Mitt i sommaren kom EU-kommissionens beslut som innebär att personuppgifter kan överföras till USA utan krav på standardavtalsklausuler eller andra motsvarande skyddsåtgärder.
I denna expertkommentar redogör jag för beslutet och de praktiska konsekvenserna för myndigheter som använder tjänster där det blir fråga om överföring av personuppgifter till land utanför EU/EES (så kallat tredje land).
Vad innebär EU-kommissionens beslut om adekvat skyddsnivå för USA?
Beslutet innebär att överföringar av personuppgifter från EU till organisationer som anslutit sig till European Union-U.S. Data Privacy Framework kan skeutan att standardavtalsklausuler eller andra lämpliga skyddsåtgärder enligt artikel 46 i GDPR behöver användas. En översyn av hur ramverket fungerar ska göras regelbundet, den första inom ett år från det att beslutet trätt ikraft.
En lista över vilka organisationer som anslutit sig till ramverket finns bland annat på Integritetsskyddsmyndighetens (IMY:s) hemsida. Flera stora leverantörer är med på listan och en rimlig slutsats är att alla de stora leverantörerna kommer att delta.
För de leverantörer som inte deltar i ramverket gäller att en Transfer Impact Assessment (TIA) behöver göras på samma sätt som tidigare, men att de bedömningar som EU-kommissionen har gjort i sitt adekvansbeslut kan användas och blir en viktig del när en TIA ska upprättas.
En viktig avgränsning är att adekvansbeslutet bara gäller för överföringar av personuppgifter från EU till USA. Om överföring av personuppgifter sker till andra länder utanför EU/EES, som inte omfattas av något adekvansbeslut, behöver fortfarande en TIA upprättas.
Praktiska utmaningar med adekvansbeslutet
Adekvansbeslutet underlättar för myndigheter att träffa avtal med amerikanska it-leverantörer. En utmaning är dock att delar av it-leverantörernas tjänster kan komma att levereras från andra tredjeländer än USA.
Ofta gäller det supporttjänster. Ett vanligt upplägg är att data lagras i Sverige eller annars inom EU men att supporttjänster utförs av leverantörens personal eller underleverantörer i USA liksom i andra länder utanför EU/EES. För support som utförs i USA gäller adekvansbeslutet (om supportleverantören har anslutit sig).
Men hur ska myndigheten resonera kring support och andra liknande tjänster som utförs av företag i andra tredjeländer? Frågan är inte ny, men den ställs på sin spets i och med adekvansbeslutet.
En första fråga är vem som ansvarar för att säkerställa att supportleverantören i det andra tredje landet behandlar personuppgifter i enlighet med ramverket och GDPR. Är det myndigheten eller it-leverantörens ansvar?
Enligt Europeiska Dataskyddsstyrelsens (EDPB) rekommendationer 01/2020 om åtgärder som komplement till överföringsverktyg för att säkerställa överensstämmelsen med EU-nivån för skydd av personuppgifter ligger ansvaret på uppgiftsutföraren, som kan vara den personuppgiftsansvarige eller personuppgiftsbiträdet.
Om standardavtalsklausulerna personuppgiftsbiträde – personuppgiftsbiträde används innebär det således att ansvaret ligger på personuppgiftsbiträdet. Av artikel 44 i GDPR följer dock att den personuppgiftsansvarige och personuppgiftsbiträdet ansvarar för att villkoren i kapitel V i GDPR uppfylls. För att den personuppgiftsansvarige ansvarar talar även andra bestämmelser i GDPR, som till exempel kraven i artikel 28.
Ett rimligt förhållningssätt är att myndigheten under alla förhållanden har ett ansvar för att säkerställa att supportleverantören i det andra tredje landet behandlar personuppgifter i enlighet med ramverket och GDPR.
Som utgångspunkt bör myndigheten göra en TIA på överföringen till det tredje landet för att säkerställa att en överföring kan ske. En utmaning är dock att it-leverantörernas avtal inte sällan innehåller en uppräkning av underleverantörer som någon gång kan komma att användas, men att det är oklart vilka underleverantörer som används i det specifika fallet. Vidare framgår det inte tillräckligt tydligt i vilken utsträckning som underleverantörerna kommer att behandla personuppgifter i samband med supporten.
Det innebär att arbetet med att göra en TIA väsentligen försvåras. Frågan som myndigheten får ställa sig är om det är rimligt att lägga resurser på att göra en TIA när det är oklart vilka tredjeländer som personuppgifter kan komma att överföras till och om det överhuvudtaget sker en överföring av personuppgifter till det tredje landet.
Ett sätt att komma till rätta med problemet är naturligtvis att fråga leverantören. Erfarenhetsmässigt är det dock svårt att få svar som kan ligga till grund för en bedömning. Det vore önskvärt om it-leverantörernas villkor görs betydligt tydligare i denna viktiga del. Fram till dess får myndigheten göra en bedömning inom ramen för sin risk- och sårbarhetsanalys, där bland annat typen av personuppgifter och tillämpliga säkerhetsåtgärder är av betydelse.
Elefanten i rummet – Schrems III
Eftersom ramverken Safe Harbor och Privacy Shield båda underkändes efter att ha hamnat under EU-domstolens lupp hänger frågan i luften – kommer ramverket European Union-U.S. Data Privacy Framework klara en domstolsprövning?
Organisationen NOYB har redan sagt att man kommer att utmana adekvansbeslutet och nyligen kunde man läsa om att en medlem av det franska parlamentet har utmanat beslutet. Vi kan alltså med stor sannolikhet vänta oss en prövning av adekvansbeslutet i EU-domstolen.
Det går naturligtvis inte att nu uttala sig om utfallet. Men ett underkännande av adekvansbeslutet – ett Schrems III – skulle innebära ett hårt slag mot möjligheten att överföra personuppgifter till USA.
Hur bör då myndigheten tänka under tiden?
Jag menar att det är rimligt att utgå från att det är möjligt att överföra personuppgifter till USA med stöd av adekvansbeslutet. Myndigheten bör dock bevaka utvecklingen och ha en reservplan för det fall adekvansbeslutet skulle falla. I den utsträckning det är möjligt, bör myndigheten också ta hänsyn till ändrade förutsättningar i avtalet.
Peter Nordbeck
Advokat, Advokatfirman Delphi
Min bedömning, som skribenten tar upp i sista stycket, är att beslutet inte öppnar upp för behandling av uppgifter i USA mer än i begränsad omfattning. Det finns ju en dom (FR 3079-23) som tar upp just detta vad gäller Kanada. Det formuleras ” Även om det förvisso kan konstateras att Kanada för närvarande har ett så kallat ”adekvansbeslut”, kan detta beslut upphävas från en dag till en annan.”.
Det är inte speciellt ofta man vill ingå ett avtal på kanske 4-6 år med vetskapen att man när som helst måste stänga en tjänst.
Bra av skribenten att ta upp frågan om supportflöden som är riktigt knivigt i sammanhanget.