[English] Nyhetsbrev december 2020: Schrems II och personuppgifter – vad gäller?

[English] I somras ändrades förutsättningarna för att föra över personuppgifter till ett land utanför EU/ESS. I det så kallade Schrems II-målet ogiltigförklarade EU-domstolen ramverket Privacy Shield som grund för att föra över uppgifter till USA. Domstolen ansåg däremot att avtal med de av Kommissionen godkända standardavtalsklausulerna fortfarande kan användas vid överföring till länder utanför EU/EES. Det kan dock krävas ytterligare skyddsåtgärder för att överföringen ska vara tillåten när skyddsnivån i mottagarlandet inte kan anses tillförsäkra en likvärdig skyddsnivå som inom EU/EES. Europeiska dataskyddstyrelsen har nu tagit fram utkast till rekommendationer om vilka ytterligare skyddsåtgärder som kan användas.

Dataskyddsförordningen (GDPR) innehåller regler om under vilka förutsättningar det är tillåtet att föra över personuppgifter till länder utanför EU/EES. Överföring till ett sådant s.k. tredje land kan t.ex. vara tillåtet om det finns ett beslut från EU-kommissionen om att det aktuella landet utanför EU/EES säkerställer så kallad adekvat skyddsnivå. En sådan överföring kan också vara tillåten för den som ingår ett avtal innehållande standardavtalsklausuler (så kallade Standard Contractual Clauses, SCC) godkända av EU-kommissionen.

PRIVACY SHIELD OGILTIGHETSFÖRKLARADES I SOMRAS

Privacy Shield var ett ramverk för att reglera utbyte av personuppgifter mellan EU och USA. Tidigare ansågs överföringar till USA vara tillåtna om mottagaren anmält sig till det amerikanska handelsdepartementet (Department of Commerce) och meddelat att de uppfyller de krav som ställs i Privacy Shield.

Den 16 juli 2020 meddelade EU-domstolen dom i det s.k. Schrems II-målet. Genom domen slog EU-domstolen fast att Privacy Shield-avtalet mellan EU och USA inte ger ett tillräckligt skydd för personuppgifter när dessa förs över till USA. Ogiltigförklarandet av Privacy Shield innebär att det inte längre är tillåtet för personuppgiftsansvariga i EU att med Privacy Shield som grund överföra personuppgifter till mottagare i USA.

KOMMISSIONENS S.K. STANDARDAVTALSKLAUSULER ÄR FORTFARANDE GILTIGA

I Schrems II-målet konstaterade domstolen att Kommissionens standardavtalsklausuler fortfarande är giltiga och att de kan användas vid överföring till länder utanför EU/EES. Domstolen ansåg dock att det vid användande av standardavtalsklausuler kan behövas ytterligare skyddsåtgärder. Så är fallet om mottagarlandet genom sin lagstiftning eller praxis inte kan anses tillförsäkra en i allt väsentligt likvärdig skyddsnivå för uppgifterna som inom EU/EES. Domstolen gav dock ingen vägledning om vilka dessa skyddsåtgärder skulle kunna vara.

VÄGLEDNING OM BEDÖMNING AV MOTTAGARLAND OCH OM YTTERLIGARE ÅTGÄRDER

Efter Schrems-II har den Europeiska dataskyddstyrelsen tagit fram utkast till en vägledning för att avgöra om ett land har ett tillräckligt skydd och vilka åtgärder som kan vidtas för att tillförsäkra ett tillräckligt skydd. Vägledningen är för närvarande ute för publik konsultation. Ni hittar vägledningen här:

Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data

Vägledningen lägger ett stort ansvar på den personuppgiftsansvarige som kommer att behöva utföra flera komplexa bedömningar. I korthet innehåller vägledningen ett antal steg som alla rekommenderas att följa när de utvärderar mottagarlandet och identifieringen av eventuella ytterligare skyddsåtgärder:

  1. Identifiera vilka överföringar av personuppgifter som du genomför till tredje land.
  2. Identifiera vilken överföringsmekanism i kapitel V i GDPR som du använder.
  3. Utred om lagstiftning eller praxis i det tredje land som du för över uppgifter till inskränker överföringsmekanismens effektivitet.
  4. Identifiera och anta ytterligare skyddsåtgärder om det behövs.
  5. Vidta de nödvändiga formella åtgärder som krävs för att dina ytterligare skyddsåtgärder ska kunna tillämpas.
  6. Om- och utvärdera med lämpliga intervaller skyddsnivån för de personuppgifter som överförts.

 

NYA STANDARDAVTALSKLAUSULER

Kommissionen har nyligen publicerat utkast till nya standardavtalsklausuler som även de är ute för publik konsultation. De justerade klausulerna antas förmodligen i sin slutliga form någon gång kring årsskiftet.

 

Vad behöver vi tänka på vid överföring av personuppgifter till tredje land?

Vi rekommenderar att ni med hjälp av dataskyddsstyrelsens vägledning ser över era överföringar av personuppgifter. Vilka länder för ni eller era biträden över uppgifter till? Vilken grund i GDPR använder ni för dessa överföringar? Hur ser skyddet för personuppgifter ut i mottagarlandet? Behöver ni vidta några ytterligare åtgärder?

Tänk på att överföringar som sker med stöd av Privacy Shield är otillåtna och redan bör ha upphört. Om ni använder er av standardavtalsklausuler kan ni behöva vidta ytterligare åtgärder för att överföringen ska vara tillåten.

Vänta inte med att se över era överföringar. Datainspektionen har redan inlett granskningar som rör överföringar av personuppgifter till tredje land (USA).

 

Datainspektionen blir Integritetsskyddsmyndigheten

Den 1 januari 2021 byter Datainspektionen namn till Integritetsskyddsmyndigheten. Förkortningen på myndigheten blir IMY. Integritetsskyddsmyndigheten kommer att ha samma uppdrag som Datainspektionen. Tänk på att om ni hänvisar till Datainspektionen på er hemsida eller på era blanketter och riktlinjer så behöver ni ändra från Datainspektionen till Integritetsskyddsmyndigheten vid årsskiftet.

 

Några av oss som arbetar med integritetsskyddsfrågor

Varmt välkomna att höra av er till någon av oss om ni har några frågor!

Andreas Carnheimer
Advokat och delägare
0735-36 43 66
andreas.carnheimer@sigeman.se
Caroline Andersson
Biträdande jurist
0708-20 91 46
caroline.andersson@sigeman.se