Efter EU-domstolens dom: inte längre tillåtet med överföringar av personuppgifter till USA med stöd av Privacy Shield.

Vad är Privacy Shield?

När Dataskyddsförordningen infördes fick medlemsstaterna i EU och länderna i EES ett likvärdigt skydd för personuppgifter. I och med att det finnas likvärdigt skydd på plats får även personuppgifter överföras inom EU/EES. När överföringar av personuppgifter sker till länder utanför EU/EES finns det dock inga garantier för att individen får samma skydd som enligt dataskyddsförordningen. För att individens skydd inte ska undergrävas finns det särskilda regler för överföringar som syftar till att ge motsvarande nivå på skyddet. Det betyder att en överföring av personuppgifter till tredje land inte får ske om man inte efterlever de särskilda reglerna i dataskyddsförordningen.

Enligt de särskilda reglerna för överföring till tredje land kunde det exempelvis vara tillåtet att överföra personuppgifter till länder som efter beslut av EU-kommissionen anses tillhandahålla en s.k. adekvat skyddsnivå. EU-kommissionen fattade 2016 ett sådant beslut gällande överföring av personuppgifter till USA som kallas Privacy Shield. Företag i USA kunde anmäla sig till det amerikanska handelsdepartementet och meddela att de uppfyllde de krav som ställs enligt Privacy Shield och bli certifierade. Överenskommelsen om Privacy Shield ansågs därmed skydda individernas grundläggande rättigheter för överföring till USA.

När sker en överföring till tredje land?

En överföring till ett tredje land sker när personuppgifter blir tillgängliga för ett land utanför EU/EES. Enligt Datainspektionen kan det exempelvis gälla en lagring av personuppgifter i en molntjänst baserad utanför EU/EES och/eller vid lagring av personuppgifter på en server i ett land utanför EU/EES. För fler exempel se https://www.datainspektionen.se/lagar–regler/dataskyddsforordningen/tredjelandsoverforing/vad-menas-med-overforing-till-tredje-land/

Vad handlar domen om och vad innebär detta?

EU-domstolens dom benämnd Schrems II (målnummer C-311/18) prövade individens rätt bl.a. enligt överenskommelsen Privacy Shield. EU-domstolen hade bl.a. att ställning till om det var lagligt för Facebook att överföra personuppgifter från servrar på Irland till servrar i USA med stöd av överenskommelsen Privacy Shield. EU-domstolen ogiltigförklarade genom domen Privacy shield-överenskommelse mellan EU och USA då den inte ansågs ge tillräckligt skydd för en EU-medborgares personuppgifter. (I domen prövade domstolen även EU-kommissionens beslut om s.k. standardavtalsklausuler och ansåg att de var giltiga men att det kan behövas ytterligare skyddsåtgärder).

EU-domstolens beslut innebär således att Privacy Shield som grund för att överföra personuppgifter upphörde att gälla omedelbart. Det innebär att en överföring av personuppgifter till USA inte längre kan ske med stöd av Privacy Shield.

Vad kan/ska vi göra nu?

Det vi vet just nu är att det inte längre är tillåtet med överföring till tredje land med stöd av Privacy Shield. Även om det är Privacy Shield som står i fokus för domen kan dock domen även ha påverkan på alla överföringar som sker till tredje land dvs. även om överföringarna inte stödjer sig på Privacy Shield. Det innebär att företag och organisationer måste få klarhet i om det sker överföringar till tredje land i verksamheten.

Den svenska Datainspektionen har sedan domen kom varit aktiva kring sin information och lyfter på sin webbplats fram vikten av att dataskyddsmyndigheterna i Europa har en enhetlig syn på hur domen ska tolkas och vilka konsekvenser den får och att man nu arbetar tillsammans med sina systermyndigheter med att ta fram vägledning.

Det kan nämnas att det redan finns 101 identiska klagomål framställda till den Europeiska dataskyddsstyrelsen som har inrättat en arbetsgrupp som ska undersöka klagomålen. Läs mer här

Den svenska Datainspektionen har även tagit fram FAQ om domen på sin webbplats med svar på frågan om vad företag och organisationer bör göra nu. Här anger Datainspektionen som ett generellt råd att organisationen behöver kartlägga flödena av personuppgifter och i vilka fall som personuppgifter kan komma att överföras till tredje land. Om uppgifter överförs måste man undersöka skyddet i det mottagande landet. Därefter får organisationen ta ställning till om det finns stöd för överföringen eller inte.

Läs Datainspektionens FAQ här

Av Niklas Briselius och Tobias Eltell