Ny rekommendation om kompletterande skyddsåtgärder vid tredjelandsöverföring

Den Europeiska dataskyddsstyrelsen (EDPB) har publicerat ett utkast till en rekommendation[1] för överföring av personuppgifter till länder utanför EU/EES (tredjelandsöverföringar). Bakgrunden till rekommendationen är EU-domstolens avgörande i Schrems II (se här), vilket sedan sommaren 2020 har skapat stor osäkerhet inom EU när det gäller tredjelandsöverföring och, inte minst, användning av publika molntjänster som medför sådan överföring.

Liksom EU-domstolen i Schrems II placerar EDPB ett stort ansvar på de enskilda organisationer som för ut personuppgifter från EU (eller som använder tjänster som innebär överföring av uppgifter till länder utanför EU). Rekommendationen innehåller bl.a. en checklista för vilka steg personuppgiftsansvariga och personuppgiftsbiträden bör använda vid tredjelandsöverföringar. I det första steget krävs inventering av tredjelandsöverföringar och identifiering av rättslig grund för överföringen (t.ex. standardavtalsklausuler). Därefter krävs alltid en bedömning av skyddsnivån för personuppgifter  i mottagarlandet. Om skyddsnivån i ett visst mottagarland inte bedöms motsvara EU:s skyddsnivå krävs dessutom ”kompletterande skyddsåtgärder”.

EDPB:s rekommendation innehåller ett antal typfall där olika säkerhetsåtgärder beskrivs och bedöms. Det kan konstateras att avtalsmässiga eller organisatoriska åtgärder inte i sig utgör tillräckliga åtgärder för att säkerställa en tillräcklig skyddsnivå för personuppgifter.

När det gäller tekniska skyddsåtgärder drar vi följande preliminära och generella slutsatser:

  1. Det finns enligt EDPB inga effektiva tekniska skyddsåtgärder för tjänster som:
    • Medför att leverantören i ett tredjeland har tillgång till okrypterade personuppgifter i klartext vilket gäller oavsett om kryptering tillämpas vid överföring och vid ”data-at-rest”. Detta torde bl.a. omfatta  SaaS-tjänster som innebär överföring av personuppgifter till USA.
    • Medför fjärråtkomst från tredjeland till personuppgifter lagrade i klartext inom EU. Detta torde bl.a. omfatta många IT-supporttjänster (inklusive kundtjänst) som tillhandahålls genom ”globala” leveransorganisationer utanför EU.
  1. Personuppgifter i klartext får generellt inte överföras via internet i okrypterad form, eller annars göras tillgängliga i klartext till ett tredjeland. Typiskt sett krävs kryptering där leverantören/mottagaren inte har eller enkelt kan skaffa tillgång till krypteringsnyckeln.
  2. Pseudonymisering kan vara en effektiv skyddsåtgärd, under vissa förutsättningar. Detsamma gäller för uppdelning av en personuppgiftsbehandling mellan flera biträden, så att ingen av dem får tillräcklig information för att identifiera fysiska personer.

Slutsatserna ovan är preliminära och bör kompletteras av en rättslig bedömning i det enskilda fallet. EDPB:s rekommendation är preliminär och öppen för synpunkter fram till den 30 november 2020. Den slutgiltiga versionen kommer troligen att innehålla ett flertal ändringar och tillägg.

Vänligen kontakta Johan Kahn eller Daniel Lundqvist om du har frågor om EDPB:s vägledning eller om tredjelandsöverföring av personuppgifter.

_____________________________

[1] Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data, Adopted – version for public consultations.