Nyhet

Överföring av personuppgifter till USA - praktiska råd till följd av Schrems II-målet i EU-domstolen

4 september 2020

Den 16 juli 2020 ogiltigförklarades Privacy Shield av EU-domstolen. I det så kallade Schrems II-målet (C-311/18) underkändes det mellanstatliga avtal för överföring av personuppgifter som tecknats mellan EU och USA. Genom domen begränsar EU-domstolen även i övrigt möjligheterna till att föra över personuppgifter från EU/EES till USA. Ogiltigförklarandet av Privacy Shield fick genom domen effekt med omedelbar verkan vilket innebär att personuppgiftsansvariga och personuppgiftsbiträden nu måste se över sina avtal för att säkerställa laglig överföring av personuppgifter till USA.

Avgörandet får ses som ett av de mest betydelsefulla från EU-domstolen på personuppgiftsområdet. Målet rörde Facebooks överföring av personuppgifter från dotterbolagets servrar på Irland till moderbolagets servrar i USA och berörde huruvida Facebook fick lämna ut användaren Max Schrems personuppgifter till USA.

Genom domen underkänner EU-domstolen Privacy Shield, det vill säga det avtal som ingåtts mellan EU och USA i syfte att reglera överföring av personuppgifter. Skälet till underkännandet är att den amerikanska lagstiftningen bland annat möjliggör övervakning på ett sätt som inte anses förenligt med GDPR. Eftersom Privacy Shield inte hindrar amerikanska myndigheter från att exempelvis begära tillgång till personuppgifter som behandlas i USA, anser EU-domstolen att ett adekvat skydd för personuppgifter och individer inte kan säkerställas.

Privacy Shield har varit populärt. Över 5000 amerikanska organisationer, inklusive Facebook och andra stora amerikanska IT-leverantörer, har förlitat sig på Privacy Shield för att kunna ta emot personuppgifter från EU/EES. Domen är därför av stor betydelse, inte minst då ogiltigförklarandet av Privacy Shield gäller omedelbart. Det innebär att personuppgiftsansvariga och personuppgiftsbiträden som överför personuppgifter till USA nu måste se över sina avtal och vid behov omförhandla dessa för att säkerställa att personuppgifter överförs på ett lagligt sätt enligt GDPR.

Datainspektionen har i samband med detta uttalat att det är viktigt att man som organisation inte sitter på händerna och inväntar ytterligare vägledning från myndigheterna utan att man tar ansvar för sin personuppgiftsbehandling genom ett snabbt agerande.

I målet uttalar sig EU-domstolen även om vilka åtgärder som krävs vid användning av EU-kommissionens standardavtalsklausuler (”SCC”). SCC är en annan metod som enligt GDPR kan användas för att överföra personuppgifter till USA eller annat land utanför EU/EES-området. EU-domstolen bekräftar i domen att SCC fortsatt är giltiga, samtidigt som det förtydligas att en organisation som överför personuppgifter med stöd av SCC i varje enskilt fall måste verifiera att lagen i mottagarlandet säkerställer ett adekvat skydd enligt GDPR. Om sådant adekvat skydd inte kan säkerställas kan det innebära att överföringen av personuppgifter måste avbrytas eller att kompletterande åtgärder måste vidtas t.ex. i form av kryptering, pseudonymisering och lagrings- och uppgiftsminimering.

Praktisk åtgärdslista

Nedan följer sju åtgärder som bör vidtas för att säkerställa att överföring av personuppgifter sker i enighet med GDPR.

  1. Kontrollera om er behandling av personuppgifter innebär att några personuppgifter överförs till USA. Lämpligtvis kan ni utgå från ert register över behandling (art. 30 GDPR) som ska innehålla information om sådana överföringar. Om register inte har upprättats eller om det saknas kompletta uppgifter bör även arbetet med att upprätta/komplettera registret prioriteras.

  2. Identifiera vilka amerikanska företag som är mottagare av personuppgifterna samt de avtal som reglerar sådan överföring. Kom ihåg att även om ni har en svensk leverantör som personuppgiftsbiträde så kan denne i sin tur ha anlitat ett amerikanskt underbiträde som innebär att er svenska leverantör överför personuppgifter till USA.

  3. Prioritera de avtal som omfattar känsliga personuppgifter och/eller där en stor mängd personuppgifter överförs till USA.

  4. Överväg om det är någon överföring till en amerikansk mottagare som inte längre är nödvändig och i så fall avbryt denna överföring (och om möjligt/önskvärt, säg upp avtalet).

  5. Avbryt överföringar av personuppgifter till USA som sker med stöd av Privacy Shield eftersom sådana överföringar nu är olagliga. Kontakta motparten för omförhandling av avtalet. Om personuppgifter fortsatt behöver överföras till USA så kan SCC ofta vara den mest praktiska lösningen.

  6. Analysera vilka kompletterande åtgärder som krävs för att kunna använda SCC i varje enskilt fall. Gör en intern riskbedömning och dokumentera de risker som finns och de kompletterande åtgärder som kommer att vidtas för att säkerställa ett adekvat skydd för uppgifterna t.ex. kryptering, anonymisering eller pseudonymisering av personuppgifter för att överbrygga de brister, som enligt EU-domstolen, finns i amerikansk lagstiftning.

  7. Säkerställ att organisationen inte ingår nya avtal som innebär att personuppgifter överförs till USA med stöd av Privacy Shield. Rådfråga och involvera dataskyddsombudet eller den person som är ansvarig för personuppgiftsfrågor i er organisation för att verifiera att överföring av personuppgifter till USA kan ske på ett lagligt sätt.

 

Här hittar du nyhetsbrevet i sin helhet.

Vinges nyhetsbrev går kontinuerligt ut till dig som har visat intresse för frågor gällande EU:s allmänna dataskyddsförordning (GDPR). Här anmäler du dig för att prenumerera på kommande nyhetsbrev.

Välkommen att kontakta oss om du har frågor om GDPR.

Emelie Svensäter Jerntorp
010 614 55 15
emelie.svensater.jerntorp@vinge.se

Nicklas Thorgerzon
010 614 31 55
nicklas.thorgerzon@vinge.se

Anna Maria Lagerqvist Gahm
010 614 15 25
annamaria.lagerqvistgahm@vinge.se

Skärpta straffrättsliga sanktioner för miljöbrott – nytt EU-direktiv föreslaget

EU-kommissionen antog strax före årsskiftet ett förslag på nytt direktiv som ska ersätta det nuvarande miljöbrottsdirektivet (2008/99). Bland annat föreslås nya kategorier av miljöbrott, en miniminivå för straffrättsliga sanktioner, en mer effektiv tillsyn och ett stärkt gränsöverskridande samarbete.
27 januari 2022

Så ändras reglerna om cabotagetransporter och utstationering den 2 och 21 februari 2022

Regeringen har beslutat om ett antal nya regler rörande cabotagetransporter, kombinerade transporter, beställaransvar kör- och vilotider samt utstationering.
21 januari 2022

Kärnkraft och naturgas inkluderas i klimattaxonomin – nytt förslag från EU-kommissionen

EU-kommissionen översände den 31 december 2021 ett förslag till en expertgrupp inom Kommissionen samt medlemsstaterna om att inkludera kärnkraft och naturgas i klimattaxonomin, det vill säga EU:s klassificeringssystem för miljömässigt hållbara verksamheter.
20 januari 2022