Så var det dags igen. Fem år efter underkännandet av det tidigare dataskyddsavtalet ”Safe Harbour” underkänns alltså dess efterträdare ”Privacy Shield” som reglerar överförandet av personuppgifter mellan privatföretag i EU och USA.
I sitt avgörande från den 16 juli 2020 (i det så kallade ”Schrems II-målet” som drivits av den österrikiske aktivisten Max Schrems mot bl.a. Facebook) slår EU-domstolen fast att Privacy Shield inte ger ett tillräckligt skydd för personuppgifter och att överföringar av personuppgifter till USA med stöd av Privacy Shield därmed är olagliga. Flera tusentals bolag i USA stödjer sin verksamhet och utbyte av personuppgifter mellan EU och USA på en anslutning till Privacy Shield för att möjliggöra handel och utbyte av tjänster över kontinenterna. Det säger sig självt att det här avgörande omkullkastar verkligheten för tusentals bolag och dess överföringar av personuppgifter som nu blivit olagliga över en natt.
Vad är Privacy Shield och varför har det underkänts?
För att personuppgifter ska kunna överföras till ett ”tredje land”, dvs. ett land utanför EU, krävs det enligt GDPR att den som mottar och behandlar personuppgifterna i det tredje landet uppfyller en adekvat skyddsnivå. Det sagda innebär att uppgifterna ska skyddas på samma sätt och med samma skyddsnivå som tillförsäkras uppgifterna enligt GDPR. I artikel 46 i GDPR anges olika godkända former av ”lämpliga skyddsåtgärder” som kan användas för att möjliggöra en laglig överföring till tredje land. Saknas lämplig skyddsåtgärd är överföringen olaglig. Ett exempel på en lämplig skyddsåtgärd var det dataskyddsavtal som tecknats mellan EU och USA som kallas för Privacy Shield. Genom att amerikanska bolag anslöt sig till Privacy Shield och uppfyllde de krav som därigenom ställdes på bolagen ansågs sådana bolag upprätthålla en lämplig skyddsnivå och överföring av personuppgifter till ett Privacy Shield anslutet bolag var därför tillåtet enligt GDPR. Men efter en lång domstolskamp står det alltså klart att EU-domstolen inte anser att Privacy Shield avtalet garanterar att lämpliga skyddsåtgärder upprätthålls. Den primära anledningen till underkännandet är de federala övervakningslagar som finns i USA som ger amerikanska myndigheter och regeringen tillgång till personuppgifter även i privat sektor. För det första konstaterade EU-domstolen att amerikanska övervakningslagar, som kommissionen bedömde i sitt Privacy Shield-beslut, inte är begränsade till vad som är strikt nödvändigt och proportionerligt enligt EU-lagstiftningen och därmed inte uppfyller kraven i artikel 52 i EU-stadgan om grundläggande rättigheter. För det andra fastställde EU-domstolen att när det gäller amerikanska myndigheters övervakning saknar EU-registrerade personer effektiva rättsmedel inför en domstol och dessa personer har därför inte tillgång till en rättssäker prövning inför en oavhängig och opartisk domstol i USA, vilket krävs i artikel 47 i EU-stadgan.
Finns det andra lagliga sätt att överföra personuppgifter till USA?
Det finns andra sätt att överföra personuppgifter till bolag i USA. De mest vanligt förekommande skyddsåtgärderna för att säkerställa att bolaget i tredje land upprätthåller en lämplig skyddsnivå enligt artikel 46 GDPR är antingen att ingå avtal enligt de så kallade standardklausulerna (Standard Contractual Clauses) eller att bolagen antar bindande företagsbestämmelser (Binding Corporate Rules). Båda dessa innebär, något förenklat, att bolagen kontraktuellt förbinder sig att behandla och skydda personuppgifter i enlighet med de krav som uppställs enligt GDPR. EU-domstolens avgörande i Schrems II avgörandet innebär inte att standardklausulerna eller bindande företagsbestämmelserna underkänts och dessa kan alltså fortsatt användas för överföring av uppgifter till USA. MEN, överföringar med stöd av dessa är endast lagliga om bolagen kan leva upp till dem i praktiken. Eftersom de federala lagarna i USA ställer sig ovanför vad bolagen åtagit sig kontraktuellt är det tveksamt om det verkligen kommer att fungera i praktiken. Den Europeiska dataskyddsstyrelsen (European Data Protection Board) har gett viss vägledning och sammanställt en FAQ som kan läsas här och här. EDPB anger att i de fall där det tredje landets lagstiftning kan stå i konflikt med standardklausulerna eller de bindande företagsbestämmelserna så måste ”kompletterande åtgärder” vidtas för att säkerställa en väsentligen likvärdig skyddsnivå som tillhandahålls i EU, och att lagarna i det tredje landet inte kommer att påverka dessa kompletterande åtgärder för att förhindra deras effektivitet. Emellertid preciseras inte närmare vad sådana kompletterande åtgärder kan bestå i. EDPB anger att de kompletterande åtgärderna får bedömas från fall till fall, med hänsyn till alla omständigheterna vid överföringen och efter bedömningen av lagen i det tredje landet, för att kontrollera om det säkerställer en tillräcklig skyddsnivå. Vidare anges att EDPB för närvarande analyserar domstolens dom för att fastställa vilken typ av kompletterande åtgärder som kan vidtas utöver standardklausulerna (SCC) eller bindande företagsbestämmelser (BCR), antingen lagliga, tekniska eller organisatoriska åtgärder, för att överföra data till tredje länder där SCC eller BCR inte kommer att tillhandahålla tillräcklig nivå av garantier på egen hand. Vi kan bara konstatera att vi ser fram emot sådan ytterligare vägledning då det för närvarande ser väldigt svårt ut, utifrån domstolens uttalande i domen, att på ett lagligt sätt överföra uppgifter till USA. En sådan situation är ju minst sagt svårhanterbar med tanke på det stora antalet affärer och tjänster som utbyts över kontinenterna.
Vad göra?
Alla bolag som på ett eller annat sätt överför personuppgifter till tredje land (och primärt USA) inom ramen för sin egen verksamhet eller genom samarbeten eller tjänster från bolag utanför EU bör göra en översyn av sina biträdesförhållanden och personuppgiftsbiträdesavtal och särskilt analysera vilken lämplig skyddsåtgärd som används för att möjliggöra överföringen och om denna fortsatt uppfyller kraven. Om överföringen stödjer sig på Privacy Shield är överföringen olaglig och måste därmed omedelbart upphöra till dess att en annan lämplig skyddsåtgärd vidtagits.
Morris GDPR-team bevakar utvecklingen och efterdyningarna av EU-domstolens avgörande och vi ser med spänning fram emot ytterligare konkret och praktisk vägledning från EDPB.