Europeiska dataskyddsstyrelsen (EDPB) antar slutgiltiga version av rekommendationer avseende tredjelandsöverföringar efter Schrems II

EDPB antog den 18 juni en slutgiltig version av sina rekommendationer för överföring av personuppgifter till länder utanför EES (tredjeländer) som inte tillhandahåller ett tillräckligt skydd för personuppgifter och det därför kan krävas ”kompletterande skyddsåtgärder”.[1]  Bakgrunden till rekommendationen är EU-domstolens avgörande i Schrems II (se här), vilket sedan sommaren 2020 har skapat stor osäkerhet när det gäller tredjelandsöverföring och, inte minst, användning av publika molntjänster som innebär sådan överföring.

EU-domstolen har i Schrems II konstaterat att när personuppgifter överförs till tredjeland krävs att skyddet för personuppgifterna är väsentligen likvärdigt med det skydd som garanteras i EU-rätten.

Rekommendationerna är avsedda att hjälpa personuppgiftsansvariga att bedöma vilka skyddsåtgärder (tekniska, avtalsmässiga eller organisatoriska) som kan krävas för att kompensera för eventuella brister i skyddet för personuppgifterna i mottagarlandet. En sådan bedömning kan även utmynna i slutsatsen att överföringar inte ska genomföras, och således att vissa publika molntjänster inte kan användas på det sätt som avsågs.

För denna bedömning presenterar EDPB en checklista i sex steg:

  1. Kartlägg tredjelandsöverföringar (”know your transfers”).
  2. Avgör vilket rättsligt mekanism i kapitel V dataskyddsförordningen som överföringarna ska baseras på, t.ex. standardavtalsklausuler, binding corporate rules.
  3. Bedöm om det finns något i tredjelandets lagstiftning eller tillämpningen av lagstiftningen som kan påverka tillämpningen den rättsliga mekanismen utifrån den aktuella överföringen.
  4. Bedöm och tillämpa kompletterande skyddsåtgärder som kan vara nödvändiga för att säkerställa ett skydd för de överförda personuppgifterna i tredjelandet som är väsentligen likvärdigt med det som garanteras inom EU.
  5. Vidta eventuella formella åtgärder som kan komma att behöva vidtas, beroende på vilket mekanism i artikel 46 i GDPR som behandlingen baseras på.
  6. Omvärdera skyddsnivån för personuppgifterna och säkerställa att ingenting som kan påverka skyddsnivån har hänt eller kommer hända.

I den slutgiltiga versionen av sina rekommendationer betonar EDPB bedömningen av skyddsnivån i tredjelandet dit personuppgifter överförs (steg 3 ovan) och ställer krav på omfattande och noggrann utredning och bedömning av de dataskyddsrättsliga förutsättningar som råder i tredjelandet. EDPB lämnar dock öppet för att om det oklart om dataimportören omfattas av ”a problematic legislation” kan man väga in om dataimportören eller andra aktörer i samma bransch tidigare varit föremål för begäran om utlämnande från myndigheter i tredjelandet. Det är en faktor bland flera som kan vägas in i bedömningen att det inte finns anledning att anta att lagstiftningen tillämpas för utlämnande av de överförda personuppgifterna.

Syftet med de kompletterande skyddsåtgärderna är att kompensera för brister i tredjelandets skyddsnivå och säkerställa ett skydd för de överförda personuppgifterna som är väsentligen likvärdigt med det som följer av EU-rätten. Bedömningen av behov kompletterande skyddsåtgärder ska göras utifrån omständigheterna i det enskilda fallet och med beaktande av bl.a. personuppgifternas format (krypterade, pseudonymiserade) och karaktär.

I en bilaga till rekommendationerna redovisas sju användarfall. Fem av dessa är exempel på situationer då särskilda kompletterande tekniska säkerhetsåtgärder, såsom korrekt genomförd kryptering eller pseudonymisering, kan utgöra tillräckliga skyddsåtgärder. Två användarfall är exempel på situationer där EDPB bedömer att det inte finns några tillräckliga tekniska kompletterande säkerhetsåtgärder för att möta EU:s säkerhetsnivå.

Kommentar

De slutgiltiga rekommendationerna ger i vissa avseende bättre vägledning än utkastet, men saknar det tydliga stöd för riskbedömning som många aktörer har efterfrågat.

Vidare ställer EDPB höga krav på omfattande utredning och komplicerade bedömningar särskilt vad gäller skyddsnivån i mottagarländerna och hur effektiva kompletterande skyddsåtgärder ska införas. Det framstår mycket svårt att göra dessa bedömningar utan hjälp av experter väl insatta i tredjelandets lagstiftning och dess myndigheters praxis och hantering av begäran om åtkomst till personuppgifter hos dataimportören.

Dataimportören, dvs. den som tar emot personuppgifterna i ett tredjeland, t.ex en leverantör av molntjänster, ska enligt EDPB bistå dataexportören med underlag för bedömningarna. Samtidigt anger EDPB att inte vilka källor som helst får användas för bedömning. Källorna ska vara relevanta, objektiva, tillförlitliga, verifierbara och allmänt tillgängliga. EDPB bifogar en lista med källor som kan användas för bedömningar, bl.a. rapport från Europarådet och andra internationella organisationer eller akademiska institutioner eller ideella föreningar s.k. NGO:s. Såvitt vi känner till finns ännu inga rapporter som bedömer skyddsnivån för personuppgifter i olika tredjeländer på det sätt som krävs enligt EDPB och Schrems II.

Av erfarenhet vet vi att det i regel är svårt att förmå leverantörerna att ge ett tillräckligt underlag. Det kan bero på att leverantören inte har tillräcklig kompetens eller ogärna vill informera om att tredjeländers myndigheter kan kräva åtkomst till uppgifter i deras tjänster.

Av de användarfall som EDPB nämner i rekommendationer kan man dra slutsatsen att en SaaS-tjänst eller annan molntjänst som förutsätter att personuppgifterna måste göras tillgängliga i klartext (dvs. utan stark kryptering eller pseudonymisering) innebär att det inte finns någon kompletterande skyddsåtgärd som kan kompensera i brister i tredjelandet skyddsnivå för personuppgifter. Denna slutsats verkar dock svår att förena med att EDPB tidigare anger att bl.a.  personuppgifternas karaktär kan beaktas vid bedömning av skyddsåtgärder.

Vänligen kontakta Johan Kahn eller Daniel Lundqvist om du har frågor om EDPB:s vägledning eller om tredjelandsöverföring av personuppgifter.

[1] Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data Version 2.0, Adopted on 18 June 2021. Rekommendationerna är en uppdatering av det utkast till rekommendationer som EDPB antog i november 2020 (Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data, Adopted on 10 November 2020 version for public consultations)[1] och som vi kommenterade här.