Nyhet Överföring av personuppgifter till USA - praktiska råd till följd av Schrems II-målet i EU-domstolen

4 september 2020

Den 16 juli 2020 ogiltigförklarades Privacy Shield av EU-domstolen. I det så kallade Schrems II-målet (C-311/18) underkändes det mellanstatliga avtal för överföring av personuppgifter som tecknats mellan EU och USA. Genom domen begränsar EU-domstolen även i övrigt möjligheterna till att föra över personuppgifter från EU/EES till USA. Ogiltigförklarandet av Privacy Shield fick genom domen effekt med omedelbar verkan vilket innebär att personuppgiftsansvariga och personuppgiftsbiträden nu måste se över sina avtal för att säkerställa laglig överföring av personuppgifter till USA.

Avgörandet får ses som ett av de mest betydelsefulla från EU-domstolen på personuppgiftsområdet. Målet rörde Facebooks överföring av personuppgifter från dotterbolagets servrar på Irland till moderbolagets servrar i USA och berörde huruvida Facebook fick lämna ut användaren Max Schrems personuppgifter till USA.

Genom domen underkänner EU-domstolen Privacy Shield, det vill säga det avtal som ingåtts mellan EU och USA i syfte att reglera överföring av personuppgifter. Skälet till underkännandet är att den amerikanska lagstiftningen bland annat möjliggör övervakning på ett sätt som inte anses förenligt med GDPR. Eftersom Privacy Shield inte hindrar amerikanska myndigheter från att exempelvis begära tillgång till personuppgifter som behandlas i USA, anser EU-domstolen att ett adekvat skydd för personuppgifter och individer inte kan säkerställas.

Privacy Shield har varit populärt. Över 5000 amerikanska organisationer, inklusive Facebook och andra stora amerikanska IT-leverantörer, har förlitat sig på Privacy Shield för att kunna ta emot personuppgifter från EU/EES. Domen är därför av stor betydelse, inte minst då ogiltigförklarandet av Privacy Shield gäller omedelbart. Det innebär att personuppgiftsansvariga och personuppgiftsbiträden som överför personuppgifter till USA nu måste se över sina avtal och vid behov omförhandla dessa för att säkerställa att personuppgifter överförs på ett lagligt sätt enligt GDPR.

Datainspektionen har i samband med detta uttalat att det är viktigt att man som organisation inte sitter på händerna och inväntar ytterligare vägledning från myndigheterna utan att man tar ansvar för sin personuppgiftsbehandling genom ett snabbt agerande.

I målet uttalar sig EU-domstolen även om vilka åtgärder som krävs vid användning av EU-kommissionens standardavtalsklausuler (”SCC”). SCC är en annan metod som enligt GDPR kan användas för att överföra personuppgifter till USA eller annat land utanför EU/EES-området. EU-domstolen bekräftar i domen att SCC fortsatt är giltiga, samtidigt som det förtydligas att en organisation som överför personuppgifter med stöd av SCC i varje enskilt fall måste verifiera att lagen i mottagarlandet säkerställer ett adekvat skydd enligt GDPR. Om sådant adekvat skydd inte kan säkerställas kan det innebära att överföringen av personuppgifter måste avbrytas eller att kompletterande åtgärder måste vidtas t.ex. i form av kryptering, pseudonymisering och lagrings- och uppgiftsminimering.

Praktisk åtgärdslista

Nedan följer sju åtgärder som bör vidtas för att säkerställa att överföring av personuppgifter sker i enighet med GDPR.

  1. Kontrollera om er behandling av personuppgifter innebär att några personuppgifter överförs till USA. Lämpligtvis kan ni utgå från ert register över behandling (art. 30 GDPR) som ska innehålla information om sådana överföringar. Om register inte har upprättats eller om det saknas kompletta uppgifter bör även arbetet med att upprätta/komplettera registret prioriteras.

  2. Identifiera vilka amerikanska företag som är mottagare av personuppgifterna samt de avtal som reglerar sådan överföring. Kom ihåg att även om ni har en svensk leverantör som personuppgiftsbiträde så kan denne i sin tur ha anlitat ett amerikanskt underbiträde som innebär att er svenska leverantör överför personuppgifter till USA.

  3. Prioritera de avtal som omfattar känsliga personuppgifter och/eller där en stor mängd personuppgifter överförs till USA.

  4. Överväg om det är någon överföring till en amerikansk mottagare som inte längre är nödvändig och i så fall avbryt denna överföring (och om möjligt/önskvärt, säg upp avtalet).

  5. Avbryt överföringar av personuppgifter till USA som sker med stöd av Privacy Shield eftersom sådana överföringar nu är olagliga. Kontakta motparten för omförhandling av avtalet. Om personuppgifter fortsatt behöver överföras till USA så kan SCC ofta vara den mest praktiska lösningen.

  6. Analysera vilka kompletterande åtgärder som krävs för att kunna använda SCC i varje enskilt fall. Gör en intern riskbedömning och dokumentera de risker som finns och de kompletterande åtgärder som kommer att vidtas för att säkerställa ett adekvat skydd för uppgifterna t.ex. kryptering, anonymisering eller pseudonymisering av personuppgifter för att överbrygga de brister, som enligt EU-domstolen, finns i amerikansk lagstiftning.

  7. Säkerställ att organisationen inte ingår nya avtal som innebär att personuppgifter överförs till USA med stöd av Privacy Shield. Rådfråga och involvera dataskyddsombudet eller den person som är ansvarig för personuppgiftsfrågor i er organisation för att verifiera att överföring av personuppgifter till USA kan ske på ett lagligt sätt.

 

Här hittar du nyhetsbrevet i sin helhet.

Vinges nyhetsbrev går kontinuerligt ut till dig som har visat intresse för frågor gällande EU:s allmänna dataskyddsförordning (GDPR). Här anmäler du dig för att prenumerera på kommande nyhetsbrev.

Välkommen att kontakta oss om du har frågor om GDPR.

Emelie Svensäter Jerntorp
010 614 55 15
emelie.svensater.jerntorp@vinge.se

Nicklas Thorgerzon
010 614 31 55
nicklas.thorgerzon@vinge.se

Anna Maria Lagerqvist Gahm
010 614 15 25
annamaria.lagerqvistgahm@vinge.se

Arbetsrättspodden # 25 - Provanställning

När en anställning påbörjas är det vanligt att den startar med en prövotid. Detta för att arbetsgivaren ska kunna se om den anställde är rätt person på rätt plats. Välkommen till Arbetsrättspodden, podden för dig som arbetar med HR och personalrelaterade frågor eller är nyfiken på arbetsrätt.
16 september 2020

Sanktioner och handelsbegränsningar mot Kina – påverkan på svenska företag

USA och EU har under sommaren fortsatt att införa handelsbegränsande åtgärder mot Kina. Åtgärderna har haft stora konsekvenser för omvärlden, inte minst då Kina sägs stå för nästan 30 % av världens totala tillverkning. Hur påverkas Sverige och svenska företag av dessa handelsbegränsningar?
15 september 2020

Vinge utnämns till bästa advokatbyrå för kvinnliga affärsjurister

Vinge har utsetts till “Bästa nordiska affärsjuridiska byrå för kvinnor” på European Women in Business Law Awards som ägde rum i London 10 september. Vinge tar för åttonde gången emot priset som den advokatbyrå som lyckats bäst med sitt jämställdhetsarbete.
10 september 2020