Ny EU-dom om överföring och hantering av personuppgifter får stor påverkan
EU-domstolen meddelade den 16 juli 2020 dom i mål C-311/18, det så kallade Schrems II-målet.
Domen innebär i korthet att det har blivit olagligt att använda it-baserade tjänster som på något sätt för över och behandlar personuppgifter i USA med stöd av regelverket kallat Privacy Shield.
Vad säger domen?
Domstolen slår fast att EU-kommissionens beslut om att godta Privacy Shield som grund för överföring av personuppgifter från EU till USA är ogiltigt. Privacy Shield är en självcertifieringsmekanism som amerikanska bolag kan ansluta sig till. Med stöd av Privacy Shield-certifieringen har aktörer inom EU fram till nu kunnat föra över personuppgifter till USA utan att bryta mot dataskyddsförordningen (GDPR).
I och med den aktuella domen är det inte längre tillåtet för personuppgiftsansvariga i EU att med Privacy Shield som grund överföra personuppgifter till mottagare i USA. Det innebär att alla som idag låter personuppgifter behandlas i USA med stöd av Privacy Shield måste säkra en annan laglig grund.
Domstolen slår vidare fast att kommissionens beslut om standardavtalsklausuler som grund för överföring av personuppgifter från EU till USA är fortsatt giltigt men, påpekade domstolen, det kan behövas ytterligare skyddsåtgärder för att säkerställa skyddet för uppgifterna. Det är upp till varje personuppgiftsansvarig att bedöma om och i så fall vilka skyddsåtgärder som behövs.
Vilka konsekvenser får domen?
Domen får stora praktiska konsekvenser för privata och offentliga aktörer i både EU och USA. Starka finansiella intressen står också på spel. EU och USA har därför inlett förhandlingar om hur personuppgifter ska kunna behandlas i USA framöver med tillräcklig skyddsnivå enligt GDPR. Var man landar i förhandlingarna är mycket svårt att förutse.
På ett mer konkret plan innebär domen att de aktörer inom EU som för över personuppgifter till USA enbart med stöd av Privacy Shield aningen måste upphöra med överföringen eller luta sig mot en annan grund för att överföringen ska vara tillåten enligt GDPR. Sker överföringen med stöd av kommissionens standardavtalsklausuler behöver den personuppgiftsansvarige utreda om överföringen kan fortsätta eller om det finns behov av ytterligare skyddsåtgärder för att tillförsäkra personuppgifterna ett tillräckligt skydd. Viktigt att komma ihåg är att den personuppgiftsansvarige är skyldig att avbryta överföringen om det inte är möjligt att införa tillräckliga skyddsåtgärder. Det kan nämnas att i särskilda undantagsfall är överföring av personuppgifter tillåten trots att mottagarlandet inte har en adekvat skyddsnivå men villkoren i artikel 49 måste då vara uppfyllda.
Vad gör SKR, SKL Kommentus och Inera?
SKR och bolagen följer utvecklingen med anledning av domen och har påbörjat en genomgång av rättsläget för att besvara ett antal frågor direkt eller genom att använda frågorna i kontakt med leverantörer, Datainspektionen och allmänhet. Vi arbetar aktivt med att undersöka och riskbedöma hur den aktuella situationen påverkar våra ramavtal och upphandlade it-tjänster, gör inventering av befintliga avtal och leverantörskontakter samt kommer även att upprätta en handlingsplan för hantering av avtalen utifrån den vägledning som vi hoppas ska komma från EDPB och svenska Datainspektionen.
Därutöver pågår dialog med och påverkansarbete mot Datainspektionen samt regeringen. Den aktuella situationen behöver lösas på politisk nivå i direkta förhandlingar mellan EU och USA. På samma sätt som när det tidigare regelverket Safe Harbour ogiltigförklarades av EU-domstolen måste nu Privacy Shield-regelverket omförhandlas och ersättas av ett helt nytt regelverk.
Rekommendation till SKR:s medlemmar
SKR rekommenderar att kommuner och regioner påbörjar ett motsvarande arbete och även tar fram handlingsplaner för hur arbetet med att kartlägga ingångna avtal ska genomföras.