Sammanfattning
Många bolag har ett behov av att föra över personuppgifter till USA, till exempel för att en viss tjänsteleverantör eller supportfunktion är lokaliserad där. Reglerna för överföring av personuppgifter till länder utanför EU/EES är dock strikta. Överföringar får ske endast om vissa förutsättningar är uppfyllda, till exempel att parterna ingått standardavtalsklausuler eller att EU-kommissionen bedömt att mottagarlandet har en adekvat skyddsnivå.
Ett av de alternativ som tidigare utgjort en giltig grund för överföring av personuppgifter till USA (Privacy Shield) ogiltigförklarades nyligen av EU-domstolen i det väldigt uppmärksammade målet C-311/18 (”Schrems-II”). Nu behöver bolag därför säkerställa en annan giltig grund för överföring av personuppgifter till USA.
Domstolen bedömde även de s.k. standardavtalsklausulerna och konstaterade att de är fortsatt giltiga, dock endast under förutsättning att mottagarlandets lagar möjliggör för mottagaren att efterleva dem. I målet konstaterade domstolen att amerikanska säkerhetslagar leder till att den säkerhetsnivå som uppställs i EU-lagstiftning inte kan efterlevas i USA. Det finns därför anledning att ifrågasätta huruvida standardavtalsklausuler verkligen kan anses vara en giltig grund för överföring till USA även fortsättningsvis.
Det konstateras i målet att även om mottagarlandets lagar omöjliggör standardavtalsklausulernas efterlevnad, kan de tillsammans med ytterligare åtgärder utgöra en giltig grund för överföring. Europeiska dataskyddsstyrelsen förväntas meddela riktlinjer kring vilka ytterligare åtgärder som kan vidtas.
I väntan på ytterligare besked rekommenderar vi att bolag som överför personuppgifter till USA med stöd av Privacy Shield vidtar vissa åtgärder – se checklistan längst ner i artikeln.
Inledning
Privacy Shield är en mekanism för självcertifiering i USA som innebär att amerikanska företag, genom att anmäla sig till det amerikanska handelsdepartementet, kan intyga att de uppfyller vissa särskilt uppställda krav. Privacy Shield har, genom ett beslut från EU-kommissionen, utgjort en giltig grund för överföring av personuppgifter till USA eftersom det har ansetts säkerställa en adekvat skyddsnivå för personuppgifterna.
När EU-domstolen tidigare i somras prövade frågan om personuppgifter lagligen kan överföras till USA med stöd av Privacy Shield-ramverket kom domstolen fram till att så inte längre är fallet. I och med domen ogiltigförklarades EU-kommissionens beslut om att Privacy Shield erbjuder en adekvat skyddsnivå.
Bakgrunden till ogiltigförklarandet är i korthet att Privacy Shield inte erbjuder de registrerade något skydd mot de övervakningsprogram som gör det möjligt för amerikanska myndigheter att begära åtkomst till EU-medborgares personuppgifter. Ogiltigförklarandet gäller med omedelbar verkan och innebär att överföringar av personuppgifter till USA med stöd av Privacy Shield numera är oförenliga med dataskyddsförordningen.
Överföring av personuppgifter till länder utanför EU/EES – vilka alternativ kvarstår?
Inom EU/EES har medlemsstaterna ett likvärdigt skydd för personuppgifter och personuppgifter kan därför överföras fritt inom området (dock med beaktande av vissa regler som till exempel ställer krav på personuppgiftsbiträdesavtal). Eftersom det inte finns några motsvarande regler utanför EU/EES är reglerna för att överföra personuppgifter till länder utanför EU/EES (tredje land) strikta. Överföring av personuppgifter till tredje land möjliggörs endast om någon av följande förutsättningar föreligger:
- Det finns ett beslut från EU-kommissionen om att exempelvis ett visst land utanför EU/EES säkerställer så kallad adekvat skyddsnivå.
- Parterna har vidtagit lämpliga skyddsåtgärder, till exempel bindande företagsbestämmelser eller standardavtalsklausuler.
Utöver ovan förutsättningar kan personuppgifter lagligen överföras till tredje land med stöd av sällan tillämpliga undantag som avser vissa särskilda situationer och enstaka fall.
Om Privacy Shield tidigare varit den överföringsmekanism man förlitat sig på behöver man nu säkerställa en annan giltig grund för sin överföring.
Standardavtalsklausuler – håller de?
Ett alternativ till överföring av personuppgifter till tredje land är de s.k. standardavtalsklausulerna. Standardavtalsklausulerna är ett standardavtal som ingås mellan två parter för att säkerställa att personuppgifter skyddas av mottagaren när de överförs till en mottagare utanför EU/EES.
Domstolen bedömde huruvida det fanns anledning att ogiltigförklara standardavtalsklausulerna, men fann att de är fortsatt giltiga som grund för överföring av personuppgifter till tredje land. Att standardavtalsklausulerna är en giltig grund förutsätter dock att lagstiftningen i mottagarlandet gör det möjligt för mottagaren att efterleva standardavtalsklausulerna.
Eftersom domstolen i princip har underkänt skyddet för personuppgifter i den amerikanska lagstiftningen finns det anledning att fundera över i vilken utsträckning det är förenligt med dataskyddsförordningen att överföra personuppgifter till USA baserat på standardavtalsklausulerna.
Domstolen påminde i detta avseende om att det åligger parterna att försäkra sig om att lagstiftningen i det mottagande landet gör det möjligt för mottagaren att följa bestämmelserna i standardavtalsklausulerna, innan vederbörande överför personuppgifter till detta tredje land.
Domstolen klargjorde också att även om standardavtalsklausulerna i sig inte är tillräckliga för att säkerställa skyddet för personuppgifterna kan man tänka sig en situation då standardavtalsklausulerna tillsammans med ytterligare rättsliga, tekniska eller organisatoriska åtgärder kan göra en överföring förenlig med dataskyddsförordningen. Europeiska dataskyddsstyrelsen förväntas återkomma med exempel på vilka ytterligare åtgärder som kan vidtas.
Checklista – vad gör man nu?
Om man använder Privacy Shield som legal grund för överföring av personuppgifter till USA behöver man nu säkerställa en annan grund för sin överföring.
Därtill rekommenderar vi att man vidtar följande åtgärder i väntan på ytterligare riktlinjer från Europeiska dataskyddsstyrelsen:
- Se över era dataflöden och säkerställ att ni inte gör överföringar av personuppgifter till USA med stöd av Privacy Shield.
- Kontakta vid behov relevanta leverantörer för att kontrollera var er data lagras och hur er användning av leverantörens tjänst/produkt påverkas av att Privacy Shield ogiltigförklarats. Även om er leverantör är etablerad inom EU kan det finnas underleverantörer utanför EU som hanterar er data.
- Uppdatera integritetspolicys för att ta bort eventuella hänvisningar till Privacy Shield och inkludera information om nytt val av överföringsmekanism.
- Gå igenom personuppgiftsbiträdesavtal och gör nödvändiga uppdateringar, säkerställ exempelvis att överföringar till USA inte får ske baserat på Privacy Shield.
- Uppdatera det register som ni är skyldiga att föra enligt dataskyddsförordningen och säkerställ att det inte innehåller några hänvisningar till Privacy Shield som skyddsåtgärd för överföring av personuppgifter till USA.
- Förbered svar till kunder som har frågor med anledning av ogiltigförklarandet av Privacy Shield.
Frågor?
Behöver du hjälp att undersöka hur du bäst agerar med anledning av ogiltigförklarandet av Privacy Shield eller har det dykt upp andra frågor? Kontakta gärna någon av oss eller din vanliga kontakt på Lindahl så hjälper vi till!