Det är drygt tre månader sedan Schrems II-domen från EU-domstolen, som IT-advokaterna tidigare skrivit om i ett pressmeddelande. Vi har ställt samman svar på några av de frågor vi ofta får från våra kunder.
- Kan vi använda Privacy Shield tills en ny lösning är på plats?
Nej. Privacy Shield upphörde att gälla omedelbart vid EU-domstolens dom.
- Är Standardklausulerna fortfarande giltiga?
Ja, standardklausulerna kan fortfarande användas vid överföring till tredje land, men endast om biträdet kan leva upp till villkoren i dem. Med andra ord; parterna måste försäkra sig om att det lands lagar som biträdet omfattas av inte hindrar biträdet från att efterleva standardklausulerna. Det var bl.a. för att amerikansk lag kan tvinga amerikanska leverantörer att lämna ut personuppgifter som Privacy Shield ogiltigförklarades (se mer under punkt 3).
- Kan vi använda oss av personuppgiftsbiträden i USA?
I de flesta fall förmodligen inte. Privacy Shield ogiltigförklarades för att amerikansk lag ger amerikanska myndigheter rätt att få tillgång till personuppgifter i syfte att upprätthålla nationell säkerhet. Enligt EU-domstolen begränsar lagarna skyddet för personuppgifter på ett vis som strider mot GDPR. Dessutom ger lagstiftningen inte de registrerade rätt till domstolsprövning mot de amerikanska myndigheterna. Amerikanska leverantörer kan således inte uppfylla standardvillkoren.
EU-domstolen uteslöt inte att standardklausulerna kan användas vid överföring till USA, men de måste då kompletteras med åtgärder som väger upp för den amerikanska lagstiftningen, så att en tillräcklig skyddsnivå upprätthålls. I nuläget är det svårt att se vad dessa åtgärder skulle vara.
- Vad krävs om vi vill göra tredjelandsöverföringar?
Innan överföring sker med stöd av standardklausulerna eller exempelvis bindande företagsregler, måste man tillsammans med biträdet utvärdera vilket skydd som finns i det aktuella tredje landet och verifiera att nivån på skydd är väsentligen likvärdig med den som gäller inom EU, så att biträdet genom lag inte kan tvingas bryta mot standardklausulerna eller bindande företagsregler. I annat fall måste standardklausulerna kompletteras med andra åtgärder. Om det trots sådan komplettering inte är möjligt att uppnå en tillräcklig skyddsnivå, så är överföringen olaglig.
Det går fortfarande att göra överföringar med stöd av Artikel 49 GDPR, under förutsättning att de krav som uppställs för sådan överföring uppfylls. Vad gäller överföringar enligt artikel 49 som grundar sig på avtal ska noteras att dessa ska vara enstaka, och alltså inte ske löpande.
- Vad gäller för Norge och andra EES-länder?
Samma som för Sverige. Norge och andra EES-länder omfattas av GDPRs krav och har därmed en tillräcklig skyddsnivå.
- Vad händer nu?
På ett politiskt plan är man säkerligen medveten om det ohållbara i att sluta använda amerikanska leverantörer.
EDPB (Den Europeiska Dataskyddsstyrelsen) arbetar för närvarandepå att analysera vilka ytterligare åtgärder som kan vidtas om det inte räcker med exempelvis standardklausulerna för att garantera en tillräcklig skyddsnivå i ett tredje land. Vad resultatet av arbetet utmynnar är i dagsläget okänt. Vidare samarbetar EDPB med de olika tillsynsmyndigheterna inom EU för att säkra konsekventa bedömningar, särskilt vad gäller om överföring till tredje land måste förbjudas.
Vill du veta mer om Schrems II och dess konsekvenser, tveka inte att kontakta en IT-advokat.