Fransk domstol tillåter användning av amerikansk molntjänst

Tidigare i år kom Frankrikes högsta förvaltningsdomstol med ett mycket intressant avgörande, då den beslutade att ett bolag skulle tillåtas använda en amerikansk molntjänst. Kan vi dra några slutsatser av domstolens beslut? Vår dataskyddsjurist Emelie Hermansson redogör för domen.

Bakgrund

Det har snart gått ett år sedan EU-domstolens dom mål C-311/18 kom och vände upp och ner på rättsläget i fråga om överföring av personuppgifter från EU till USA. Domen, allmänt känd som Schrems II, ogiltigförklarade det avtal som möjliggjorde för personuppgiftsansvariga i EU att överföra personuppgifter till USA. Detta påverkade, och påverkar än idag, ett stort antal aktörer inom EU, eftersom många är beroende av amerikanska tjänster. Tidigare i år kom dock Frankrikes högsta förvaltningsdomstol med ett mycket intressant avgörande, då den beslutade att ett bolag skulle tillåtas använda en amerikansk molntjänst. Eftersom syftet med GDPR är att uppnå en enhetlig tolkning och tillämpning inom EU får beslut från nationella domstolar och tillsynsmyndigheter relevans i samtliga EU-länder, varför denna franska dom blir intressant även för Sverige.

Tredjelandsöverföring

Låt oss börja med lite kortfattad information kring kraven för att få överföra personuppgifter utanför EU/EES. Huvudregeln är att tredjelandsöverföring är förbjudet, vilket framgår av artikel 44 GDPR. Endast om någon av undantagssituationerna i artiklarna 45–50 GDPR är uppfyllda kan överföring tillåtas. Bland annat finns möjligheten att använda sig av standardavtalsklausuler (artikel 46 GDPR) och bindande företagsbestämmelser (artikel 47 GDPR). Även i de fall standardavtalsklausuler eller bindande företagsbestämmelser används måste dessa i det enskilda fallet ge en ”väsentligen likvärdig skyddsnivå” för de registrerades grundläggande fri- och rättigheter motsvarande den som finns inom EU/EES, för att överföringen ska vara tillåten. Om lagstiftningen i det mottagande tredjelandet inte uppställer en väsentligen likvärdig skyddsnivå behöver standardavtalsklausulerna eller de bindande företagsbestämmelserna kompletteras med ytterligare skyddsåtgärder. Det är upp till den som vill överföra personuppgifter till ett tredjeland att bedöma huruvida tillräckliga skyddsåtgärder har vidtagits i det enskilda fallet, för att garantera att kraven i GDPR uppfylls.

Europeiska dataskyddsstyrelsen har tagit fram rekommendationer för att hjälpa dem som utför personuppgiftsbehandlingar att bedöma tredjeländer och identifiera lämpliga kompletterande åtgärder vid behov. I rekommendationerna nämns bland annat pseudonymisering och kryptering som exempel på ytterligare skyddsåtgärder som, under vissa förutsättningar, kan vidtas.

Överföring till USA

Vad gäller USA ger inte den amerikanska lagstiftningen en skyddsnivå som är väsentligen likvärdig den som ges av EU-lagstiftningen, även om exempelvis standardavtalsklausuler används. Det betyder att vid överföring av personuppgifter till USA måste ytterligare skyddsåtgärder vidtas. För att säkerställa en adekvat skyddsnivå ställs det långtgående krav på undersökning av amerikansk lagstiftning och praxis för den som vill överföra personuppgifterna till USA. Vad som komplicerar rättsläget ytterligare avseende just USA är att den amerikanska lagstiftningen ger amerikanska myndigheter omfattande möjligheter att få tillgång till personuppgifter som behandlas i amerikanska tjänster – även om personuppgifterna behandlas i ett dotterbolag med server inom EU/EES. Att använda sig av en amerikansk tjänst innebär alltså en risk för otillåten tredjelandsöverföring oaktat var personuppgifterna behandlas. Att nämna i sammanhanget är att även det faktum att personer i ett tredjeland, till exempel personal på ett amerikanskt bolag, har tillgång till personuppgifter som lagras i EU/EES innebär tredjelandsöverföring.

Det oklara rättsläget alltsedan Schrems II avseende överföring av personuppgifter till USA har lett till en generell avrådan från att använda sig av amerikanska tjänster. Någonting Frankrikes högsta förvaltningsdomstol nu har gett oss ett annat perspektiv på.

Den franska domen

Den 12 mars 2021 var en dag då många av oss önskade att vi kunde läsa franska. Då beslutade nämligen Frankrikes högsta förvaltningsdomstol, Conseil d'État, att bolaget Doctolib skulle tillåtas att använda sig av en amerikansk molntjänst.

Doctolib tillhandahåller en e-tjänstplattform som kan användas av personer i Frankrike som vill boka en tid för vaccinering mot covid-19. Doctolib har sin drift i molntjänsten Amazon Web Services Sarl (AWSS) i Luxemburg, vilket är ett dotterbolag till amerikanska Amazon Web Services (AWS). Flera föreningar ansåg att denna personuppgiftsbehandling av Doctolib utgjorde en överföring av personuppgifter till USA i strid med GDPR. Dels lyftes Schrems II fram, dels menade föreningarna att eftersom AWS är ett amerikanskt bolag möjliggör det för amerikanska myndigheter att få tillgång till personuppgifterna som behandlas i AWSS. Föreningarna väckte därför talan om ett interimistiskt förbud mot Doctolibs behandling av personuppgifter i AWSS. Det var alltså den frågan som Conseil d'État hade att besluta om.

Domstolen konstaterade att AWSS visserligen har ett amerikanskt moderbolag och att det finns en risk att moderbolaget mottar förfrågningar från amerikanska myndigheter med begäran om tillgång till de uppgifter som lagras även i dotterbolagen, i enlighet med amerikansk lagstiftning. Domstolen konstaterade dock att de aktuella uppgifterna faktiskt lagrades i datacenter inom EU/EES och att det därför inte var fråga om en tredjelandsöverföring. Därtill hade Doctolib krypterat uppgifterna samt sett till att krypteringsnyckeln lagrades av en betrodd tredje part i Frankrike och inte hos AWS. Doctolib och AWS hade dessutom ingått ett avtal om ett specifikt förfarande som skulle utmana förfrågningar om åtkomst från utländska myndigheter. Personuppgifterna raderades senast efter tre månader och de registrerade kunde även själva radera sina uppgifter. De aktuella personuppgifterna var inte heller känsliga. Domstolen fastställde därför att de vidtagna skyddsåtgärderna inte kunde anses uppenbart otillräckliga i strid med GDPR och att Doctolibs behandling av personuppgifter i AWSS var tillåten.

Eftersom domen avgjordes av en förvaltningsdomstol i Frankrike och närmast kan beskrivas som ett beslut går det sannolikt inte att dra några prejudicerande slutsatser av den. Vi får ändå ett nytt perspektiv på rådande rättsläge och domen understryker vikten av att vidta tillräckliga skyddsåtgärder baserade på förutsättningarna i det enskilda fallet. Med sitt beslut visar också Conseil d'État att det fortfarande kan vara möjligt för bolag och myndigheter inom EU att använda personuppgiftshanteringstjänster från amerikanskägda bolag, vilket troligtvis ger många en hoppfull känsla.

Publicerad 1 jun 2021