EU-domstolen meddelar vad som gäller för överföring av personuppgifter till USA – Initiala kommentarer

Den 16 juli meddelade EU-domstolen dom i det s.k. Schrems II-målet (C-311/18).

Domen i korthet:

  • ”Privacy Shield” (arrangemanget som många personuppgiftsansvariga baserar överföring av personuppgifter till USA på) upphävs.
  • EU-kommissionens standardklausuler gäller fortsatt som grund för överföring till tredje land.
  • De krav som EU ställer på integritetsskydd kan inte upprätthållas om amerikansk lagstiftning tillämpas.
  • Indirekt innebär domen en bekräftelse av att amerikanska molntjänstleverantörers behandling av personuppgifter kan innebära att sådana leverantörer inte kan lämna tillräckliga garantier för efterlevnad av GDPR.

Konsekvenser:

  • Överföring av personuppgifter som baseras på Privacy Shield måste baseras på en annan grund eller upphöra.
  • Överföringar av personuppgifter till USA som baseras på EU-kommissionens standardklausuler måste analyseras noga för att säkerställa att de i praktiken ger ett tillräckligt skydd för de registrerade alternativt bör sådana överföringar baseras på en annan rättslig grund
  • Användning av molntjänster tillhandahållna av amerikanska leverantörer kommer även fortsatt att kräva grundlig analys och riskbedömning samt korrekt utformade avtal. För viss behandling kommer dessa molntjänster inte att kunna användas i enlighet med GDPR.
  • EU-domstolens tydliggörande av att amerikansk lagstiftning innebär att amerikanska bolag (och deras dotterbolag) inte kan behandla personuppgifter på ett tillräckligt säkert sätt genom att obehöriga (amerikanska myndigheter) kan bereda sig tillgång till uppgifterna bör beaktas vid informationssäkerhetsbedömningar även avseende annan data såsom myndighetsdata och data som är föremål för bank- eller försäkringssekretess.

Vad händer nu?

  • Det första ett företag, organisation eller myndighet bör göra är att inventera vilka överföringar av personuppgifter (eller annan konfidentiell information) till USA som förekommer och vilken grund sådan överföring har.
  • I de fall grunden för överföringen är Privacy Shield måste annan rättslig grund tillämpas eller överföringen upphöra. Om den rättsliga grunden utgörs av EU-kommissionens standardklausuler behöver dessa överföringar analyseras, bl.a. måste det finnas en möjlighet att omedelbart kunna avbryta behandlingen om skyddet för de registrerade inte upprätthålls. Det är bra att vara uppmärksam på att överföring till USA kan ske via molntjänstleverantörer eller underleverantörer samt vid behandling av uppgifter som annars lagras inom EU.
  • Om möjligt bör data lagras inom EU och eventuell behandling utanför EU begränsas till vad som är absolut nödvändigt. Det är en vanlig missuppfattning att de aktuella riskerna i förhållande till amerikanska molntjänstleverantörer elimineras helt genom användning av datacenter inom EU. I praktiken har placeringen av datacenter ingen avgörande betydelse eftersom de amerikanska molntjänstleverantörerna under vissa omständigheter är skyldiga att lämna ut kundens data (och personuppgifter) oavsett geografi och i samband med det överföra uppgifterna till USA.
  • En genomgripande analys kring alternativa grunder för överföringar till USA bör göras. Även avtal med amerikanska molntjänstleverantörer och andra mottagare av personuppgifter bör gås igenom och bedömas i ljuset av den aktuella domen. Kravet på tillräckliga garantier i personuppgiftsbiträdesavtal är ett relativt krav och viss behandling kan under vissa avtalsvillkor vara laglig medan annan behandling under samma villkor kan innebära en överträdelse av GDPR.