Marknadsföreningen Sverige | Gästblogg, Marknadsrätt
Foto (ovan): Sandra Birgersdotter Ek
Hur överför man personuppgifter till tredje land när Privacy Shield inte längre gäller?
– Så ser den praktiska hanteringen ut efter uppdaterade riktlinjer
Daniel Tornberg och Alexander Jute är advokater på Marknadsföreningens samarbetspartner Advokatfirman MarLaw, som erbjuder juridiskt stöd till våra medlemmar. Missa inte deras sammanfattande tips längst ner i artikeln.
_________
Bakgrund
Förra sommaren kom den s.k. Schrems II-domen[i] från EU-domstolen vilken tar sikte på överföringar av personuppgifter till tredje land (i detta fall USA). Bakgrunden till målet är den österrikiska juristen Max Schrems (som bland annat driver organisationen Non Of Your Business; ”NOYB”) som återigen lyckats få till en prövning i EU-domstolen rörande rätten för Facebook Ireland Ltd att hantera personuppgifter som överförs till dess moderföretag i USA. Sådana överföringar till tredje land, exempelvis USA, är som huvudregel förbjudna om inte ett undantag i GDPR kan tillämpas (se artiklarna 45–50 i GDPR). Ett sådant undantag ger kommissionen rätt enligt artikel 45 att besluta om att visst tredje land har en adekvat skyddsnivå. Sådana beslut fattas efter att EU-kommissionen kommit överens med ett tredje land om villkoren för överföringar.
Ett sådant beslut var det mellanstatliga avtalet Privacy Shield-mellan EU och USA som sålunda upphävdes av EU-domstolen i juli. EU-domstolen menade bland annat att amerikanska myndigheters möjligheter att i stor skala övervaka och samla in personuppgifter om EU-medborgare gör att det reella skyddet för personuppgifter i USA inte lever upp till en adekvat skyddsnivå varken enligt GDPR eller EU-stadgan om de grundläggande rättigheterna, däribland rätten till privatliv och till personuppgifter.
…med tanke på den förhållandevis omfattande överföringen av data finns en överhängande risk att myndigheterna kommer fram till att användning av dessa verktyg som innebär överföring av personuppgifter till USA inte är förenligt med GDPR. Det är därför centralt att varje organisation granskar vilka verktyg och tjänster, cookies mm som man använder och som kan innebära en överföring till tredje land.
Vidare innehåller GDPR undantag enligt vilka personuppgiftsöverföring får ske till tredje land om de förenas med lämpliga skyddsåtgärder enligt artikel 46. En sådan skyddsåtgärd är att stödja sin personuppgiftsöverföring på standardavtalsklausuler som har godkänts av kommissionen. Prövningen i målet Schrems II omfattade förutom Privacy Shield också just personuppgiftsbehandling med stöd av sådana godkända standardavtalsklausuler. Domstolen konstaterade att standardavtalsklausulerna fortfarande kan användas. Klausulerna måste dock ge en skyddsnivå som ger en ”väsentligen likvärdig skyddsnivå” för registrerade som den som finns under GDPR. De krav som ställs på organisationer som vill överföra personuppgifter till tredje land blir således mycket långtgående även om man använder standardavtalsklausuler eftersom man har en undersökningsplikt både att ta reda på vilket skydd personuppgifterna i praktiken har i tredjelandet, hur lagstiftningen där ser ut och dessutom ett ansvar att informera de registrerade om skydd och risker.
Granskning av NOYB
Kort efter domen granskade NOYB ett antal företags webbplatser i EU och noterade att många använde Facebook Connect och/eller Google Analytics. Dessa verktyg innebär att data överförs från EU till USA där dessa bolag är skyldiga att tillhandahålla data till amerikanska myndigheter såsom NSA. Enligt NOYB fanns inte något behov att använda dessa verktyg för att kunna driva webbplatserna och dessa verktyg borde ha tagits bort eller deaktiverats efter domen. NOYB valde att anmäla 101 olika företag i EU till tillsynsmyndigheter i respektive land i anledning av dataöverföringarna.
Tillsyn från IMY
För svensk del anmäldes sex bolag till Integritetsskyddsmyndigheten (IMY) under hösten 2020. IMY inledde tillsyner mot samtliga sex avseende överföringar av personuppgifter till tredje land, det vill säga länder utanför EU och EES. IMYs granskning pågår alltjämt och att vi ännu inte har något beslut i dessa tillsyner beror på att IMY samordnar bedömningarna med de övriga tillsynsmyndigheterna runtom i EU.
Uppdaterade riktlinjer
Sedan domen förra sommaren har Europeiska Dataskyddsstyrelsen (EDPB) tagit fram vägledningar om hur man bör agera om man avser överföra personuppgifter till tredje land när Privacy Shield inte längre gäller. Den senaste versionen av EDPBs rekommendationer lanserades den 18 juni i år[1] och tar sikte på vilka ytterligare skyddsåtgärder som kan användas vid överföring av personuppgifter till länder utanför EU och EES vid användning av standardavtalsklausuler. För att kunna bedöma om det är möjligt att överföra uppgifter till ett visst land som saknar beslut om adekvat skyddsnivå ska man göra en bedömning i sex steg enligt nedan:
- Kartlägg dina överföringar
- Stäm av vilken grund du baserar din överföring på
- Gör en bedömning av tredje landets lagstiftning i förhållande till art 46
- Identifiera och anta tilläggsåtgärder för att komma upp i samma nivå av skydd som EU
- Vidta nödvändiga formella åtgärder, t.ex. konsultera tillsynsmyndigheten
- Gör förnyade bedömningar med lämpliga intervaller
Kommentar
Vi har i skrivande stund inte fått beslut från tillsynsmyndigheterna vad gäller användningen av Facebook Connect och Google Analytics men med tanke på den förhållandevis omfattande överföringen av data finns en överhängande risk att myndigheterna kommer fram till att användning av dessa verktyg som innebär överföring av personuppgifter till USA inte är förenligt med GDPR. Det är därför centralt att varje organisation granskar vilka verktyg och tjänster, cookies mm som man använder och som kan innebära en överföring till tredje land. Därefter ska respektive tredje lands lagstiftning granskas för att göra en bedömning av möjligheterna att med ytterligare skyddsåtgärder komma upp i samma nivå av skydd som i EU. Beroende på vad den egna analysen och legala bedömningen blir får varje organisation fatta ett affärsbeslut baserat på behovet av olika verktyg och den riskaptit man har.
Vi gör löpande bedömningar för olika klienter utifrån EDPBs riktlinjer och kan konstatera att det är en förhållandevis omfattande övning men som dock är nödvändig för att undvika risk för kostsamma sanktioner.
Daniel Tornberg och Alexander Jute
Advokater / Partners, Advokatfirman MarLaw AB
____________
[i] https://curia.europa.eu/juris/document/document.jsf
[1] https://edpb.europa.eu/system/files/2021-06/edpb_recommendations_202001vo.2.0_supplementarymeasurestransferstools_en.pdf