Den europeiska dataskyddsstyrelsen (EDPB) har nu presenterat efterlängtade rekommendationer om kompletterande åtgärder vid överföring av personuppgifter till tredje land.
I tillägg till detta har de presenterat ett dokument om EU:s väsentliga garantier. Nedan återges domen som gav upphov till rekommendationerna samt en sammanfattning av rekommendationernas innehåll.
När företag, myndigheter och andra organisationer inom EU överför personuppgifter utanför EU/EES måste detta ske med stöd av en lämplig ”skyddsåtgärd” enligt GDPR. I juli 2020 avgjorde EU-domstolen det så kallade Schrems II-målet (C‑311/18) där skyddsåtgärden Privacy Shield ogiltigförklarades. Fram till domen hade Privacy Shield utgjort den huvudsakliga skyddsåtgärden för överföring av personuppgifter till USA.
Privacy Shield underkändes eftersom amerikansk lagstiftning ger myndigheter en möjlighet att begära ut personuppgifter på ett sätt som inte anses förenligt med GDPR. Eftersom Privacy Shield inte kan stoppa myndigheters tillgång till personuppgifter, ansåg domstolen att det inte fanns ett adekvat skydd för överförda personuppgifter. Domstolen ogiltigförklarade Privacy Shield med omedelbar verkan och dataexportörer uppmanades att avbryta all överföring till USA som stödde sig på Privacy Shield, alternativt tillämpa en annan skyddsåtgärd från katalogen i GDPR.
En av de vanligaste skyddsåtgärderna för överföring till tredje land är EU:s standardklausuler (”SCC”). SCC hade varit det självklara alternativet till Privacy Shield för fortsatt överföring till USA, men även denna skyddsåtgärd var föremål för prövning i Schrems II. Medan domstolen slog fast att SCC även fortsättningsvis kunde tillämpas, betonades att varje enskild dataexportör ska bedöma om SCC innebär ett effektivt skydd i det enskilda fallet, eller om det behövs kompletterande åtgärder för att uppnå detta. I praktiken innebär detta att det är upp till den som överför personuppgifter (dataexportören) att bedöma huruvida dataimportörens nationella lagstiftning erbjuder en skyddsnivå som säkerställer effektiviteten av SCC. Om skyddet från SCC undergrävs, ska dataexportören bedöma om det finns ”kompletterande åtgärder” som kan säkerställa skyddet för personuppgifterna och i så fall tillämpa dessa. I annat fall kan SCC inte användas som skyddsåtgärd.
I Schrems II gav domstolen ingen ledning om vilka kompletterande åtgärder som kan säkerställa ett tillräckligt skydd vid överföring till tredje land. Eftersom bedömningen ligger på dataexportören har många efterfrågat ytterligare vägledning. EDPB utfäste att komma med rekommendationer i frågan och dessa har nu publicerats.
EDPB:s rekommendationer
EDPB:s rekommendationer är ute för publik konsultation fram till den 30 november 2020 och redogörelsen nedan är baserad på det utkast som publicerades den 11 november 2020. Det följande avser ge en översikt av EDPB:s vägledning för dataexportörer som har presenterats som en sex-stegs-metod.
Steg 1
Det första steget är ett krav på dataexportören att ”känna till sina överföringar”. Det innebär att exportörer ska kartlägga alla överföringar av personuppgifter till tredjeländer, inklusive vidarebefordran av uppgifter från dataimportören till underbiträden. Dataexportören måste också, i linje med principen om dataminimering, verifiera att de uppgifter som överförs är relevanta, adekvata och begränsade till vad som är nödvändigt i förhållande till de syften för vilka de överförs och behandlas i det tredje landet.
Steg 2
Det andra steget för en dataexportör är att välja lämplig skyddsåtgärd från kapitel V i GDPR. Om det finns ett beslut om adekvat skyddsnivå från EU-kommissionen avseende den jurisdiktion dataimportören befinner sig i krävs inga vidare åtgärder så länge det beslutet är i kraft. Dataexportören måste dock hålla uppsyn över att beslutet upprätthålls.
Saknas beslut om adekvat skyddsnivå (exempelvis avseende USA) måste dataexportören kompensera det bristande skyddet genom att vidta någon av skyddsåtgärderna i artikel 46 GDPR. För närvarande innebär detta SCC, bindande företagsregler (BCR), uppförandekoder, certifieringsmekanismer eller ad hoc-avtalsbestämmelser.
Om ingen av dessa skyddsåtgärder går att vidta kan överföringen möjligen ske med stöd av undantagen i artikel 49 GDPR. Dessa undantag, däribland samtycke och fullgörande av avtal, ska dock tolkas restriktivt och avser främst sådan behandling som är icke-repetitiv och tillfällig.
Om behandlingen inte kan stödjas på ett beslut om adekvat skyddsnivå, utan måste stödjas på någon av de andra skyddsåtgärderna i kapitel V, ska dataexportören gå vidare till steg tre.
Steg 3
Det tredje steget innebär att dataexportören ska bedöma om något i det tredje landets lag eller praxis kan påverka effektiviteten av vald skyddsåtgärd. ”Effektiviteten” undergrävs om överförda personuppgifter inte ges en skyddsnivå som i huvudsak är likvärdig med den som garanteras i EU. Bedömningen ska, när så är lämpligt, göras i samråd med dataimportören. När dataexportören bedömer huruvida skyddet är likvärdigt ska exportören utreda huruvida de registrerades rättigheter säkerställs, däribland rätten att bli raderad och rätten att rätta personuppgifter. I relation till detta bör dataexportören ägna särskild uppmärksamhet åt lagar som gör det möjligt för myndigheter att begära ut överförda personuppgifter (till exempel för nationell säkerhet, brottsbekämpning eller tillsyn).
I många länder finns befogenheter för myndigheter att begära ut personuppgifter. Avgörande i denna fråga är därför om myndigheternas befogenhet är begränsad till vad som är nödvändigt och proportionerligt i ett demokratiskt samhälle. Om så är fallet, kan myndigheternas befogenhet vara berättigad och därför inte påverka effektiviteten av skyddsåtgärderna i artikel 46 GDPR. Frågan ska bedömas mot EU-standard, däribland med beaktande av artikel 47 och 52 i EU:s stadga om de grundläggande rättigheterna.
Vid bedömningen av det tredje landets lagar får EDPB:s andra dokument relevans, nämligen EU:s rekommendationer om väsentliga garantier. I det dokumentet beskrivs de element som ska beaktas vid utvärderingen av utländska lagar. Bedömning av det tredje landets lagar och praxis ska göras mot bakgrund av objektiva faktorer och inte baseras på subjektiva faktorer såsom sannolikheten för att myndigheter får tillgång till överförda personuppgifter. Eftersom dataexportören ansvarar för denna bedömning måste hela bedömningsprocessen dokumenteras och kunna redovisas.
Om dataexportören bedömer att effektiviteten av vald skyddsåtgärd inte kan säkerställas, ska exportören gå vidare till steg 4 och se till att kompletterande åtgärder vidtas.
Steg 4
I ett fjärde steg ska dataexportören identifiera och anta kompletterande åtgärder som säkerställer EU:s skyddsnivå för personuppgifterna. EDPB har presenterat en icke uttömmande bilaga med exempel och villkor för sådana åtgärder. De kompletterande åtgärderna kan till sin natur vara av teknisk, avtalsmässig eller organisatorisk karaktär. Som exempel på tekniska åtgärder nämns bland annat kryptering och pseudonymisering. EDPB konstaterar dock att avtalsmässiga och organisatoriska åtgärder i allmänhet inte ensamt kan motverka myndigheters befogenhet att få tillgång till personuppgifter. Det finns alltså situationer då tekniska åtgärder krävs för att säkerställa ett effektivt skydd. Avtalsmässiga och organisatoriska åtgärder kan däremot komplettera de tekniska åtgärderna för att ytterligare stärka skyddet. Om inga kompletterande åtgärder är lämpliga, måste överföringen avbrytas eller undvikas.
Steg 5 och 6
Det femte steget för dataexportören är att implementera den valda skyddsåtgärden tillsammans med kompletterande åtgärder. I ett sjätte steg åläggs dataexportören ett ansvar att löpande omvärdera och uppmärksamma lagstiftning som kan påverka effektiviteten av skyddsåtgärderna och de kompletterande åtgärderna.
Kommentar på EDPB:s rekommendationer
Rekommendationerna från EDPB torde fastslås strax efter att den nuvarande samrådsperioden avslutas i slutet av november 2020. Mot bakgrund av att rekommendationerna är väldigt detaljerade är det inte sannolikt att några betydande förändringar görs. Vägledningen är förmodligen här för att stanna och de företag som överför personuppgifter till tredje land bör därför anpassa sin dataöverföring efter rekommendationerna redan nu.
Även om EDPB har tillhandahållit konkreta råd för överföring till tredje land, ska komplexiteten i dessa frågor inte underskattas. Det är därför viktigt att dataexportörer vidtar de sex stegen med försiktighet och noggrant dokumenterar sin bedömning. Därutöver bör dataexportörer följa utvecklingen av praxis samt ha en löpande dialog med sina dataimportörer. Det kan tilläggas att det just nu är mycket som sker inom området integritetsskydd, bland annat har EU-kommissionen publicerat ett utkast på en ny version av SCC som ska genomföras inom ett år. Det finns därför god anledning för alla dataexportörer att fortsatt hålla uppsikt över uppdateringar som avser överföring till tredje land.
För mer information.
Skriven av: Christel Rockström och Nina Palm på Wistrand Advokatbyrå