Viktigt att se hela bilden efter Schrems II

Viktigt-att-se-hela-bilden-efter-Schrems-II.jpg

Europeiska dataskyddsstyrelsen kom i november 2020 med ett utkast till riktlinjer som personuppgiftsansvariga förväntas tillämpa för att korrekt hantera effekterna av Schrems II. Att följa riktlinjen har visat sig komplicerat för flertalet personuppgiftsansvariga, eftersom de flesta har stora beroenden av amerikanska system. Det är ingen tvekan om att riktlinjen är relevant i förhållande till de omständigheter som EU-domstolen prövade, men det kan vara ett problem att den verkar ha en större räckvidd än vad som faktiskt prövats i rättsfallet. Samtidigt visar Integritetsskyddsmyndigheten musklerna i ett tillsynsbeslut rörande Umeå universitet.

BAKGRUND

Överföringar till länder utanför EU/EES-området är enligt huvudregeln förbjudna (se artikel 44 GDPR) om inte ett undantag kan tillämpas (se artiklarna 45–50 GDPR). Ett sådant (artikel 45 GDPR) ger kommissionen rätt att besluta om att visst tredje land har en adekvat skyddsnivå. Två adekvansbeslut har upphävts av EU-domstolen efter klagomål från den österrikiske aktivisten och juristen Max Schrems. I Schrems I (dom den 6 oktober 2015 i mål C-362/14) underkänns kommissionens beslut om ”Safe Harbour”, vilket ledde till ett nytt artikel 45-beslut kallat ”Privacy Shield”. I Schrems II (dom den 16 juli 2020 i mål C-311/18) underkändes även ”Privacy Shield”.

Schrems II har väckt stor uppmärksamhet och både Europeiska dataskyddsstyrelsen och EU-kommissionen har agerat. Den 10 november 2020 kom ett utkast till rekommendationer från Europeiska dataskyddsstyrelsen (Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data). Samma dag kom även kommissionen med ett utkast till beslut om nya standardavtalsklausuler. Detta var helt nödvändigt eftersom personuppgiftsansvariga vid tidpunkten för Schrems II-avgörandet behövde härleda klausulerna från olika beslut som EU-kommissionen fattade under personuppgiftsdirektivets tidevarv).

Efter att de två utkasten publicerats har en febril aktivitet startat hos många organisationer för att både analysera och försöka efterleva kraven. Detta har inte visat sig så lätt, eftersom de är väldigt långtgående (se min tidigare analys). När jag studerat rekommendationen djupare har den väckt några frågor eftersom den är så mycket mer omfattande än Schrems-domen. Jag har därför i den här analysen satt in frågan i ett bredare EU-rättsligt perspektiv. Hur långtgående slutsatser kan man egentligen dra från Schrems II?

PROPORTIONALITETSPRINCIPEN

När jag läser riktlinjen från Europeiska dataskyddsstyrelsen slås jag av att styrelsen inte tydligt beskrivit hur den ser på förhållandet mellan integritet och skydd för personuppgifter och andra mänskliga rättigheter och friheter. Integritet och skydd av personuppgifter är inga absoluta rättigheter utan ska vägas mot andra. Det slås tydligt fast i inledningen av GDPR. I punkt 4 i skälen sägs följande:

"Behandlingen av personuppgifter bör utformas så att den tjänar människor. Rätten till skydd av personuppgifter är inte en absolut rättighet; den måste förstås utifrån sin uppgift i samhället och vägas mot andra grundläggande rättigheter i enlighet med proportionalitetsprincipen. Denna förordning respekterar alla grundläggande rättigheter och iakttar de friheter och principer som erkänns i stadgan, såsom de fastställts i fördragen, särskilt skydd för privat- och familjeliv, bostad och kommunikationer, skydd av personuppgifter, tankefrihet, samvetsfrihet och religionsfrihet, yttrande- och informationsfrihet, näringsfrihet, rätten till ett effektivt rättsmedel och en opartisk domstol samt kulturell, religiös och språklig mångfald."

Idag är många organisationer beroende av amerikanska system. Vissa system som Microsoft finns i princip överallt och många andra system är byggda på dessa. Systemen underlättar idag rättigheter som näringsfrihet (det kan få mycket stor effekt att kortsiktigt stänga ner system, särskilt om det inte är lätt att hitta bra ersättningssystem, vilket kan få effekt på näringslivet). Jag har även märkt att ideella föreningar har fått problem i sin verksamhet vilket kan försvåra utövandet av andra rättigheter, till exempel politiska eller religiösa. Verksamheter har förlitat sig på att deras system uppfyller GDPR, eftersom de trott att kommissionens adekvansbeslut varit välgrundade.

I den uppkomna situationen tror jag det är viktigt att fundera över hur långt EU-domstolens dom Schrems II egentligen ger svar och i vilka delar rättsläget fortfarande inte är helt klart. Det är uppenbart att EU-domstolen i Schrems II noga beaktat proportionalitetsprincipen. Den prövning domstolen hade att bedöma var bulkvisa överföringar av personuppgifter från Facebook Irland till dess moderbolag. Under överföringen snappade amerikanska underrättelsetjänster upp personuppgifterna med stöd av Fisa 702 och två presidentdekret. Den amerikanska lagstiftningen som prövades gav mycket vida befogenheter till de amerikanska myndigheterna som av den kontrollerande amerikanska domstolen närmast fick carte blanche att inhämta massor av uppgifter utan att det fanns tillstymmelse till misstankegrad. En annan ingrediens var att detta kunde ske utan rättslig prövning av enskilda fall och utan adekvata rättsmedel för europeiska medborgare. I den här situationen är det inte konstigt att EU-domstolen fann att integriteten och skyddet för personuppgifter vägde tungt i en proportionalitetsbedömning.

Den rekommendation som idag ligger på bordet täcker många andra frågor än bulkvisa överföringar. Jag hör till dem som tror att EU-domstolen skulle kunna göra en annan proportionalitetsbedömning i andra fall. I ett sådant läge tycker jag att det vore bra om även Europeiska dataskyddsstyrelsen gör ett tydligt proportionalitetstest i förhållande till sina egna rekommendationer.

EUROPEISKA VÄSENTLIGA GARANTIER VID ÖVERVAKNING

Man kan notera Europeiska dataskyddsstyrelsens rekommendation ”Recommendations 02/2020 on the European Essential Guarantees for surveillance measures”, antagen den 10 november 2020. I den lägger man på de personuppgiftsansvariga att göra ett proportionalitetstest (se särskilt punkt B i citatet):

"Following the analysis of the jurisprudence, the EDPB considers that the applicable legal requirements to make the limitations to the data protection and privacy rights recognised by the Charter justifiable can be summarised in four European Essential Guarantees: 
A. Processing should be based on clear, precise and accessible rules. 
B. Necessity and proportionality with regard to the legitimate objectives pursued need to be demonstrated. 
C. An independent oversight mechanism should exist. 
D. Effective remedies need to be available to the individual."

I samma rekommendation förklaras också hur nödvändighet, en del av proportionaliteten, har bedömts i EU-rätten, vilket stämmer bra överens med min egen analys ovan:

"Regarding the principle of necessity, the CJEU has made clear that legislations “authorising, on a generalised basis, storage of all the personal data of all the persons whose data has been transferred from the European Union (...) without any differentiation, limitation or exception being made in the light of the objective pursued and without an objective criterion being laid down by which to determine the limits of the access of the public authorities to the data and of its subsequent use, for purposes which are specific, strictly restricted and capable of justifying the interference which both access to the data and its use entail”, do not comply with that principle. In particular, laws permitting public authorities to have access on a generalised basis to the content of electronic communications must be regarded as compromising the essence of the fundamental right to respect for private life, as guaranteed by Article 7 of the Charter."

BODIL LINDQVIST-MÅLET

Före Schrems II förlitade sig personuppgiftsansvariga på en princip som slogs fast i mål C-101/01 (dom den 6 november 2003), nämligen betydelsen av servrar är placerade i EU/EES-länd om man vill undvika tredjelandsöverföringar. Det är ingen tillfällighet att många amerikanska bolag har dotterbolag i EU och att till exempel Sverige anses vara ett intressant land att placera servrar i.

Omständigheterna i målet var följande. Bodil Lindqvist var volontär i Svenska kyrkan. På sin fritid skapade hon en hemsida i vilken arbetskamrater i församlingen beskrevs. Detta ledde till att hon åtalades (tredjelandsöverföringar bedömdes vara brottsliga enligt då gällande svensk lag). Göta hovrätt ställde frågor till EU-domstolen som gjorde följande intressanta bedömning,:

"Kapitel IV i direktiv 95/46 innehåller inga bestämmelser om Internetanvändning. I detta kapitel anges inte vilka kriterierna är för att avgöra huruvida man vid bedömningen av de transaktioner som har genomförts av den mellanhand som har tillhandahållit servertjänster skall lägga till grund den ort där tjänsteleverantören är etablerad, den ort där hans företag har sitt säte eller den ort där de datorer befinner sig vilka utgör tjänsteleverantörens datorinfrastruktur. 
 
Med hänsyn dels till det stadium på vilket Internets utveckling befann sig vid den tidpunkt då direktiv 95/46 utarbetades, dels till att det inte i kapitel IV i direktivet föreligger några kriterier som är tillämpliga på Internetanvändning kan det inte presumeras att gemenskapslagstiftaren hade för avsikt att med tanke på framtiden låta inskrivning av en person i Bodil Lindqvists situation av uppgifter på en hemsida på Internet omfattas av begreppet överföring av uppgifter till tredje land, även om dessa på detta sätt blir åtkomliga för sådana personer i tredje land som har de tekniska möjligheterna att få tillgång till hemsidan.

Om artikel 25 i direktiv 95/46 tolkas på så sätt att det föreligger en "överföring av ... uppgifter till tredje land" varje gång personuppgifter läggs ut på en hemsida på Internet skulle denna överföring med nödvändighet vara en överföring till tredje länder där det finns teknisk möjlighet att få tillgång till Internet. Specialbestämmelserna i kapitel IV i det nämnda direktivet skulle då med nödvändighet, vad gäller transaktioner på Internet, bli ett generellt tillämpligt system. När kommissionen med tillämpning av artikel 25.4 i direktiv 95/46 konstaterade att det fanns ett enda tredje land som inte säkerställer en adekvat skyddsnivå skulle medlemsstaterna nämligen vara skyldiga att hindra att personuppgifter över huvud taget lades ut på Internet. 
 
Vid sådant förhållande kan den slutsatsen dras att artikel 25 i direktiv 95/46 skall tolkas så, att sådana transaktioner som dem som Bodil Lindqvist har genomfört inte i sig utgör en "överföring av ... uppgifter till tredje land". Det är således inte nödvändigt att utreda huruvida en person från ett tredje land har haft tillgång till den berörda hemsidan på Internet eller huruvida denne tjänsteleverantörs server rent fysiskt befinner sig i ett tredje land."

I Schrems II finns ingen referens till Bodil Lindqvist-målet, vilket jag tolkar som att det fortfarande är giltigt. Som framgår av sistnämnda avgörande fäster EU-domstolen, efter att ha gjort en proportionalitetsbedömning, ingen vikt vid att personer i tredjeland kan komma åt personuppgifter, eftersom ett sådant ställningstagande hade lett till Internets död. Domstolen gjorde även en teleologisk tolkning och tittade på ändamål och vad EU-lagstiftaren borde ha avsett.

Man kan i utkastet till rekommendation från Europeiska dataskyddsstyrelsen se att principerna om serverns placering inte verkar ifrågasättas. I annat fall är följande uttalande i utkastet lite märkligt:

"Keep in mind that…storage in a cloud situated outside the EEA, is also considered to be a transfer. More specifically, if you are using an international cloud infrastructure you must assess if your data will be transferred to third countries and where, unless the cloud provider clearly states in its contract that the data will not be processed at all in third countries."

Som framgår av citatet läggs en tung börda på personuppgiftsansvariga att se till att personuppgifter aldrig kommer att behandlas utanför EU, om leverantören till molntjänsten är amerikansk. Samtidigt undergrävs slutsatserna i Bodil Lindqvist-målet eftersom den personuppgiftsansvarige måste tillse att personuppgifter inte behandlas alls i tredje land.

EU-DOMSTOLENS SYN PÅ MYNDIGHETSINGRIPANDE

I Schrems II konstaterar EU-domstolen med stöd av proportionalitetsprincipen att amerikanska myndigheters regelmässiga och stora access till personuppgifter vid bulkvisa överföringar inte kan godtas. Liknande ställningstaganden har senare gjorts även i Privacy International (dom den 6 oktober 2020 i mål C 623/17) mellan Privacy International och Secretary of State for Foreign and Commonwealth Affairs med flera där brittiska myndigheters stora uppgiftsinsamling, som liknades vid att hitta en nål i en höstack, underkändes.

I det utkast till rekommendation som Europeiska dataskyddsstyrelsen har lämnat går styrelsen längre. Man bedömer i utkastet inte bara bulkvisa överföringar till tredjeland utan alla typer av överföringar. Detta är på ett sätt naturligt, eftersom utkastet behandlar alla typer av tredjelandsöverföringar, inte bara de till USA. Samtidigt innebär den valda tekniken en risk att styrelsen, utifrån specialfallet Schrems II (bulkvisa överföringar som regelmässigt övervakas av myndigheter) drar liknande slutsatser om andra mindre ingripande fall. En röd tråd i rekommendationen är att den personuppgiftsansvariga förutsätts ha kontroll inte bara över det egna agerandet utan även av andra parters mer eller mindre oväntade ageranden. Ett exempel på det sagda är att utkastet har en mycket vidare definition av myndighetsingripande:

"Public authorities in third countries may endeavour to access transferred data
a) In transit by accessing the lines of communication used to convey the data to the recipient country. This access may be passive in which case the contents of the communication, possibly after a selection process, are simply copied. The access may, however, also be active in the sense that the public authorities interpose themselves into the communication process by not only reading the content, but also manipulating or suppressing parts of it.
b) While in custody by an intended recipient of the data by either accessing the processing facilities themselves, or by requiring a recipient of the data to locate, and extract data of interest and turn it over to the authorities."

Schrems II klargjorde rättsläget beträffande delar av punkt a, nämligen det aktiva agerandet från myndigheter. Som framgår omfattar rekommendationerna mycket mer, även till exempel situationen med myndighetsförelägganden (myndigheten förelägger en personuppgiftsansvarig att lämna ifrån sig uppgifter). Sådana myndighetsförelägganden kan avse även krypteringsnycklar.

Man kan även jämföra citatet ovan med uttalandena i Bodil Lindqvist-målet. I detta går EU-domstolen inte alls så långt: domstolen inser att personuppgifter kommer kunna läsas och vidarebehandlas i tredje land, men fastställer ändå principen om servrarnas placering. Jag gissar att många underrättelsetjänster idag hittar många intressanta personuppgifter på Internet. Det finns även flera exempel på att brottsutredningar utnyttjat information på Facebook-sidor. Om Bodil Lindqvist-målet fortfarande är giltigt borde den typen av underrättelseinhämtning inte vara en tredjelandsöverföring, så länge servern finns i EU och EES. Jämför här styrelsens skrivningar i citatet i föregående avsnitt “the cloud provider clearly states in its contract that the data will not be processed at all in third countries”.

När jag läser Europeiska dataskyddsstyrelsens rekommendationer ser jag att den velat täcka in alla möjliga fall där utländska myndigheter kan få access till data, även sådana där utländska leverantörer stäms inför en domstol som utfärdar ett föreläggande efter en gedigen rättslig prövning. Sådana fall bedömdes varken i Schems II eller Bodil Lindqvist så det är svårt att idag säga hur utgången skulle bli. Enligt min mening är både Schems II och Bodil Lindqvist värda att väga in, när analysen av rättsläget görs.

BETYDELSEN AV PERSONUPPGIFTSANSVARET

Att fastställa sin roll utifrån begreppen personuppgiftsansvar och personuppgiftsbiträde är relevant för att bedöma ansvaret för tredjelandsöverföringar enligt kapitel V GDPR. I artikel 44 GDPR, som innehåller den allmänna principen om tredjelandsöverföringar, anges att överföring av ”personuppgifter som är under behandling eller är avsedda att behandlas efter det att de överförts till ett tredjeland eller en internationell organisation” bara får ske under förutsättning att den personuppgiftsansvarige och personuppgiftsbiträdet uppfyller villkoren i kapitel V.

När en personuppgiftsansvarig anlitar ett personuppgiftsbiträde framgår av artikel 28 GDPR att den personuppgiftsansvarige ansvarar för personuppgiftsbehandlingen som biträdet och dess underbiträden utför. Det är alltså relevant för alla personuppgiftsansvariga att lägga krut på att ta fram relevanta biträdesavtal, som också hanterar frågan om tredjelandsöverföringar. Det är därför fullt relevant att både Europeiska dataskyddsstyrelsen och EU-kommissionen i sina respektive utkast har ett fokus på hur den här relationen ska regleras.

Det finns vid sidan av situationen, där en personuppgiftsansvarig själv överför personuppgifterna till tredje land eller gör det i en relation personuppgiftsbiträde och personuppgiftsansvarig, emellertid två andra möjliga relationer att beakta:

  • Det gemensamma personuppgiftsansvaret (som uppstår när två eller flera personuppgiftsansvariga agerar på sådant sätt att de gemensamt bestämmer ändamål och medel) för vissa behandlingar som leder till tredjelandsöverföringar på det sätt som anges i artikel 44 GDPR. I Schrems II var, enligt min bedömning, både Facebook och berörda amerikanska myndigheter personuppgiftsansvariga, eftersom de bestämde ändamål och medel med sina respektive behandlingar.
  • En tredjelandsöverföring görs av en personuppgiftsansvarig eller gemensamma ansvariga. I ett senare skede nyttjar någon annan resultatet av överföringen. Jämför definitionen av tredje part i artikel 4.10 GDPR: ”en fysisk eller juridisk person, offentlig myndighet, institution eller organ som inte är den registrerade, den personuppgiftsansvarige, personuppgiftsbiträdet eller de personer som under den personuppgiftsansvariges eller personuppgiftsbiträdets direkta ansvar är behöriga att behandla personuppgifterna”.

Det finns en riklig praxis rörande gemensamt personuppgiftsansvar att luta sig mot, som jag gått igenom i en tidigare analys. EU-domstolens praxis visar att personuppgiftsansvariga som på sina hemsidor använder verktyg från plattformsföretag som Facebook och Google blir gemensamt personuppgiftsansvariga med berört plattformsföretag. Används statistikverktyg eller andra insticksprogram som genererar personuppgifter föreligger alltså ett gemensamt personuppgiftsansvar, inte en biträdesrelation.

Detta gemensamma personuppgiftsansvar sträcker sig inte hur långt som helst. Här är EU-domstolens dom (dom den 29 juli 2019 i mål C40/17) rörande Fashion ID:s användande av insticksprogram från Facebook (en gillaknapp) intressant eftersom domstolen i det sätter gränser för det gemensamma personuppgiftsansvaret. Domstolen slår fast att det gemensamma ansvaret inte är helt överlappande: en fysisk eller juridisk person som är personuppgiftsansvarig blir inte ansvarig ”… för de tidigare eller senare åtgärderna i den övergripande behandlingskedjan, som denna varken fastställer ändamålen eller medlen för”. Domstolen framhåller även följande som visar på vikten av att hitta gränserna för var och ens personuppgiftsansvar:

"Mot bakgrund av dessa uppgifter kan det konstateras att de åtgärder i behandlingen av personuppgifter som Fashion ID är i stånd att, tillsammans med Facebook Ireland, fastställa ändamålen och medlen för är, enligt definitionen av begreppet ”behandling av personuppgifter…, insamlingen och utlämnandet genom översändande av webbplatsbesökarnas personuppgifter. Däremot framstår det med hänsyn till dessa uppgifter, vid första anblicken, som uteslutet att Fashion ID fastställer ändamålen och medlen för de senare åtgärderna i den behandling av personuppgifter som utförs av Facebook Ireland efter det att uppgifterna har utlämnats till den senare, så att Fashion ID inte kan anses vara ansvarig för dessa åtgärder..."

I EU-domstolens dom om föreningen Wirtschaftsakademie (dom den 13 maj 2014 i mål C-131/12) fastslog EU-domstolen att det förelåg ett gemensamt personuppgiftsansvar mellan Facebook och föreningen, eftersom denna använde sig av ett statistikprogram framtaget av Facebook. I den domen framhöll EU-domstolen följande:

"Det ska emellertid, i likhet med vad generaladvokaten har angett… i sitt förslag till avgörande, preciseras att den omständigheten att det finns ett gemensamt ansvar inte nödvändigtvis behöver innebära att de olika aktörer som medverkar vid behandlingen av personuppgifter har likvärdigt ansvar. Tvärtom kan dessa aktörer vara involverade i olika skeden av behandlingen och i olika utsträckning, så att ansvaret för var och en av dem ska bedömas med beaktande av alla relevanta omständigheter ifråga."

Schrems II prövar överföringar mellan två Facebooks-bolag som snappas upp av amerikanska underrättelsetjänster. EU-domar som Fashion ID och Wirtschaftsakademie visar att den som interagerar med Facebook genom ett insticksprogram får ett gemensamt personuppgiftsansvar med bolaget. Detta ansvar har dock en gräns. Hur den ser ut har inte prövats av EU-domstolen än i förhållande till artikel 44 GDPR. Domarna rörande Fashion ID och Wirtschaftsakademie antyder enligt min mening att nämnda kategorier av personuppgiftsansvariga kanske inte alls omfattas, vilket kan få betydelse i förhållande ansvar för tredjelandsöverföringar.

VIKTEN AV ATT HA KONTROLL ÖVER AMERIKANSKA LEVERANTÖRER

Det ska bli intressant att följa hur Europeiska dataskyddsstyrelsen agerar både när den fastställer rekommendationen och i den gemensamma aktionen kopplade till organisationen Noybs klagomål. I Sverige har Integritetsskyddsmyndigheten inlett tillsyn i sju fall på grund av Noybs klagomål. De frågor som berörda personuppgiftsansvariga ska besvara handlar bland annat om personuppgiftsansvar. Jag tror det är rimligt att anta att tillsynsmyndigheterna kommer vara på hugget så det säkraste sättet att agera är att följa det som anges i utkastet till riktlinje. Om man inte (till exempel för att man inte anser sig vara personuppgiftsansvarig) fullt ut följer utkastet är det viktigt att noga dokumentera sitt ställningstagande enligt principen om ansvarsskyldighet (se artikel 5.2 GDPR). Man får också vara beredd på att besvara besvärliga tillsynsfrågor och försvara sin ståndpunkt i domstol.

Till det ska noteras att Integritetskyddsmyndigheten i ett fall rörande Umeå universitet (beslut den 10 december 2020, DI-2019-9432) prövat frågan om amerikanska leverantörer av molntjänster i förhållande till artikel 32 GDPR. I fallet lagrades mycket integritetskänsliga personuppgifter (bland annat om lagöverträdelser) i en molntjänst. Detta kunde leda till problem enligt offentlighets- och sekretesslagen, vilket innebar att en säkerhetsåtgärd (sekretess) inte kunde garanteras. Universitetet fick en sanktion, eftersom säkerheten därigenom brustit. Det beslutet visar är att det finns många bottnar i frågan om amerikanska leverantörer. Personuppgiftsansvariga som ska följa offentlighets- och sekretesslagen måste alltså tillse att denna lagstiftning kan upprätthållas, vilket innebär ytterligare komplikationer för dem.

Av Monika Wendleby, författare och partner på Passacon AB. 
Ursprungligen publicerad i JP Juridiskt bibliotek

Senast uppdaterad 8 feb 2021

Läs mer inom rättsområdet
Utbildningar

Om JP Infonet


JP Infonet erbjuder tjänster och vägledning för dig som berörs av juridik i din yrkesroll. Vår vision är att tillgängliggöra juridiken, så att du som kund ska få all information, beslutsstöd och kompetens du behöver – på det sätt som du föredrar.

Mer om oss

Webbtjänster inom området