade standardavtalsklasulerna (modellklausulerna), med hänsyn bland annat till de övervakningsprogram som genomförs i USA.
Standardavtalsklausulerna är en mekanism som EU kommissionen tagit fram för överföring av personuppgifter till land utanför EU/EES och som ofta används vid överföringar av personuppgifter till andra länder än USA.
Domstolens klargörande i frågan var efterlängtat, men många drog nog efter andan när det stod klart att EU-domstolen ogiltigförklarade regelverket Privacy Shield och genom sitt resonemang i domen även skapade osäkerhet kring om standardavtalsklausulerna kan användas för överföring av personuppgifter till USA.
I denna expertkommentar belyser jag några av de viktigaste aspekterna på EU-domstolens dom.
Olika mekanismer för överföring av personuppgifter till land utanför EU/EES
När utkontraktering av verksamhet, till exempel i form av upphandling av molntjänster, sker till en leverantör i ett land utanför EU/EES är det nödvändigt att det finns mekanismer på plats som säkerställer att en överföring av personuppgifter kan ske i enlighet med EU:s dataskyddslagstiftning.
Två vanligt förekommande mekanismer är de ovan nämnda Privacy Shield – för överföring till USA – och standardavtalsklausulerna, men det finns även andra, alternativa, mekanismer i GDPR.
Det kan uppmärksammas att den problematik som aktualiseras i domen alltså inte gäller för överföringar till ett land inom EU/EES och inte heller till ett land som enligt beslut från EU kommissionen har ett adekvat skydd för personuppgifter (bland annat Schweiz).
Överföringar av personuppgifter till USA
När nu EU-domstolen ogiltigförklarar Privacy Shield och skapar osäkerhet kring om standardavtalsklausulerna kan användas för överföring av personuppgifter till USA, får detta naturligtvis direkta konsekvenser för avtal som upphandlats med amerikanska leverantörer eller med leverantörer som använder sig av amerikanska underleverantörer.
En viktig åtgärd blir i sådant fall att kontakta leverantören för att diskutera vägen framåt. Finns det alternativa mekanismer som kan användas i stället för Privacy Shield och standardavtalsklausulerna för överföring av personuppgifter till USA? I många fall kommer leverantörerna själva ta kontakt för att föreslå alternativa lösningar.
Överföringar av personuppgifter till andra länder utanför EU/EES
Utgången i målet har emellertid inte enbart betydelse för överföring av personuppgifter till USA.
Den får även påverkan på användningen av standardavtalsklausulerna för överföring av personuppgifter till andra länder utanför EU/EES. Anledningen är att EU-domstolen understryker att den som avser att överföra personuppgifter med stöd av standardavtalsklausulerna måste försäkra sig om att lagstiftningen i mottagarlandet gör det möjligt för leverantören i det landet att – enkelt uttryckt – följa EU:s krav på personuppgiftsskydd. Det räcker alltså inte med att så att säga mekaniskt använda sig av standardavtalsklausulerna.
Den personuppgiftsansvarige (den upphandlande enheten) måste även företa en undersökning av om lagstiftningen i mottagarlandet säkerställer ett tillräckligt skydd för personuppgifterna innan utkontraktering sker.
Denna princip är visserligen inte ny, men har enligt min erfarenhet inte tidigare slagit igenom fullt ut. Efter domen i Schrems II-målet kommer det, enligt min bedömning, att bli betydligt större fokus på att göra en sådan undersökning av hur lagstiftningen ser ut i mottagarlandet innan en överföring av personuppgifter sker till det landet.
Detta moment är inte helt enkelt och utförs i praktiken lämpligast av en jurist som är expert på lagstiftningen i det aktuella mottagarlandet. En inbyggd svårighet är att avgränsa uppdraget till juristen så att rätt frågor ställs och alla relevanta aspekter kommer fram.
När det väl har utretts hur lagstiftningen i mottagarlandet ser ut och förhåller sig till GDPR, blir utredningen en viktig pusselbit i den personuppgiftsansvariges skyldighet att dokumentera och motivera sin behandling av personuppgifter – principen om ansvarsskyldighet.
I målet prövades en överföring av personuppgifter till USA bland annat mot bakgrund av de övervakningsprogram som används av den amerikanska regeringen.
Det finns emellertid även andra länder än USA som ägnar sig åt omfattande övervakning. I de fall en undersökning av mottagarlandets lagstiftning visar att en omfattande övervakning sker eller att ett skydd för personuppgifterna inte kan säkerställas, kan det innebära att en överföring av personuppgifter till det landet inte kan ske med stöd av standardavtalsklausulerna. Det är alltså inte enbart överföringar av personuppgifter till USA som kan bli problematiska.
Slutsatser
EU-domstolens avgörande i Schrems II-målet i somras har verkligen ”rört om i grytan”. Målet är av stor praktisk betydelse och innebär att överföringar av personuppgifter till USA försvåras.
Utgången i målet innebär även att alla personuppgiftsansvariga som avser att lägga ut verksamhet som innefattar personuppgiftsbehandling på en leverantör i ett land utanför EU/EES måste göra en undersökning av om det är möjligt med hänsyn till lagstiftningen i mottagarlandet innan en överföring sker. Resultatet av en sådan utredning kan innebära att även överföringar till andra länder än USA försvåras.
Det är tydligt att EU-domstolen anser att betydelsen av att tillämpa GDPR:s strikta och långtgående regler väger tyngre än att kunna använda sig av amerikanska tjänsteleverantörer, vilket i och för sig inte är överraskande.
Men även om läget är oklart just nu, kan vi nog utgå från att en lösning kommer att hittas, så att överföringar av personuppgifter till USA (och andra länder utanför EU/EES) även fortsättningsvis kan äga rum.
Det blir spännande att följa utvecklingen och jag kommer att återkomma till den i expertkommentarer längre fram.
Peter Nordbeck
Advokat, Advokatfirman Delphi
Vill du ställa frågor till Peter Nordbeck? Mejla info@inkopsradet.se
En offentlig anställds tjänste-epostadress åtnjuter ju inte något direkt skydd inom EU. Kan den då även lagras i t ex MS Azure?