Livet efter Schrems II – vad kan man praktiskt göra beträffande överföringar till USA?

dataskydd_Livet_efter_Schrems_II_vad_kan_man_praktiskt_gora_betraffande_overforingar_till_USA_16x9.jpg

EU-domstolens dom i Schrems II fortsätter att vara i fokus men handlingsalternativen är fortfarande oklara. Datainspektionen har kommit med en vägledning som betonar organisationernas ansvar utan att kunna ge tydliga konkreta tips (det tydligaste tipset är att kontrollera sina biträdesavtal) samtidigt som den irländska tillsynsmyndigheten har förelagt Facebook att upphöra med behandlingen. Max Schrems och hans organisation noyb fortsätter även att utmana. noyb har nu anmält 101 europeiska personuppgiftsansvariga till olika tillsynsmyndigheter efter att ha analyserat hur Google och Facebook överför personuppgifter från organisationernas hemsidor. Bland organisationerna finns flera svenska personuppgiftsansvariga som nu riskerar tillsyn och i förlängningen sanktioner för bristande efterlevnad. Och fler aktioner lär komma. Det går därför inte att vara passiv. Varje organisation behöver börja arbeta med Schrems II-frågorna konkret och dokumentera sitt tänk.

Bakgrund

Max Schrems, en österrikisk jurist och aktivist inom dataskyddsfrågor, har lyckats få två prövningar till stånd i EU-domstolen rörande rätten för Facebook Ireland Ltd (Facebook) att hantera personuppgifter som överförs till dess moderföretag i USA (enligt GDPR räknas USA som ett ”tredje land”). Sådana överföringar är förbjudna (se artikel 44 GDPR) om inte ett undantag kan tillämpas (se artiklarna 45–50 GDPR). Ett sådant undantag ger kommissionen rätt att besluta om att visst tredje land har en adekvat skyddsnivå (se artikel 45 GDPR). Sådana beslut fattas efter att EU-kommissionen kommit överens med ett tredje land om villkoren för överföringar.

I Schrems I (dom den 6 oktober 2015 i mål C 362/14) underkänns kommissionens beslut om ”Safe Harbour”, vilket ledde till ett nytt artikel 45-beslut kallat ”Privacy Shield”. I Schrems II (dom den 16 juli 2020 i mål C 311/18) underkänns även ”Privacy Shield”.

Detta innebär att det numera inte finns ett artikel 45-beslut i förhållande till USA. Från dagen för domen (den 16 juni 2020) kan organisationer därför inte längre stödja sin behandling på Privacy Shield. Kommissionen och USA förhandlar idag om en ersättare till Privacy Shield, men det lär inte vara enkelt att hitta en lösning som EU-domstolen kommer att godta utan att väsentliga ändringar av amerikansk rätt först genomförs.

I Schrems II prövas även giltigheten av kommissionens standardiserade dataskyddsbestämmelser. Dessa godtas av domstolen men med ett väsentligt tillägg: Klausulerna måste i det enskilda fallet ge en skyddsnivå som ger en ”väsentligen likvärdig skyddsnivå” för registrerade som den som finns i unionen. De krav som ställs på organisationer som vill överföra personuppgifter till tredje land är därför mycket långtgående även om man använder standardklausuler.

I min första analys om Schrems II gick jag igenom rättsfallet samt vilka åtgärder som kommissionen avsåg att vidta. Jag har därefter fortsatt att jobba med Schrems II praktiskt hos mina kunder och då sett att det finns ett stort behov av att konkretisera åtgärder. Tillsynsmyndigheterna ger idag inte särskilt tydlig vägledning, men det finns saker man kan ta tag i.

Hur agerar tillsynsmyndigheterna efter Schrems II?

När Schrems II kom mitt under sommarledigheterna skapades en stor osäkerhet som fortfarande består. Finns det längre något godtagbart sätt att överföra personuppgifter till USA som fungerade även praktiskt? Hur ska organisationer tänka kring molntjänster, IT-support och sociala medier? Det är idag inte enbart de personuppgiftsansvariga som känner stor osäkerhet. Även tillsynsmyndigheterna har varit rådvilla och behövt tid att bottna i frågorna. Samtidigt har de understrukit vikten av att personuppgiftsansvariga tar ansvar och börjar hantera frågorna.

När Forum för dataskydd hade ett webbinarium om Schrems II under sommaren berättade Datainspektionens generaldirektör Lena Lindgren Schelin att tillsynsmyndigheternas förhållningssätt sannolikt kommer vara tuffare nu jämfört med Schrems I. Efter Schrems I var de överens om att inte göra tillsyn direkt efter domen utan de gav de personuppgiftsansvariga ordentligt med tid att anpassa sig. Det förhållningssättet kommer de sannolikt inte att tillämpa efter Schrems II, bland annat eftersom EU-domstolen i Schrems II tydliggör vilket ansvar tillsynsmyndigheterna har att utöva tillsyn:

För att behandla inkomna klagomål tillerkänns varje tillsynsmyndighet enligt artikel 58.1 [GDPR] betydande utredningsbefogenheter. När en sådan myndighet, efter att ha avslutat sin utredning, anser att den registrerade vars personuppgifter har överförts till ett tredjeland inte åtnjuter en adekvat skyddsnivå i detta land, är den enligt unionsrätten skyldig att reagera på lämpligt sätt för att avhjälpa den konstaterade bristande skyddsnivån, och detta oberoende av orsaken till eller arten av denna brist. I artikel 58.2 i denna förordning anges de olika korrigerande åtgärder som tillsynsmyndigheten kan vidta i detta sammanhang.

Även om det ankommer på tillsynsmyndigheten att välja en lämplig och nödvändig åtgärd, och att denna ska göra detta val med beaktande av samtliga omständigheter i samband med den aktuella överföringen av personuppgifter, är tillsynsmyndigheten icke desto mindre skyldig att fullgöra sitt uppdrag med erforderlig omsorg och att därvid tillse att [GDPR] iakttas fullt ut.

När Lena Lindgren Schelin pratade på Forum för dataskydd fick jag intrycket att tillsynsmyndigheterna skulle agera på klagomål i enlighet med EU. Allt annat vore också lite konstigt givet EU-domstolens tydliga ord i frågan.

Datainspektionens vägledning

Datainspektionen har efter Schrems II kommit med viss vägledning (”Så här påverkar Schrems II-domen överföringar till tredje land”) som det är viktigt att förhålla sig till. Även om den analys myndigheten gör inte är särskilt konkret finns ändå ett antal intressanta punkter att beakta och reflektera kring:

  • Organisationer behöver tydliggöra vilken av artiklarna 44–50 GDPR de stödjer sin behandling på. Har man stött sin behandling på Privacy Shield måste man hitta en annan juridisk lösning eller inse att behandlingen är olaglig och behöver upphöra.

  • Vad innebär kravet på ”… en i allt väsentligt samma nivå av skydd för grundläggande fri- och rättigheter som råder inom EU”? Datainspektionen hänvisar här till Europeiska dataskyddsstyrelsen som pratar om ”…juridiska, tekniska eller organisatoriska” skyddsåtgärder, utan att ge exempel på några konkreta sådana. 
  • Datainspektionen framhåller att EU-domstolens dom i Schrems II även kan påverka överföringar av personuppgifter som sker med stöd av bindande företagsbestämmelser eftersom ett tredje lands lag (till exempel amerikansk lag) kan komma att påverka skyddet som tillhandahålls genom sådana överföringsverktyg. I förhållande till USA finns alltså samma fallgropar här som för standardavtalsklausulerna. Datainspektionen understryker vidare varje organisations ansvar att själv hantera frågan; myndigheten klargör även att ett beslut om godkännande inte innebär att organisationer slipper hantera den besvärliga frågan om ”… en i allt väsentligt samma nivå av skydd för grundläggande fri- och rättigheter som råder inom EU”. När Datainspektionen godkänner bindande företagsbestämmelser (för närvarande finns enbart ett sådant godkännande för Tetra Pak) kontrolleras om de krav som dataskyddsförordningen ställer på sådana bestämmelser är uppfyllda. Därefter är det upp till den som fått sina bindande företagsbestämmelser godkända att bedöma om de garantier och det skydd som ges i företagsbestämmelserna i praktiken kan upprätthållas vid en överföring av personuppgifter till USA. Bindande företagsbestämmelser löser alltså inte problemet. 
  • Överföring till USA kan fortfarande ske i de särskilda situationer som anges i artikel 49 GDPR under förutsättning att de villkor som anges där är uppfyllda (villkoren tydliggörs i Guidelines 2/2018 on derogations of Article 49 under Regulation 2016/679 antagna av Europeiska dataskyddsstyrelsen den 25 maj 2018). Artikel 49 GDPR är inte tänkt att användas på systematiska eller regelbundna överföringar utan innehåller lösningar för speciella fall, vilket gör den mindre användbar i många fall.

Som framgår ger Datainspektionen inte särskilt tydliga och konkreta råd rörande överföringar till USA efter Schrems II. Mycket ansvar vilar fortfarande på de personuppgiftsansvariga samtidigt som det inte finns ett tydligt svar på om det ens går att överföra personuppgifter (går det att skapa tillräckliga skyddsåtgärder?). Myndigheten avslutar sin vägledning med några tips på vad organisationer kan göra idag:

Det första ni bör göra är att kartlägga vilka flöden av personuppgifter som finns i organisationen och i vilka fall personuppgifter kan komma att överföras till tredje land. Om uppgifter överförs till tredje land bör ni försöka utröna hur skyddet hos det mottagande landet ser ut i det särskilda fallet. Därefter måste ni ta ställning till om det finns stöd för överföringen eller inte.

I era avtal med eventuella personuppgiftsbiträden ska det framgå om personuppgifter överförs till tredje land. Ni bör även ta reda på om eventuella underleverantörer överför uppgifter till tredje land. Många tjänster överför idag uppgifter till tredje land.

noyb fortsätter att utmana


Max Schrems och hans organisation noyb fortsätter att ligga på och driva frågor kopplade till utgången i Schrems II. För organisationen är det viktigt att varje personuppgiftsansvarig tar ansvar och att beteenden ändras. Organisationen har som ett led i denna mission genomfört en analys av HTML-källkoder på ett antal webbsidor och funnit att många organisationer fortfarande använder Google Analytics och Facebook Connect. noyb konstaterar:

EU and US companies widely ignore ruling. US companies like Google, Facebook or Microsoft clearly fall under the obligations to provide personal data of persons in the EU to the US government under laws like FISA 702 or EO 12.333. They are even mentioned in the Snowden documents. Despite the clear ruling by the CJEU they now claim that data transfers may continue under the so-called Standard Contractual Clauses – and many EU data exports seem more than willing to accept this false claim.

noyb uppmanar i likhet med EU-domstolen (se ovan) tillsynsmyndigheterna att agera och använda sina behörigheter för att få bukt med problemen.

Organisationen har dessutom identifierat 101 personuppgiftsansvariga som man menar inte följer Schrems II genom att fortsätta att använda Google Analytics och Facebook Connect. På grundval av dessa observationer har 101 klagomål ingetts till olika tillsynsmyndigheter runt om i Europa. noyd har hittat registrerade som formellt står för klagomålen med noyd som ombud.

De svenska webbplatser som finns på listan över gjorda klagomål är synonymer.se, familjeliv.se, coop.se, di.se och tele2.se. Personuppgiftsansvariga för dessa webbsidor kommer bli föremål för ärenden som den österrikiska tillsynsmyndigheten (det är intressant att man inte valt Datainspektionen som tillsynsmyndighet) måste hantera genom att klagomål har inlämnats.

På noyds lista finns organisationer av olika slag och storlek. Det kan noteras att banker, universitet, mediaföretag med flera finns upptagna där. Och noyb kommer inte stanna upp och vara nöjda utan lär fortsätta att utmana, så idag är ingen på den säkra sidan:

noyb is planning to gradually increase the pressure on EU and US companies to review their data transfer arrangements and adapt to the clear ruling by the EU’s supreme court. Schrems: ‘While we understand that some things may need some time to rearrange, it is unacceptable that some players seem to simply ignore Europe’s top court. This is also unfair towards competitors that comply with these rules. We will gradually take steps against controllers and processors that violate the GDPR and against authorities that do not enforce the Court's ruling, like the Irish DPC that stays dormant.

Facebook och Google


Det är svårt att se att verktyg som Facebook eller Google tillhandahåller kan bli förenliga med GDPR. EU-domstolen har konstaterat att användande av sådana verktyg leder till ett gemensamt personuppgiftsansvar (se till exempel mål C 131/12, Audiencia Nacional mot Google Spain SL och Google Inc samt mål C 210/16 Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein mot Wirtschaftsakademie Schleswig-Holstein GmbH). Samtidigt saknar bolagen tydligt stöd i artiklarna 44–50 GDPR för sina överföringar till moderbolagen i USA:

  • Idag finns ingen tydlig legal grund för Google att överföra uppgifter; som noyd uttrycker saken så håller Google på att förflytta sig i riktningen standardavtalsklausuler, det vill säga man har idag inte ens försökt skapa sådana.

  • Facebook åberopar standardavtalsklausuler, men samtidigt vet vi att domstolen i Schrems II gått igenom vad som händer i praktiken just i förhållande till Facebook. De klausuler som Facebook har (och även hade under den tid målet pågick) skyddar inte på något sätt mot bulkinsamling av européers personuppgifter. 

Kanske kommer en del av problemen lösa sig genom tillsynsmyndigheters agerande. Det är intressant att den irländska tillsynsmyndigheten Data Protection Commission (DPC) har förelagt Facebook att upphöra med överföringar av personuppgifter mellan USA och EU. Detta har lett till spekulationer att Facebook kommer behöva dela upp sin verksamhet i två (en amerikansk och en europeisk).

Molntjänster

Att lagra personuppgifter i molntjänster som tillhandahålls av amerikanska bolag innebär en konkret risk för att det amerikanska bolaget behöver lämna personuppgifter till amerikanska myndigheter (även om servern ligger i Europa). När det gäller molntjänster är problemet inte alltid bulkinsamling (som prövades i Schrems II). Istället är problemet att molntjänstföretagen kan tvingas lämna ifrån sig uppgifter efter ett föreläggande. Om så sker finns möjlighet till rättsligt bestridande, vilket inte finns beträffande de bulkinsamlingar som prövades i Schrems II.

Det finns alltså ofta bättre rättssäkerhetsgarantier för molntjänster, men de är ändå inte likvärdiga med de som registrerade garanteras i EU. I EU har registrerade tydliga rättigheter och tillsynsmyndigheter som granskar hur personuppgiftshanteringen sker i praktiken. Det finns alltså även här stora frågetecken kring om nivån väsentligen är densamma för de registrerade, vilket är vad personuppgiftsansvariga behöver garantera för att kunna göra korrekta överföringar med stöd av till exempel standardavtalsklausuler.

Det dominerande företaget Microsoft, som baserar sina överföringar på standardavtalsklausuler, hävdar att man arbetar nära europeiska och amerikanska myndigheter för att hitta bra lösningar. Man uppger sig också ha ett stort fokus på integritet och säger sig vara beredd på att fortsätta att försvara registrerade i amerikanska domstolar:

Finally, we will continue to take steps to stand up for the rights of our customers. We’ve gone to court to challenge orders seeking access to people’s data or to protect our ability to tell customers about them, taking one case to the U.S. Supreme Court. Our challenges have led to greater protections and transparency for our customers, including through a settlement that enabled us to begin disclosing transparency reports about the number of U.S. national security orders we receive and established new policies within the U.S. government limiting the use of secrecy orders.

Microsoft har även från 2014 publicerat alla beslut som tvingat dem att lämna ifrån sig personuppgifter. Uppgifterna visar att det enbart är ett litet antal konton som berörs (jämfört med den enorma mängd konton som Microsoft ansvarar för). Att inte lika många registrerade berörs som vid bulkinsamlingarna innebär dock inte att förhållandena är godtagbara.

Schrems I och II gäller inte molntjänster explicit, men påverkar som ovan beskrivits även sådana. Det som Datainspektionen för fram i sin vägledning behöver därför även hanteras för molntjänsterna. Möjligen finns det möjlighet att analysera vilka personuppgifter man lagrar i molntjänster och fundera över om dessa kan vara intressanta för amerikanska myndigheter (de förs ju inte regelmässigt över som fallet är vid bulkinsamlingen). En organisatorisk åtgärd kan vara att inte lagra personuppgifter som kan tilldra sig amerikanskt intresse i molntjänsten. En teknisk åtgärd kan vara att kryptera dem. Om det är tillräckligt är svårt att säga idag men sannolikt krävs mer (jag återkommer till fler åtgärder i sista avsnittet).

Det är inte heller läge att använda sig av gratistjänster för molnlagring: sannolikheten är mycket stor att personuppgifter inte hanteras korrekt i sådana, eftersom leverantören måste tjäna pengar på något. Och som Lena Lindgren Schelin brukar säga: personuppgifter är det nya guldet så antagligen sker betalningen genom rätt att profilera och analysera personuppgifter.

IT-support

Det är idag inte ovanligt att supporttjänster utförs från tredje land. I supportärenden ges ofta en tekniker tillgång till IT-utrustning som kan innehålla personuppgifter. I det fallet kan en överföring till tredje land ske genom supportärendet. Det är viktigt att säkerställa att egen personal, personuppgiftsbiträden och underbiträden inte överför personuppgifter till tredje land utan ett tydligt stöd i artiklarna 44-50 GDPR. Detta problem gäller inte enbart USA utan även outsourcade verksamheter i till exempel Indien (många länder som har sådan här verksamhet har aldrig haft ett kommissionsbeslut enligt artikel 45 GDPR).

Vad kan man göra?

Som Datainspektionen anger i sin vägledning är det väsentligt att titta över sina tredjelandsöverföringar (just nu är särskilt de till USA i fokus): Identifiera vilka artiklar (av artiklarna 44-50 GDPR) som tillämpas och fundera därefter vilka ytterligare skyddsåtgärder de valen kan kräva.

Enkla åtgärder som går fort att verkställa är att sluta använda verktyg som Google Analytics och Facebook Connect. Vet man inte sin status kan det vara läge att analysera sin webbplats för att se om cookies överförs via nämnda verktyg eller andra liknande verktyg.

noyb har även ett antal mer konkreta råd som kan hjälpa:

  • Ett standardfrågeformulär som man kan skicka ut till leverantörer om man baserar behandlingen på standardavtalsklausuler.
  • Ett standardfrågeformulärsom kan användas för personuppgiftsansvariga i EU/EES som har band till USA.

Jag tror också man kan arbeta med ”juridiska, tekniska och organisatoriska åtgärder”. Här kan det finnas saker att börja arbeta med som kan vara nyttiga. Ett axplock att fundera utifrån är:

  • Tekniska åtgärder: Användning av tillräckligt stark kryptering och tokenisering. Tänk på att krypteringsnycklarna förvaras på ett sätt som gör att amerikanska myndigheter inte kan komma åt dem.

  • Organisatoriska åtgärder: Säkerställa att personuppgifter som kan vara intressanta för amerikanska myndigheter inte överförs till USA. Säkerställa att man inte använder tjänster (till exempel Google Analytics eller Facebook Connect) där amerikanska myndigheter gör bulkinsamling av personuppgifter. Använda sociala medier enbart utifrån ett journalistiskt ändamål. Säkerställa att personal har tillräcklig utbildning så att de förstår vad en tredjelandöverföring är och vad de ska göra om de upptäcker en sådan. Säkerställa att det finns tydliga interna rutiner kring tredjelandsöverföringar och att det finns korrekta avtalsvillkor i biträdesavtal. Göra uppföljningar hos personuppgiftsbiträden hur de sköter hanteringen (jag tycker att noyds formulär kan vara användbara där). Tillse att biträden inte använder underbiträden (till exempel IT-support) som leder till tredjelandsöverföringar. Vässa informationen till de registrerade så de förstår vilka tredjelandsöverföringar som görs och hur deras personuppgifter behandlas (är ett krav enligt artikel 13–14 GDPR). Tydliggöra i informationen till de registrerade vilka risker som finns med överföringar till USA och vad de kan göra för att skydda sig. Gå igenom alla grundläggande principer i artikel 5 GDPR och bedöma om man kan ha en ännu striktare tillämpning vid tredjelandsöverföringar.

  • Juridiska åtgärder: Använder man standardavtalsklausuler eller bindande företagsbestämmelser kan man fundera över om det behövs nya klausuler som tydliggör vilka tekniska och organisatoriska åtgärder som krävs (jämför punkterna ovan). Om personuppgifter hamnar hos amerikanska bolag eller andra som omfattas av amerikansk rätt kommer det sannolikt vara mycket svårt att skapa tillräckligt skarpa avtalsvillkor då sådana rättssubjekt måste följa den amerikanska rätten. Jag tror inte heller man kan lösa allt med skadeståndsklausuler, eftersom artikel 82 GDPR innehåller tydliga regler kring skadestånd (alltså inte dispositiva regler). Det är långt ifrån säkert att klausuler som omfördelar ansvar kommer att hålla.

Vad som kommer att räcka vet ingen idag, eftersom inte ens tillsynsmyndigheterna kan ge ett tydligt svar. Punkterna ovan kanske inte räcker hela vägen och säkert finns det fler saker att göra. Att det finns en osäkerhet innebär dock inte att man behöver vara passiv. Det viktiga nu är att börja arbeta med frågan och dokumentera hur man tänker. Att göra så är en viktig del i ansvarsskyldigheten i artikel 5.2 GDPR. Självklart är det även viktigt att följa hur frågan utvecklas.

I analysen behöver den personuppgiftsansvarige även ställa sig frågan om de tjänster man använder är värda arbetsinsatsen och osäkerheten som finns. Kanske finns det andra sätt att arbeta? Kanske kan man hitta leverantörer som inte behöver följa amerikansk lag? Om europeiska personuppgiftsansvariga i stor utsträckning börjar rösta med fötterna och inte använda osäkra tjänster kommer trycket på förändring öka. Förhoppningsvis kommer nya tjänster som bättre respekterar integriteten. Om det sker är vi alla vinnare på Schrems I och II.

Av Monika Wendleby, författare och partner på Passacon AB. 

Ursprungligen publicerad i JP Juridiskt bibliotek

Senast uppdaterad 18 sep 2020

Mer om IT och dataskydd
Utbildningar

Om JP Infonet


JP Infonet erbjuder tjänster och vägledning för dig som berörs av juridik i din yrkesroll. Vår vision är att tillgängliggöra juridiken, så att du som kund ska få all information, beslutsstöd och kompetens du behöver – på det sätt som du föredrar.

Mer om oss

Prenumerera på vårt fokusbrev dataskydd

Se vår integritetspolicy

Webbtjänster inom området