Inledning
Som vi skrivit om tidigare innebär EU-domstolens dom i ”Schrems II”, utöver ogiltigförklarandet av ”Privacy Shield”, andra stora förändringar för möjligheterna att föra över personuppgifter till länder utanför EU/EES, t.ex. vad gäller användningen av standardavtalsklausulerna. Domen tydliggör att en aktör som överför personuppgifter till ett sådant tredjeland inte blint kan lita på att standardavtalsklausulerna som sådana utgör en giltig grund för överföringen enligt dataskyddsförordningen. Innan personuppgifter överförs till ett tredjeland med stöd av standardavtalsklausulerna måste den överförande organisationen göra en bedömning av om lagstiftningen i det mottagande landet möjliggör ”ett väsentligen likvärdigt skydd” för uppgifterna som i EU. Om ett tredjelands lagstiftning inte möjliggör ett väsentligen likvärdigt skydd för överförda uppgifter kan standardavtalsklausulerna behöva kompletteras med ”ytterligare skyddsåtgärder” för att utgöra en giltig grund för överföring enligt dataskyddsförordningen.
Den 10 november 2020 publicerade Europeiska dataskyddsstyrelsen (EDPB) två nya rekommendationer med anledning av Schrems II – dels en rekommendation om hur man från fall till fall går tillväga för att avgöra om ett tredjeland erbjuder ”ett väsentligen likvärdigt skydd” för överförda personuppgifter, dels en rekommendation om vilka ”ytterligare skyddsåtgärder” som kan användas för att komplettera standardavtalsklausulerna. Den senare är föremål för publik konsultation till och med den 21 december 2020 och kan därför komma att revideras innan rekommendationerna slutligt antas.
I denna artikel redogör vi övergripande för innehållet i dessa rekommendationer och vilken betydelse de får för möjligheterna att använda standardavtalsklausulerna vid överföring av personuppgifter till tredjeland – och specifikt till USA.
Nya rekommendationer för bedömning av om tredjeland erbjuder ”ett väsentligen likvärdigt skydd” för överförda personuppgifter
De nya rekommendationerna, som kallas ”European Essential Guarantees for surveillance measures”, tar avstamp i EU-domstolen och Europadomstolens praxis och syftar till att utgöra en guide för överförande organisationer vid bedömningen av om övervakningslagstiftningen i tredjeland uppfyller grundläggande europeiska krav avseende mänskliga rättigheter.
De grundläggande europeiska garantierna uppställer sammanfattningsvis följande övergripande krav vid inskränkningar av enskildas rätt till personlig integritet (exempelvis vid myndigheters övervakning av enskilda för nationella säkerhetsändamål):
- a) behandlingen ska baseras på tydliga, precisa och tillgängliga regler;
- b) nödvändighet och proportionalitet behöver visas i förhållande till de legitima syften som eftersträvas;
- c) en oberoende översynsmekanism ska finnas; och
- d) effektiva rättsmedel ska finnas tillgängliga för individen.
Enligt rekommendationerna behöver ett tredjelands lagstiftning inte vara identisk med den i EU – vilket ger utrymme för olika tolkningar av om ett tredjeland erbjuder ”ett väsentligen likvärdigt skydd” för överförda personuppgifter. Samtidigt indikerar rekommendationerna att ett tredjeland som inte uppfyller de krav som listas i rekommendationerna normalt inte anses erbjuda ”en väsentligen likvärdig skyddsnivå som den som garanteras i EU” – vilket, enligt vad som redogörs för nedan innebär att ”ytterligare skyddsåtgärder” bör vidtas vid överföring.
Rekommendationerna har fått kritik för att vara allt för stelbenta och uppställa allt för strikta krav på tredjelands lagstiftning. Exempelvis har Europadomstolen i flera fall gett ett relativt stort utrymme för enskilda länders ”margin of appreciation” när det kommer till nationell övervakning[1], vilket inte reflekteras i rekommendationerna. Vidare kan det noteras att EU-domstolen senast den 6 oktober 2020 fann att övervakningslagstiftning i Frankrike, Belgien och Storbritannien inte uppfyllde EU:s grundläggande krav.[2] Mot bakgrund av detta finns det anledning att ifrågasätta hur många länder utanför EU som egentligen uppfyller de högt ställda krav som uppställs i EDPB:s rekommendationer.
Nya rekommendationer om ”ytterligare skyddsåtgärder”
Rekommendationerna om ”ytterligare skyddsåtgärder” ger exempel på en mängd olika kontraktuella, organisatoriska och tekniska skyddsåtgärder som kan användas för att komplettera standardavtalsklausulerna. I förhållande till sådana länder som inte uppnår ”ett väsentligen likvärdigt skydd” på grund av att lagstiftningen möjliggör utlämning av personuppgifter till myndigheter i strid med de grundläggande europeiska kraven (se ovan) menar dock EDPB att de enda skyddsåtgärder som kan läka en sådan brist är kryptering eller pseudonymisering av uppgifterna på ett sådant sätt att ingen i mottagarlandet, inklusive mottagaren av uppgifterna, kan få tillgång till uppgifterna i klartext.
Att överföra uppgifter i oläsbar form kan vara en lösning i situationer där data endast ska lagras i mottagarlandet (t.ex. för backup-ändamål), eller om pseudonymiserad data ska användas för analys- eller forskningsändamål. I de flesta andra situationer kräver dock syftet med överföringen att mottagaren får del av uppgifterna i läsbart format – exempelvis när uppgifter om kunder överförs till ett tredjeland för att mottagaren ska kunna kontakta eller rikta marknadsföring till sådana kunder. Kryptering eller pseudonymisering av uppgifter är därför sällan ett praktiskt alternativ. Därtill ställs höga krav på den krypteringsmekanism som används. Bland annat ska en ”state-of-the-art” krypteringsalgoritm används som är tillräckligt robust för att stå emot eventuella dekrypteringsförsök av myndigheter i det aktuella tredjelandet. För många organisationer lär det därför bli en utmaning att avgöra vilka krypteringslösningar som är lämpliga och som motsvarar de krav som uppställs i rekommendationerna.
Rekommendationerna har kritiserats för att vara allt för strikta och opragmatiska. Bland annat lämnar rekommendationerna inget utrymme för ett riskbaserat förhållningssätt i förhållande till implementering av ”ytterligare skyddsåtgärder”. Många aktörer har efter Schrems II argumenterat för att bedömningen av vilka ytterligare skyddsåtgärder som behöver vidtas vid användning av standardavtalsklausulerna bör ta avstamp i de reella riskerna och sannolikheten för att överförda personuppgifter faktiskt kommer i utländsk underrättelsetjänsts händer.[3] Detta är dock inget som EDPB:s rekommendationer tar hänsyn till.
Överföringar till USA – inga enkla lösningar på praktiska problem
I förhållande till USA konstaterade EU-domstolen i Schrems II att den amerikanska övervakningslagstiftningen (t.ex. FISA och Executive Order 12333) går utöver vad som är nödvändigt och proportionerligt i ett demokratiskt samhälle och att överförda personuppgifter som omfattas av sådan övervakningslagstiftning därför inte åtnjuter ”ett väsentligen likvärdigt skydd” som i EU.
Frågan många har ställt sig är om ”ytterligare skyddsåtgärder” kan läka det bristande skyddet i USA som EU-domstolen identifierade i Schrems II. Enligt EDPB:s rekommendationer är svaret att överföring av uppgifter till en aktör som omfattas av amerikansk övervakningslagstiftning endast kan ske om överförda uppgifter krypterats eller pseudonymiseras på ett sådant sätt att ingen i mottagarlandet, inklusive mottagaren av uppgifterna, kan få tillgång till uppgifterna i klartext.
Överföring av personuppgifter till USA med stöd av standardavtalsklausulerna – och i enlighet med EDPB:s rekommendationer – kan alltså i princip endast ske om:
- 1. överförande organisation kan visa att mottagarens behandling i USA inte omfattas av amerikansk övervakningslagstiftning; eller
- 2. överförda uppgifter krypteras eller pseudonymiseras enligt vad som närmare beskrivs i rekommendationerna.
Sammanfattningsvis kan vi konstatera att de efterlängtade rekommendationerna från EDPB knappast erbjuder någon enkel och praktisk lösning för de organisationer som använder sig av standardavtalsklausulerna vid överföringar till USA och andra tredjeländer. Många organisationer kommer inte kunna följa EDPB:s rekommendationer – samtidigt som det för de flesta inte är ett alternativ att helt sluta överföra personuppgifter till USA. Rekommendationerna är föremål för publik konsultation och det återstår därför att se om några ändringar av rekommendationerna kommer genomföras innan de slutligen antas. Vi följer med spänning utvecklingen och håller er uppdaterade.
[1] Principen om ”margin of appreciation” ger enskilda medlemsstater en viss marginal vid tolkningen och tillämpningen av Europakonventionen. Se exempelvis Europadomstolens domar i Centrum för Rättvisa v. Sweden (19 juni 2018), p.112 och Big Brother Watch and other v. the United Kingdom (13 september 2018), p. 386-387.
[3] Se exempelvis: https://www.informationpolicycentre.com.