Livet efter Schrems II – kommer vi kunna överföra personuppgifter till USA?

Schrems-II.jpg

EU-domstolens dom i Schrems II (C-311/18) har sänt chockvågor runt om i EU, eftersom den ogiltigförklarar Privacy Shield, ett beslut från EU-kommissionen som tidigare gjort överföringar av personuppgifter möjliga. Anledningen till underkännandet är att USA ägnar sig åt bulkövervakning av bland andra europeiska medborgare. Trots att utgången egentligen inte borde förvåna behöver den politiska nivån kraftsamla, eftersom läget är mycket besvärligt för många. Åtgärder krävs både på det politiska planet och av personuppgiftsansvariga organisationer. Utgången kan även komplicera förhandlingarna med Storbritannien, eftersom även det landet har långtgående övervakningsmekanismer.

BAKGRUND

Max Schrems är en österrikisk jurist och aktivist inom dataskyddsfrågor. Han och hans organisation har lyckats få två prövningstillstånd av EU-domstolen rörande rätten för Facebook Ireland Ltd (Facebook) att hantera personuppgifter som överförs till dess moderföretag i USA (enligt vokabulären i GDPR är USA ett tredje land).

Sådana överföringar är förbjudna (se artikel 44 GDPR) om inte ett undantag kan tillämpas (se artiklarna 45–50 GDPR). Ett sådant undantag (se artikel 45 GDPR) ger kommissionen rätt att besluta om att visst tredje land har en adekvat skyddsnivå. Det är sådana beslut (så kallade "Safe Harbour Privacy Principles" respektive ”Privacy Shield”) som Max Schrems har ifrågasatt i två omgångar. Han har lämnat in klagomål som Facebook-användare, eftersom han i samband med registreringen till plattformen varit tvungen att underteckna ett avtal med Facebook som möjliggör överföringar till dess moderbolag i USA. Den första domen (Schrems I) kom under det numera upphävda personuppgiftsdirektivets tid, den andra domen (Schrems II) som rör GDPR kom den 16 juli 2020.

RÄTTSLÄGET INNAN GDPR TRÄDDE IKRAFT

Genom Schrems I-domen ogiltigförklarade EU-domstolen kommissionens beslut angående Safe Harbor Privacy Principles (se kommissionens beslut 2000/520/EG av den 26 juli 2000 med stöd av Europaparlamentets och rådets direktiv 95/46). Genom Safe Harbor Privacy Principles ansåg sig kommissionen ha fastställt att USA säkerställde en adekvat skyddsnivå, vilket alltså underkändes av EU-domstolen.

Efter domen antog kommissionen istället beslutet om skölden för skydd av privatlivet (Privacy Shield). I beslutet gjordes bedömningar rörande hur USA:s myndigheter skulle hantera personuppgifter, vilket hade varit en stötesten i Schrems I. Genom följande åtgärder förändrades läget enligt kommissionens tolkning, vilket möjliggjorde beslutet Privacy Shield:

Kommissionen har bedömt begränsningarna och garantierna i Förenta staternas lag när det gäller tillgång till och användning av personuppgifter som överförs inom ramen för skölden för skydd av privatlivet i EU och Förenta staterna av Förenta staternas offentliga myndigheter för ändamål som rör nationell säkerhet, brottsbekämpning och andra ändamål som rör allmänintresset. Dessutom har Förenta staternas regering, via den nationella underrättelsetjänsten (Office of the Director of National Intelligence, ODNI) … , lämnat detaljerade utfästelser och försäkringar till kommissionen, som ingår i bilaga VI till detta beslut. Genom en skrivelse undertecknad av utrikesministern som bifogas som bilaga III till detta beslut har Förenta staternas regering dessutom förbundit sig att inrätta en ny tillsynsmekanism för ingrepp som hör samman med nationell säkerhet, ombudsmannen för skölden för skydd av privatlivet, som är oberoende gentemot underrättelsegemenskapen. I en framställning från Förenta staternas justitieministerium, som ingår som bilaga VII till detta beslut, beskrivs slutligen de begränsningar och garantier som gäller för offentliga myndigheters tillgång till och användning av uppgifter för brottsbekämpande ändamål och andra ändamål som rör allmänintresset. För att öka insynen och återspegla den rättsliga karaktären hos dessa åtaganden kommer samtliga dokument som förtecknas och bifogas till detta beslut att offentliggöras i Förenta staternas federala register [(U.S. Federal Register)].

VAD PRÖVNINGEN I SCHREMS II OMFATTAR

Max Schrems gjorde bland annat gällande att Facebook enligt amerikansk rätt var skyldigt att ställa överförda personuppgifter till amerikanska myndigheters förfogande, såsom National Security Agency (NSA) och Federal Bureau of Investigation (FBI). Han hävdade att eftersom dessa uppgifter sedan användes inom ramen för olika övervakningsprogram på ett sätt som var oförenligt med artiklarna 7, 8 och 47 i Europeiska unionens stadga om de grundläggande rättigheterna (fortsättningsvis benämnd stadgan), kunde beslutet om standardavtalsklausuler inte motivera att nämnda uppgifter överförs till USA. Max Schrems begärde därför att dataskyddsmyndigheten på Irland skulle förbjuda eller avbryta överföringen av hans personuppgifter till Facebook.

Dataskyddsmyndigheten ansåg att Max Schrems klagomål gav upphov till en fråga om giltigheten av beslutet om standardavtalsklausuler (alltså inte primärt Privacy Shield) och vände sig därför till High Court, som begärde förhandsavgörande. Vad gäller de standardiserade dataskyddsbestämmelserna ville High Court få klarhet i huruvida beslutet om standardavtalsbestämmelser kan anses giltigt, trots att centrala dataskyddsbestämmelser inte verkade vara bindande för de statliga myndigheterna i USA och följaktligen inte kunde avhjälpa att USA inte säkerställt en adekvat skyddsnivå. High Court ställde även frågor om Privacy Shield.

Genom High Courts frågor kom två huvudfrågor att bedömas i Shrems II: dels giltigheten av kommissionens standardbestämmelser, dels giltigheten av Privacy Shield. I praktiken innebar det att två olika artiklar i GDPR prövades:

  • Artikel 45 GDPR, som handlar om överföringar till länder med adekvat skyddsnivå. Enligt den artikeln ges kommissionen rätt att fatta beslut som Privacy Shield för att fastställa att sådan nivå föreligger.
  • Artikel 46 GDPR, som handlar om överföringar som omfattas av särskilda skyddsåtgärder (som ska tillämpas om det saknas ett beslut enligt artikel 45 GDPR). En särskild skyddsåtgärd som kan vidtas i sådana fall är standardiserade dataskyddsbestämmelser som antas av kommissionen (se artikel 46.2 c GDPR).

GILTIGHETEN AV KOMMISSIONENS STANDARDKLAUSULER

EU-domstolen prövar i Shrems II om de standardiserade dataskyddsbestämmelser som kommissionen har antagit är korrekta. Inledningsvis klargör domstolen hur man utifrån artiklarna 46.1 och 46.2 c GDPR ska se på den typen av skyddsåtgärder:

När det gäller den skyddsnivå som krävs framgår det av dessa bestämmelser i förening, att om det inte har fattats något beslut om en adekvat skyddsnivå enligt artikel 45.3 i förordningen, får en personuppgiftsansvarig eller ett personuppgiftsbiträde endast överföra personuppgifter till ett tredjeland efter att ha vidtagit ”lämpliga skyddsåtgärder”, och på villkor att de registrerade förfogar över ”lagstadgade rättigheter … och effektiva rättsmedel”. Sådana lämpliga skyddsåtgärder kan bland annat införas genom standardiserade dataskyddsbestämmelser som antas av kommissionen.

Även om det i artikel 46 DSF inte närmare anges vilka slags krav som följer av hänvisningen till ”lämpliga skyddsåtgärder”, ”lagstadgade rättigheter” och ”effektiva rättsmedel”, ska det påpekas att denna artikel återfinns i kapitel V i förordningen. Nämnda artikel ska således läsas mot bakgrund av artikel 44 i förordningen, med rubriken ”Allmän princip för överföringar”. Där föreskrivs att ”[a]lla bestämmelser i detta kapitel ska tillämpas för att säkerställa att den nivå på skyddet av fysiska personer som säkerställs genom denna förordning inte undergrävs”. Denna skyddsnivå måste således säkerställas oberoende av vilken bestämmelse i nämnda kapitel som ligger till grund för en överföring av personuppgifter till ett tredjeland.

---

Av detta följer, såsom generaladvokaten har påpekat i punkt 115 i sitt förslag till avgörande, att sådana lämpliga skyddsåtgärder ska vara ägnade att säkerställa att personer vars personuppgifter överförs till ett tredjeland med stöd av standardiserade dataskyddsbestämmelser, på samma sätt som vid en överföring med stöd av ett beslut om adekvat skyddsnivå, åtnjuter en skyddsnivå som är väsentligen likvärdig med den som garanteras inom unionen.

Svaret blir alltså att de standardiserade dataskyddsbestämmelserna kan användas, men den personuppgiftsansvarige kan inte enbart luta sig mot dessa. Klausulerna måste i det enskilda fallet ge en skyddsnivå som ger en ”väsentligen likvärdig skyddsnivå” för registrerade som den som finns i unionen. De krav som ställs på organisationer som vill överföra personuppgifter till tredje land är därför långtgående:

Det framgår således att de standardiserade dataskyddsbestämmelser som kommissionen antagit med stöd av artikel 46.2 c… endast syftar till att tillhandahålla de personuppgiftsansvariga eller deras personuppgiftsbiträden etablerade i unionen avtalsenliga skyddsåtgärder som tillämpas på ett enhetligt sätt i alla tredjeländer och således oberoende av den skyddsnivå som säkerställs i vart och ett av dessa länder. Eftersom dessa standardiserade dataskyddsbestämmelser, med hänsyn till deras art, inte kan leda till skyddsåtgärder som går utöver en avtalsenlig skyldighet att säkerställa att den skyddsnivå som krävs enligt unionsrätten iakttas, kan det vara nödvändigt, beroende på den situation som råder i ett visst tredjeland, för den personuppgiftsansvarige att vidta ytterligare åtgärder för att säkerställa att skyddsnivån iakttas.

Såsom generaladvokaten har påpekat i punkt 126 i sitt förslag till avgörande bygger den avtalsmekanism som föreskrivs i artikel 46.2 c DSF på att den personuppgiftsansvarige eller personuppgiftsbiträdet som är etablerade i unionen är ansvarig eller, i andra hand, den behöriga tillsynsmyndigheten. Det ankommer således framför allt på den personuppgiftsansvarige eller personuppgiftsbiträdet att i varje enskilt fall och, i förekommande fall, i samarbete med mottagaren av överföringen, kontrollera huruvida lagstiftningen i mottagarlandet säkerställer ett lämpligt skydd med hänsyn till unionsrätten för personuppgifter som överförts med stöd av standardiserade dataskyddsbestämmelser och att vid behov tillhandahålla ytterligare skyddsåtgärder utöver dem som erbjuds genom dessa klausuler.

I domen slås även fast att tillsynsmyndigheter enligt artikel 58.2 f och 58.2 GDPR är skyldiga ”att avbryta eller förbjuda en överföring av personuppgifter till ett tredjeland om den, mot bakgrund av samtliga omständigheter i samband med överföring, anser att de standardiserade dataskyddsbestämmelserna inte iakttas eller inte kan iakttas i det tredjelandet”.

GILTIGHETEN AV PRIVACY SHIELD

Domstolen slår inledningsvis fast att det finns en bindande effekt i kommissionens beslut enligt artikel 45.3 GDPR om adekvat skyddsnivå (som beslutet om Privacy Shield):

Så länge som beslutet om adekvat skydd inte har ogiltigförklarats av domstolen, kan medlemsstaterna och deras organ, däribland deras oberoende tillsynsmyndigheter, inte vidta åtgärder som strider mot detta beslut, såsom rättsakter som syftar till att med bindande verkan fastställa att det tredjeland som avses i beslutet inte säkerställer en adekvat skyddsnivå… och kan följaktligen inte avbryta eller förbjuda överföring av personuppgifter till detta tredjeland.

Så länge EU-domstolen inte ogiltigförklarat ett beslut enligt artikel 45.3 GDPR är det giltigt och kan inte leda till korrigerande åtgärder av tillsynsmyndigheter. Detta innebär inte att sådana inte kan agera. Har en tillsynsmyndighet tvivel om att ett kommissionsbeslut är giltigt kan den ”…inleda ett förfarande vid nationella domstolar i syfte att dessa domstolar, om de delar myndighetens tvivel angående giltigheten av beslutet om adekvat skydd, ska kunna hänskjuta en begäran om förhandsavgörande för att få beslutets giltighet prövad”.

Därefter prövas frågan om kommissionens beslut om Privacy Shield är korrekt. I denna fråga konstaterar EU-domstolen först att amerikanska säkerhetsintressen kan gå före det skydd som GDPR ska ge:

I beslutet om skölden för skydd av privatlivet anges… mer specifikt, i punkt I.5. i beslutets bilaga II, som har rubriken ”Övergripande principer för skölden för skydd av privatlivet i [Europeiska unionen] och Förenta staterna”, att efterlevnaden av dessa principer kan begränsas bland annat med hänsyn till ”krav i fråga om nationell säkerhet, allmänintresset och rättsefterlevnaden”. I detta beslut slås, i likhet med beslut 2000/520, därmed fast att dessa krav har företräde framför dessa principer. Detta innebär att självcertifierade amerikanska organisationer som erhåller personuppgifter från unionen är skyldiga att utan inskränkning frångå dessa principer när de står i konflikt med ovannämnda krav, och således visar sig vara oförenliga med kraven…

Undantaget i punkt I.5. i bilaga II till beslutet om skölden för skydd av privatlivet är av generell karaktär och möjliggör således ingrepp – grundade på krav avseende nationell säkerhet och allmänintresset eller intern lagstiftning i Förenta staterna – i de grundläggande rättigheterna för personer vilkas personuppgifter överförs eller kan komma att överföras från unionen till Förenta staterna... Såsom konstaterats i beslutet om skölden för skydd av privatlivet kan sådana ingrepp i synnerhet följa av åtkomsten till de personuppgifter som överförs från unionen till Förenta staterna och av de amerikanska myndigheternas användning av dessa uppgifter inom ramen för övervakningsprogrammen Prism och Upstream som grundar sig på section 702 FISA och på E.O. 12333.

Nästa fråga domstolen hanterar handlar om kommissionens bedömning av om skyddsnivån är adekvat. I Privacy Shield har kommissionen konstaterat att USA inom ramen för ”…ändamål som rör brottsbekämpning, nationell säkerhet eller andra ändamål som rör allmänintresset” kan använda personuppgifter på ett sätt som begränsats ”…till vad som är absolut nödvändigt för att uppnå det legitima målet i fråga” samt att det finns ett effektivt rättsligt skydd mot sådana ingrepp.

När EU-domstolen prövar dessa frågor utgår den ifrån artikel 7 (rätt till privatliv) och 8 (rätt till personuppgifter) i stadgan. Dessa rättigheter är inte absoluta utan får begränsas om detta är föreskrivet i lagstiftning och om det är förenligt med proportionalitetsprincipen. Enligt den sistnämnda principen får begränsningar endast göras ”…om de är nödvändiga och faktiskt svarar mot mål av allmänt samhällsintresse som erkänns av unionen eller av behovet av skydd för andra människors rättigheter och friheter”. I bedömningen konstateras därefter bland annat att den mekanism som ska garantera registrerades rättigheter, PPD-28, inte ger ”…registrerade personer bindande rättigheter som kan göras gällande mot amerikanska myndigheter”, vilket gör att den ”…inte kan säkerställa en skyddsnivå som är väsentligen likvärdig med den som följer av stadgan” (det saknas ”…faktiska och verkställbara rättigheter för registrerade”). Domstolen beaktar även att:

…PPD-28, som ska iakttas vid tillämpningen av de program som avses i de två föregående punkterna, gör det möjligt att genomföra ”’bulkinsamling’ … av en relativt stor mängd signalunderrättelser under omständigheter där underrättelsegemenskapen inte kan använda en identifierare som är förknippad med ett specifikt mål … för att rikta insamlingen”. Detta har preciserats i en skrivelse av den 21 juni 2016 från den nationella underrättelsetjänsten (Office of the Director of National Intelligence) till amerikanska handelsministeriet och Internationella handelsförvaltningen, vilken återfinns i bilaga VI till beslutet om skölden för skydd av privatlivet. Denna möjlighet – som inom ramen för övervakningsprogram som grundar sig på E.O. 12333 gör det möjligt att få åtkomst till uppgifter som befinner sig i transit till Förenta staterna utan att denna åtkomst är underkastad någon som helst domstolskontroll – fastställs under alla omständigheter inte på ett sätt som tillräckligt tydligt och precist reglerar omfattningen av en sådan bulkinsamling av personuppgifter.

EU-domstolen underkänner därefter den ombudsmekanism som infördes för att kompensera bristen på rättsmedel efter Shrems I. Underkännandet baseras bland annat på att ombudsmannen utses av utrikesministern och utgör en integrerad del av utrikesdepartementet.

EU-domstolens slutsats blir att kommissionen i sitt beslut om Privacy Shield har åsidosatt kraven i artikel 45.1 GDPR jämförd med artiklarna 7, 8 och 47 i stadgan ”… genom att i artikel 1.1 i beslutet om skölden för skydd av privatlivet konstatera att Förenta staterna säkerställer en adekvat skyddsnivå för personuppgifter som överförs från unionen till organisationer som är etablerade i detta tredjeland inom ramen för skölden för skydd av privatlivet i Europeiska unionen och Förenta staterna”. Detta leder till att beslutet om Privacy Shield förklaras vara ogiltigt.

VAD HÄNDER NU?

I dagens informationssamhälle har vi blivit beroende av olika amerikanska giganter såsom Facebook. Det är därför ingen liten sak att Privacy Shield underkänns liksom sin föregångare Safe Harbour. Att kommissionen fattade beslut om adekvat skyddsnivå (trots att USA bedriver en bulkinsamling av bland annat europeiska personuppgifter för underrättelseändamål) är förståeligt utifrån ett politiskt synsätt, eftersom de amerikanska företagen blivit så viktiga för företag och organisationer i EU. Däremot är det inte oväntat utifrån ett juridiskt synsätt att besluten inte håller. Artiklarna om tredjelandsöverföringar i GDPR är mycket strikta och långtgående.

Trots att utgången inte borde förvåna har domen lett till kraftfulla reaktioner. EU-kommissionen, Europeiska dataskyddsstyrelsen och nationella tillsynsmyndigheter har alla gjort kommentarer till domen. Mest intressant i det sammanhanget är kanske presskonferensen med EU-kommissionen. I den framhålls att det finns ett stort tryck från företag på båda sidor Atlanten att hitta en lösning och att kommissionen självklart fortsätter att arbeta för detta med full respekt för EU-rätten. EU har inte suttit sysslolös under den tid rättegången pågått utan har redan tagit fram en ”toolbox” som ska lösa problemen (en viktig del av det är standardavtalsklausulerna som höll i domstolens prövning och som ytterligare ska ”moderniseras”). Man kommer också fortsätta förhandlingarna med USA och förnyade kontakter har redan tagits. Tre punkter är viktiga i det fortsatta arbetet:

  • Analysera domen och tillse att det fortsatta arbetet sker enligt EU-rätten. Det var uppenbart att man inte hunnit med det när presskonferensen hölls.
  • Arbeta konstruktivt tillsammans med USA för att lösa frågan (man har tidigare påbörjat samtal med USA för det fall EU-domstolen skulle underkänna Privacy Shield). Kommissionen vill gärna se förändringar i amerikansk lag men förklarar att den inte magiskt förändrar amerikanska lagar från EU.
  • Arbeta nära Europeiska dataskyddsstyrelsen och medlemsländernas tillsynsmyndigheter.

EU-kommissionen bedömer att företagen under tiden kan fortsätta att använda standardavtalsklausulerna, vilket kan vara en djärv slutsats då domen är tydlig med att personuppgiftsansvariga inte kan förlita sig på klausulerna utan, beroende på skyddsläget, kan behöva vidta ytterligare skyddsåtgärder. Givet att domstolen bedömt att det finns allvarliga risker i det amerikanska underrättelseinhämtandet för registrerade läggs vad jag kan se en rätt stor börda på de personuppgiftsansvariga: kan de verkligen hitta avtalsmässiga lösningar som tar bort de risker som EU-domstolen lyfter? Rimligen behöver ju amerikanska bolag följa amerikansk rätt så detta kan inte vara lätthanterat.

Samtidigt med EU-kommissionens fortsatta arbete ska nu den irländska domstolen och myndigheten ta tag i Max Schrems klagomål. Då kommer bland annat säkert frågan om standardavtalsklausulerna tillämpas korrekt hamna i blickfånget. Jag lyssnade på Max Schrems när han besökte Stockholm i våras och jag gissar att han är full av kamplust och inte lätt kommer att släppa frågan.

Till det besvärliga läget med USA kommer att EU även ska förhandla fram ett avtal med Storbritannien efter Brexit. I det arbetet kommer förstås frågan om kommissionsbeslut enligt artikel 45.3 GDPR om adekvat skyddsnivå vara en viktig faktor. I den sista frågan i presskonferensen ställdes frågan hur kommissionen bedömde de möjligheterna, eftersom även Storbritannien ägnar sig åt storskalig övervakning. Frågan fick inte något tydligt svar: kommissionen behöver läsa domen och analysera den tillsammans med Storbritannien, men beskedet var att det finns delar i domen som kan få konsekvenser i förhandlingarna.

HUR PÅVERKAR DOMEN PERSONUPPGIFTSANSVARIGA I EU?

Domen påverkar alla personuppgiftsansvariga som förlitat sig på Privacy Shield när de hanterar personuppgifter i överföringar till USA. Eftersom de flesta stora amerikanska bolag sannolikt baserat sig på Privacy Shield kan domen förstås få stora konsekvenser för många i EU. Till det kommer att standardavtalsklausulerna, trots att de inte underkändes, sannolikt inte är alldeles enkla att tillämpa. Arbetet med en ”toolbox” pågår på europeisk nivå, men mycket är oklart.

Trots detta har personuppgiftsansvariga ansvarsskyldighet. Vill man göra överföringar till länder utanför EU måste man följa regelverken, även om dessa är otydliga. Detta gör att företag och organisationer som har ett stort behov av sådana överföringar noga behöver följa utvecklingen och analysera vad man kan göra. Som alltid är det förstås bra att dokumentera sina ställningstaganden. Hade Privacy Shield hållit hade organisationerna sluppit de här bekymren, eftersom tillsynsmyndigheterna inte har rätt att själva underkänna sådana beslut.

Vad avser användandet av sociala nätverk som Facebook tycker jag man kan fundera över sin användning. Min rekommendation är att säkerställa att sådana nätverk endast används för ”journalistiska ändamål” eftersom personuppgiftsansvariga i dessa fall inte behöver tillämpa artiklarna om tredjelandsöverföring.

Till det kommer att det finns andra regler rörande tredjelandsöverföringar som kan vara bra att sätta sig in i till exempel inom HR-området. Tänk på att överföringar av personuppgifter sker när personal mejlar med mottagare utanför EU/EES (om det inte finns kommissionsbeslut enligt artikel 43.3 GDPR som tydliggör att det finns en adekvat skyddsnivå). Detsamma gäller vid utlandsresor då personuppgifter lämnas till reseföretag, hotell och används vid gränspasseringar. Det finns flera möjligheter till överföringar enligt artiklarna 46–47 och 49 GDPR som kan bli tillämpliga men samtliga är komplexa att hantera. Jag tror många har ett arbete att göra här.

Slutligen tror jag att det kommer bli mycket mer komplext att få till stånd en rimlig Brexit-lösning vad avser personuppgifter. Detta innebär att personuppgiftsansvariga som är beroende av att överföra personuppgifter till Storbritannien behöver förbereda sin verksamhet för detta. Förhoppningsvis kommer förhandlingarna leda till en bättre lösning än Privacy Shield. Om inte, behöver berörda personuppgiftsansvariga redan nu titta på standardklausulerna: går de att använda och vad behöver man tänka på. Går det att hitta lösningar som kompletterar klausulerna och gör att de kan användas?

Av Monika Wendleby, författare och partner på Passacon AB

Ursprungligen publicerad i JP Juridiskt bibliotek

Senast uppdaterad 11 aug 2020

Mer om IT och dataskydd
Utbildningar

Om JP Infonet


JP Infonet erbjuder tjänster och vägledning för dig som berörs av juridik i din yrkesroll. Vår vision är att tillgängliggöra juridiken, så att du som kund ska få all information, beslutsstöd och kompetens du behöver – på det sätt som du föredrar.

Mer om oss

Prenumerera på vårt fokusbrev dataskydd

Se vår integritetspolicy

Webbtjänster inom området