År 2013 bad den österrikiske medborgaren Maximillian Schrems den irländska Data Protection Commission (dataskyddskommissionen) att stoppa Facebook från att överföra Schrems privata information till USA; en begäran som till slut hamnade i EU-domstolen och medförde att dåvarande medel för att säkerställa ett så kallat adekvat skydd för tredjelandsöverföring,”Safe Harbor”, ersattes med ”EU-US Privacy Shield”. Efter Privacy Shields införande har Schrems tagit ännu ett initiativ till att skydda EU-medborgares integritet, mer specifikt vad gäller överföring av personuppgifter utanför EU/EES, vilket IT-advokaterna uppmärksammat i ett tidigare pressmeddelande.
Den 16 juli 2020 meddelade EU-domstolen sitt avgörande i det mål som kommit att kallas Schrems II, varvid Privacy Shield ogiltigförklarades och möjligheterna att överföra personuppgifter till USA kraftigt begränsades. EU-domstolen anser att Privacy Shield ger ett för svagt skydd för enskildas integritet. Detta mot bakgrund av att USA:s lagstiftning ger amerikanska myndigheter rätt till tillgång av data, inklusive personuppgifter, om detta krävs till följd av ”nationell säkerhet, allmänintresse eller rättsefterlevnad”. Vidare säkerställer inte Privacy Shield att den enskildes rätt till ett effektivt rättsmedel garanteras, vilket innebär att Privacy Shield i dagsläget inte uppfyller EU-lagstiftning på området. I praktiken innebär detta att företag som grundar sin överföring av personuppgifter till USA på Privacy Shield måste vidta åtgärder för att säkerställa att överföringen sker i enlighet med en annan laglig grund.
En annan huvudfråga i Schrems II var om EU-kommissionens, mycket ofta använda, standardavtalsklausuler (”SCC”) ska anses giltiga, dvs. om de säkerställer ett adekvat skydd för enskildas integritet då personuppgifter överförs utanför EU/EES. EU-domstolen kom fram till att SCC uppfyller EU-lagstiftningen och således kan fortsätta användas, men poängterar att varje nationell tillsynsmyndighet har en skyldighet att förbjuda överföring med hjälp av SCC till de länder som inte garanterar ett tillräckligt integritetsskydd. Detta ålägger såväl tillsynsmyndigheter som personuppgiftsansvariga att kontinuerligt, medan behandlingen pågår, säkerställa att SCC alltjämt upprätthåller ett fullgott skydd och efterlevs. EU-domstolen anser att såväl SCC som mottagaren av personuppgifterna och mottagarlandets rättssystem ska tas med vid bedömningen av adekvat skyddsnivå. Skyddsnivån i samband med en tredjelandsöverföring ska således ställas mot bakgrund av om SCC följs eller inte kan följas, så att skyddet av enskildas integritet säkerställs i enlighet med EU-lagstiftning.
EU-domstolen anser vidare att SCC innehåller effektiva mekanismer som i praktiken gör det möjligt att säkerställa överensstämmelse med den skyddsnivå som krävs enligt EU-lagstiftningen, men att överföring av personuppgifter enligt SCC ska förbjudas om mottagaren inte kan uppfylla dem. Med andra ord, EU-domstolen anser inte att giltigheten av SCC i sig behöver ifrågasättas, men däremot det faktum att SCC inte binder myndigheterna i det tredje landet till vilket personuppgifter överförs. Detta har skapat en osäkerhet kring möjligheten att använda SCC i samband med överföring av personuppgifter till USA, där det konstaterats att enskildas integritet inte kan garanteras till följd av bristande rättsmedel och amerikanska myndigheters övervakning. EU-domstolens resonemang om vilka krav som ställs vid användningen av SCC skapar således en osäkerhet kring hur de ska, och om de kan, användas vid överföring till USA.
Vill Du veta mer om hur detta kan påverka Ditt företag, tveka inte att kontakta en IT-advokat.