meny

Så här påverkar Schrems II-domen överföringar till tredje land

Privacy Shield är en mekanism för självcertifiering som finns i USA. Det innebär att företag i USA kan anmäla sig till det amerikanska handelsdepartementet (Department of Commerce) och meddela att de uppfyller de krav som ställs i Privacy Shield.

Enligt ett tidigare (numera ogiltigförklarat) beslut från EU-kommissionen har det varit tillåtet för personuppgiftsansvariga i EU att överföra personuppgifter till mottagare som har anslutit sig till Privacy Shield.

Den 16 juli 2020 meddelade EU-domstolen dom i det så kallade Schrems II-målet. Domstolen slår fast att Privacy Shield-avtalet mellan EU och USA inte ger ett tillräckligt skydd för personuppgifter när dessa förs över till USA.

Ogiltigförklarandet av Privacy Shield innebär att det inte längre är tillåtet för personuppgiftsansvariga i EU att med Privacy Shield som grund överföra personuppgifter till mottagare i USA.

Domstolen ansåg däremot att Kommissionens beslut om standardavtalsklausuler är giltigt och att sådana kan användas vid överföring till länder utanför EU och EES men att det i samband med användandet av dem i sin nuvarande form kan behövas ytterligare skyddsåtgärder. Så är fallet om mottagarlandet genom sin lagstiftning eller praxis inte kan anses tillförsäkra en i allt väsentligt likvärdig skyddsnivå för uppgifterna som inom EU och EES. 

Läs EU-domstolens pressmeddelande om domen  

EDPB:s Rekommendationer 1/2020 om ytterligare åtgärder för att tillförsäkra att EU:s nivå av skydd för personuppgifter upprätthålls

EDPB har tagit fram rekommendationer om vilka ytterligare skyddsåtgärder som kan användas vid överföring av personuppgifter till länder utanför EU och EES när skyddsnivån i mottagarlandet inte kan anses tillförsäkra en likvärdig skyddsnivå. Rekommendationerna innefattar också kriterier som tydliggör under vilka tänkbara omständigheter som en överföring inte är möjlig. Bedömningen av vilka åtgärder som ska användas och i vilken utsträckning det är tillräckligt för att uppnå en godtagbar skyddsnivå ska göras i varje enskilt fall och av exportören.

Bedömningen är beroende både av omständigheterna för den specifika överföringen och av rättsläget i det land som uppgifterna ska överföras till.

Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data 
Till hjälp för att avgöra om ett land ska anses ha en tillräcklig skyddsnivå har EDPB också tagit fram, och nu uppdaterat, ett annat dokument om European Essential Guarantees (Rekommendationer 2/2020). Där anger man vilka grundläggande garantier som måste respekteras när ett land beslutar om ingrepp i rätten till integritets- och dataskydd (t.ex. genom övervakningsåtgärder), för att dessa ingrepp inte ska gå utöver vad som är nödvändigt och proportionerligt i ett demokratiskt samhälle.

Frågor och svar om Schrems II-domen  

Kan vår organisation föra över personuppgifter till USA med stöd av Privacy Shield?

Nej, EU-domstolens dom (C-311/18) innebär att Privacy Shield har upphört att gälla. Finns det ett behov av att överföra uppgifter till USA måste ni hitta en annan juridisk lösning än Privacy Shield.

Vilka andra verktyg kan man använda för tredjelandsöverföring?

De möjligheter som finns för att överföra personuppgifter till tredjeland anges i kapitel V i dataskyddsförordningen. Schrems II-domen betonar att alla bestämmelser om tredjelandsöverföring i kapitel V måste tillämpas så att de säkerställer att den skyddsnivå som förordningen ger fysiska personer inte undergrävs. De lämpliga skyddsåtgärder som kan göra det möjligt att föra över personuppgifter enligt artikel 46 måste tillhandahålla en skyddsnivå som är ”väsentligen likvärdig” med den som garanteras inom EU genom dataskyddsförordningen. Den Europeiska dataskyddsstyrelsen kommer att bedöma vilka konsekvenser domen får på de andra överföringsverktyg än standardavtalsklausuler och bindande företagsbestämmelser som listas i Artikel 46. För standardavtalsklausuler och bindande företagsbestämmelser finns mer vägledning nedan.

Kan vi använda oss av standardavtalsklausuler för att överföra personuppgifter till USA?

EU-domstolen anser att standardavtalsklausuler som regel fortfarande kan användas för att överföra personuppgifter till ett tredje land. I sin dom talar dock EU-domstolen om att standardavtalsklausuler kan behöva kompletteras med ytterligare skyddsåtgärder i situationer där det ser ut att vara tveksamt om lagstiftningen i det mottagande landet gör det möjligt att leva upp till det som standardavtalsklausulerna är avsedda att tillförsäkra, nämligen att upprätthålla en i allt väsentligt samma nivå av skydd för grundläggande fri- och rättigheter som råder inom EU.

Vad kan sådana ytterligare skyddsåtgärder vara?

Domstolen gav inga sådana exempel men betonade att bedömningen av vilka åtgärder som krävs blir beroende av situationen i varje enskilt fall. Utifrån en analys av domstolens avgörande har EDPB tagit fram rekommendationer kring hur bedömningen bör göras. Rekommendationerna innehåller en process i sex steg där ett av stegen går ut på att identifiera och sätta på plats de ytterligare skyddsåtgärder som bedöms nödvändiga. I en bilaga räknar man upp exempel på sådana åtgärder. Det rör sig om både juridiska, tekniska och organisatoriska åtgärder. Listan med exempel är inte uttömmande - det kan finnas andra åtgärder men det kan också vara så att det i en viss situation inte går att med några skyddsåtgärder tillförsäkra en i allt väsentligt samma nivå av skydd som råder inom EU. Exempel på detta återfinns också i bilagan. Då får uppgifterna inte föras över. 

Supplementary measures 

Kan vi fortsätta att föra över uppgifter med stöd av bindande företagsbestämmelser?

EU-domstolens dom i Schrems II-målet kan även påverka överföringar av personuppgifter som sker med stöd av bindande företagsbestämmelser (binding corporate rules eller BCR) eftersom ett tredjelands lag kan komma att påverka skyddet som tillhandahålls genom sådana överföringsverktyg.

Det är upp till den som vill föra över personuppgifter till USA eller annat tredje land att göra en bedömning av om de anser att tillräckliga skyddsåtgärder har vidtagits för att garantera att kraven i dataskyddsförordningen uppfylls.

När Datainspektionen godkänner bindande företagsbestämmelser kontrolleras om de krav som dataskyddsförordningen ställer på sådana bestämmelser är uppfyllda. Bindande företagsbestämmelser ska bland annat ange hur koncernen följer grundläggande principer om exempelvis ändamålsbegränsning och uppgiftsminimering, de registrerades rättigheter samt processen för hantering av klagomål. Därefter är det upp till den som fått sina bindande företagsbestämmelser godkända att bedöma om de garantier och det skydd som ges i företagsbestämmelserna i praktiken kan upprätthållas vid en överföring av personuppgifter till USA eller annat tredje land.

Ett godkännande av en koncerns bindande företagsbestämmelser innebär därmed inte ett tillstånd att överföra uppgifter till ett särskilt land eller att de åtgärder och åtaganden som finns i de bindande företagsbestämmelserna har bedömts mot lagstiftningen i alla länder till vilka överföring kan tänkas ske.

Trots att en koncern har fått sina bindande företagsbestämmelser godkända kan det alltså vara så att ytterligare säkerhetsåtgärder eller andra åtgärder behöver vidtas eller att en överföring till och med måste avbrytas, om koncernen efter en helhetsbedömning kommer fram till att man inte kan leva upp till sina åtaganden och att lämpliga skyddsåtgärder i praktiken inte kan säkerställas. Vad som gäller ifråga om sådana ytterligare åtgärder framgår ovan, se under frågan Vad kan sådana ytterligare skyddsåtgärder vara?

Kan vi använda oss av något av de undantag som beskrivs i artikel 49?

Överföring till tredjeland kan fortfarande ske i de särskilda, icke systematiska, situationer som anges i artikel 49 under förutsättning att de villkor som anges där är uppfyllda. Europeiska dataskyddsstyrelsen har tagit fram närmare riktlinjer om vad som gäller enligt artikel 49. 
Läs riktlinjerna som pdf-dokument på engelska 

Vad gör Datainspektionen med anledning av Schrems II-domen?

Datainspektionen har tillsammans med övriga dataskyddsmyndigheter i Europa tagit fram de rekommendationer som antogs av EDPB om ytterligare skyddsåtgärder (Rekommendationer 01/2020). Datainspektionen har också deltagit i EDPB:s arbete med att ta fram mer generell information om domen och dess konsekvenser såsom EDPB:s dokument med vanliga frågor och svar.

Datainspektionen arbetar kontinuerligt både på nationell nivå och tillsammans med de andra dataskyddsmyndigheterna inom EU/EES för att få till en enhetlig tolkning och tillämpning av domens effekter.

Länk till rekommendationerna

Läs dokumentet med vanliga frågor och svar 

Vad kan vår organisation göra redan nu?

Följ stegen i dokumentet med rekommendationer som EDPB tagit fram. Det första ni bör göra är att kartlägga vilka flöden av personuppgifter som finns i organisationen och i vilka fall personuppgifter kan komma att överföras till tredje land. Om uppgifter överförs till tredje land bör ni försöka utröna hur skyddet hos det mottagande landet ser ut i det särskilda fallet. Därefter måste ni ta ställning till om det finns stöd för överföringen eller inte.

I era avtal med eventuella personuppgiftsbiträden ska det framgå om personuppgifter överförs till tredje land. Ni bör även ta reda på om eventuella underleverantörer överför uppgifter till tredje land. Många tjänster överför idag uppgifter till tredje land.
Rekommendationerna om ytterligare skyddsåtgärder undergår nu publik konsultation där alla och envar har möjlighet att komma med synpunkter senast den 30 november 2020. 

Därefter kommer de slutligt att antas av EDPB. 

Mer information om Schrems II-domen och överföringar till tredje land

Läs EU-domstolens pressmeddelande om domen i pdf-format

Läs EDPB:s dokument med frågor och svar om Schrems II-domen 

EDPB Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data  (Ute på publik konsultation till 30 november 2020)

Roadmap: Applying the principle of accountability to data transfers in practice (infografi på engelska)

Denna sida uppdaterades 2020-11-16