meny

Så här påverkar Schrems II-domen överföringar till tredje land

Privacy Shield är en mekanism för självcertifiering som finns i USA. Det innebär att företag i USA kan anmäla sig till det amerikanska handelsdepartementet (Department of Commerce) och meddela att de uppfyller de krav som ställs i Privacy Shield. Enligt ett beslut från EU-kommissionen har det varit tillåtet för personuppgiftsansvariga i EU att överföra personuppgifter till mottagare som har anslutit sig till Privacy Shield.

Den 16 juli 2020 meddelade EU-domstolen dom i det så kallade Schrems II-målet. Domstolen slår fast att Privacy Shield-avtalet mellan EU och USA inte ger ett tillräckligt skydd för personuppgifter när dessa förs över till USA.

Ogiltigförklarandet av Privacy Shield innebär att det inte längre är tillåtet för personuppgiftsansvariga i EU att med Privacy Shield som grund överföra personuppgifter till mottagare i USA.

Domstolen ansåg däremot att Kommissionens beslut om standardavtalsklausuler är giltigt och att sådana kan användas vid överföring till länder utanför EU och EES men att det kan behövas ytterligare skyddsåtgärder.
Läs EU-domstolens pressmeddelande om domen

Kan vår organisation föra över personuppgifter till USA med stöd av Privacy Shield?

Nej, EU-domstolens dom innebär att Privacy Shield upphör att gälla och det omedelbart. Finns det ett behov av att överföra uppgifter till USA måste ni hitta en annan juridisk lösning än Privacy Shield.

Vilka andra verktyg kan man använda för tredjelandsöverföring?

De möjligheter som finns för att överföra personuppgifter till tredjeland anges i kapitel V i dataskyddsförordningen. Schrems II-domen betonar att alla bestämmelser om tredjelandsöverföring i kapitel V måste tillämpas så att de säkerställer att den skyddsnivå som förordningen ger fysiska personer inte undergrävs. De lämpliga skyddsåtgärder som kan göra det möjligt att föra över personuppgifter enligt artikel 46 måste tillhandahålla en skyddsnivå som är ”väsentligen likvärdig” med den som garanteras inom EU genom dataskyddsförordningen. Den Europeiska dataskyddsstyrelsen kommer att bedöma vilka konsekvenser domen får på de andra överföringsverktyg än standardavtalsklausuler och bindande företagsbestämmelser som listas i Artikel 46. För standardavtalsklausuler och bindande företagsbestämmelser finns mer vägledning nedan.

Kan vi använda oss av standardavtalsklausuler för att överföra personuppgifter till USA?

EU-domstolen anser att standardavtalsklausuler som regel fortfarande kan användas för att överföra personuppgifter till ett tredje land. I sin dom talar dock EU-domstolen om att standardavtalsklausuler kan behöva kompletteras med ytterligare skyddsåtgärder i situationer där det ser ut att vara tveksamt om lagstiftningen i det mottagande landet gör det möjligt att leva upp till det som standardavtalsklausulerna är avsedda att tillförsäkra, nämligen att upprätthålla en i allt väsentligt samma nivå av skydd för grundläggande fri- och rättigheter som råder inom EU.

Vad kan sådana ytterligare skyddsåtgärder vara?

Det har domstolen inte uttalat något om. Den Europeiska dataskyddsstyrelsen (EDPB) analyserar för närvarande domstolens avgörande för att fastställa vilken typ av ytterligare skyddsåtgärder, juridiska, tekniska eller organisatoriska, som kan bli aktuella i fall där exempelvis standardavtalsklausuler eller bindande företagsbestämmelser inte ger en tillräcklig skyddsnivå.

Kan vi fortsätta att föra över uppgifter med stöd av bindande företagsbestämmelser?

EU-domstolens dom i Schrems II-målet kan även påverka överföringar av personuppgifter som sker med stöd av bindande företagsbestämmelser (binding corporate rules eller BCR) eftersom ett tredjelands lag kan komma att påverka skyddet som tillhandahålls genom sådana överföringsverktyg.
Det är upp till den som vill föra över personuppgifter till USA eller annat tredje land att göra en bedömning av om de anser att tillräckliga skyddsåtgärder har vidtagits för att garantera att kraven i dataskyddsförordningen uppfylls.

När Datainspektionen godkänner bindande företagsbestämmelser kontrolleras om de krav som dataskyddsförordningen ställer på sådana bestämmelser är uppfyllda. Bindande företagsbestämmelser ska bland annat ange hur koncernen följer grundläggande principer om exempelvis ändamålsbegränsning och uppgiftsminimering, de registrerades rättigheter samt processen för hantering av klagomål. Därefter är det upp till den som fått sina bindande företagsbestämmelser godkända att bedöma om de garantier och det skydd som ges i företagsbestämmelserna i praktiken kan upprätthållas vid en överföring av personuppgifter till USA eller annat tredje land.

Ett godkännande av en koncerns bindande företagsbestämmelser innebär därmed inte ett tillstånd att överföra uppgifter till ett särskilt land eller att de åtgärder och åtaganden som finns i de bindande företagsbestämmelserna har bedömts mot lagstiftningen i alla länder till vilka överföring kan tänkas ske.

Trots att en koncern har fått sina bindande företagsbestämmelser godkända kan det alltså vara så att ytterligare säkerhetsåtgärder eller andra åtgärder behöver vidtas eller att en överföring till och med måste avbrytas, om koncernen efter en helhetsbedömning kommer fram till att man inte kan leva upp till sina åtaganden och att lämpliga skyddsåtgärder i praktiken inte kan säkerställas.

Kan vi använda oss av något av de undantag som beskrivs i artikel 49?

Överföring till USA kan fortfarande ske i de särskilda situationer som anges i artikel 49 under förutsättning att de villkor som anges där är uppfyllda. Europeiska dataskyddsstyrelsen har tagit fram närmare riktlinjer om vad som gäller enligt artikel 49.
Läs riktlinjerna som pdf-dokument på engelska 

Vad gör Datainspektionen med anledning av Schrems II-domen?

Det är viktigt att dataskyddsmyndigheterna i Europa har en enhetlig syn på hur domen ska tolkas och vilka konsekvenser den får. Datainspektionen arbetar nu tillsammans med sina systermyndigheter i den Europeiska dataskyddsstyrelsen med att ta fram närmare information om vad domen innebär och för att ge närmare vägledning kring tredjelandsöverföringar. EDPB har bland annat tagit fram ett dokument med vanliga frågor och svar om domen.
Läs dokumentet med vanliga frågor och svar 

Vad kan vår organisation göra redan nu?

Det första ni bör göra är att kartlägga vilka flöden av personuppgifter som finns i organisationen och i vilka fall personuppgifter kan komma att överföras till tredje land. Om uppgifter överförs till tredje land bör ni försöka utröna hur skyddet hos det mottagande landet ser ut i det särskilda fallet. Därefter måste ni ta ställning till om det finns stöd för överföringen eller inte.

I era avtal med eventuella personuppgiftsbiträden ska det framgå om personuppgifter överförs till tredje land. Ni bör även ta reda på om eventuella underleverantörer överför uppgifter till tredje land. Många tjänster överför idag uppgifter till tredje land.

Mer information om Schrems II-domen och överföringar till tredje land

Läs EU-domstolens pressmeddelande om domen i pdf-format

Läs EDPB:s dokument med frågor och svar om Schrems II-domen 

 

Denna sida uppdaterades 2020-09-07