EU-domstolen kom i somras med en dom, Schrems II, som underkände kommissionens beslut om att det finns adekvat skyddsnivå vid överföring av personuppgifter till USA ”Privacy Shield”. Det innebär att det inte längre finns någon giltig generell överenskommelse att luta sig mot vid överföring av personuppgifter mellan EU och USA.
IT&Telekomföretagen bjöd in Petra Lennhede, jurist vid Datainspektionens EU-sekretariat för att medverka i ett möte med Datarådet och berätta om Schrems II. Vi passade då på att ställa några frågor om domen och vad man som företagare bör tänka på.
– Vad handlar egentligen Schrems II om och hur berör domen företag rent praktiskt?
I domen ogiltigförklarar EU-domstolen Privacy Shield, det vill säga den amerikanska mekanism för självcertifiering som enligt ett så kallat adekvansbeslut från EU-kommissionen gjorde det tillåtet att överföra personuppgifter till mottagare som anslutit sig dit.
I korthet kommer domstolen fram till att Privacy Shield inte ger ett tillräckligt skydd för de personuppgifter som förs över till USA, bland annat för att amerikanska myndigheter har alltför vidsträckta möjligheter att få tillgång till uppgifter som överförs dit. Domen innebär att det inte längre är tillåtet att föra över personuppgifter till USA med stöd av Privacy Shield.
Domstolen ansåg däremot att EU-kommissionens beslut om standardavtalsklausuler fortfarande är giltiga och att dessa kan användas vid överföring utanför EU. Trots att standardavtalsklausulerna som sådana erbjuder ett bra skydd, är det dock inte säkert att skyddet kan upprätthållas i praktiken, exempelvis på grund av hur lagstiftningen ser ut i det land dit man för över uppgifter. Man kan därför behöva vidta ytterligare skyddsåtgärder som komplement. Domstolen gav dock inget svar på vad sådana ytterligare åtgärder kan vara.
När kommer vi att få se tydligare regler för dataöverföringar mellan EU och USA?
Det är ännu inte klart om det kommer någon ersättare till Privacy Shield, men det är tydligt att behovet av att kunna föra över personuppgifter till USA är stort. Det är EU-kommissionen som ansvarar för att ta fram så kallade adekvansbeslut och förhandlingar med USA har påbörjats.
Samtidigt pågår ett intensivt arbete inom Europeiska dataskyddsstyrelsen (EDPB) med att analysera domen och ta fram vägledning kring tolkning och konsekvenser, bland annat arbetar vi just nu med en vägledning kring vilka ytterligare juridiska, tekniska och organisatoriska skyddsåtgärder som kan bli aktuella i fall där till exempel standardavtalsklausuler inte ger en tillräcklig skyddsnivå. Vägledningen beräknas vara klar i slutet av oktober. Det kan också vara intressant att veta att det pågår ett arbete hos EU-kommissionen med att modernisera nuvarande standardavtalsklausuler.
Vad bör man som berört företag göra?
Vår rekommendation till företagen är: gör en egen analys och kartlägg vilka flöden av personuppgifter som finns i organisationen samt i vilka fall, på vilket sätt och med vilket stöd uppgifterna kan komma att överföras till tredje land. Så långt som möjligt bör ni också, eventuellt i samråd med mottagaren, försöka ta reda på hur skyddet ser ut i det mottagande landet. Ta sedan ansvar för att börja åtgärda eventuella brister och avbryta överföringar som saknar rättsligt stöd. Glöm inte att dokumentera era överväganden. När vägledningar sedan kommer från EDPB kan ni använda dessa som stöd i era bedömningar.