Genom GDPR har alla EU:s medlemsstater ett likvärdigt skydd för personuppgifter och personlig integritet, vilket även gäller för EES-länderna. Därför kan personuppgifter föras över fritt inom detta område utan begränsningar. Utanför EU/EES däremot finns inga generella regler som ger motsvarande garantier. GDPR innehåller därför regler om de förutsättningar där det är tillåtet att föra över personuppgifter till länder utanför EU/EES. Ett av de mest väsentliga är USA, som tillhanda har några av marknadens mest nyttjade molntjänster och andra digitala plattformar. Organisationer som använt sig av molnlagring och andra tjänster – med servrar i USA – har hittills kunnat förlita sig på att överföring av personuppgifter till landet varit laglig, med stöd av Privacy Shield. Privacy Shield är en mekanism för självcertifiering som finns i USA. Det innebär att företag i USA kan anmäla sig till det amerikanska handelsdepartementet (Departement of Commerce) och meddela att de uppfyller de krav som ställs i Privacy Shield. EU-domstolen har nyligen, genom sin dom i det så kallade Schrems II-målet den 16 juli, ogiltigförklarat Privacy Shield vilket innebär att det inte längre är möjligt att stödja sig på Privacy Shield vid överföring av personuppgifter till USA.

Orsaken till ogiltigförklarandet

Grunden till Privacy Shields fall kan spåras till upphörandet av dess föregångare, Safe Harbor, och den österrikiske juristen Max Schrems. Schrems, som idag är något av en kändis inom dataskyddsvärlden, kom att ifrågasätta Facebooks behandling av hans personuppgifter, i skenet av Edward Snowdens avslöjande rörande otillåten övervakning som utförts av de amerikanska myndighetsorgan. Summerat var huvudorsaken till Privacy Shields ogiltighetsförklaring att USA:s lagstiftning för inhämtning av underrättelseinformation från teleoperatörer, ISP och molntjänster för lagring av kommunikationsdata, ej uppfyllde grundläggande dataskydds- och rättsstatsprinciper. EU-domstolen kom att bemöta två huvudfrågor i Schrems II; dels giltigheten av kommissionens standardavtalsklausuler, och giltigheten av Privacy Shield. I praktiken innebar det att två olika artiklar i GDPR prövades:

Artikel 45 GDPRom överföringar till länder med adekvat skyddsnivå. Enligt den artikeln ges kommissionen rätt att fatta beslut om Privacy Shield, för att fastställa att sådan nivå föreligger.

Artikel 46 GDPR – om överföringar som omfattas av särskilda skyddsåtgärder (som ska tillämpas om det saknas ett beslut enligt artikel 45 GDPR). En särskild skyddsåtgärd som kan vidtas i sådana fall är standardiserade dataskyddsbestämmelser som antas av kommissionen.

Utöver EU-lagstiftning kom EU-domstolen även att bedöma den berörda amerikanska lagstiftningen; Foreign Intelligence Surveillance Act, Sektion 702 (F.I.S.A. 702) och Executive Order (EO 12 333). Inom ramen för de amerikanska övervakningsprogrammen PRISM och UPSTREAM, i vilka det uppmärksammades ett antal juridiska övertramp mot bland annat GDPR. Dessa två program innefattade bland annat;

  • Hemlig insamling och behandling av personrelaterade data, utan begränsning till ett visst specifikt ändamål.
  • Insamling av mer uppgifter än vad som är ytterst nödvändigt utifrån principen om proportionalitet.
  • Avsaknaden av tillgängliga och effektiva rättsmedel, det vill säga möjligheter för en enskild individ att överklaga ett avlysningsbeslut och få en rättslig prövning av en oberoende domstol.

Vad är konsekvenserna?

All överföring till USA som nyttjat Privacy Shield som rättslig grund är otillåten i och med Schrems II. Detta gäller till exempel lagring i amerikanska molnbaserade tjänster och databaser, vilket kan få påverkan på såväl privata företag som myndigheter i Sverige. Det kan dock finnas omständigheter då överföring till tredjeland (till exempel USA) är tillåtet, exempelvis då standardavtalsklausuler, bindande företagsbestämmelser eller undantagsregeln nyttjas. Dock måste varje personuppgiftsansvarig och biträde, . Detta framgår av art 4 och 5 i annexet till standardavtalsklausulerna.

Vad gör vi nu?

Måndagen den 17 augusti inledde det amerikanska handelsdepartementet och EU-kommissionen förhandlingen för införandet av ett supplement till Privacy Shield. Personuppgiftsbehandlande organisationer har dock inte tid att vänta. För att hantera det nuvarande rättsläget krävs ett proaktivt arbete för att säkerställa eventuell fortsatt överföring till USA, vilket förslagsvis kan utföras utifrån nedan angivna åtgärder.

  • Inventering av berörda parter
    Identifiera överföringar av personuppgifter med utgångspunkt från din organisations registerförteckning och personuppgiftsbiträdesavtal. Inventera utifrån dessa två de personuppgiftsansvariga och biträden inom tredjeland, som ni för nuvarande överför personuppgifter till och som främst stöttar sin databehandling på Privacy Shield. Om de inte redan förmedlat ett ställningstagande rörande Privacy Shield till er organisation, kontakta då den kontaktperson som ni tilldelats, och kräv detta snarast.
  • Rättslig bedömning
    Gör en rättslig bedömning av mottagarlandets lagstiftning och fokusera på om det utgör ett hinder för användandet av standardavtalsklausulerna, särskilt om överföringen sker i strid med artikel 4 eller om personuppgiftsbiträdet är förhindrad att följa standardavtalsklausulerna enligt artikel 5. Bedömningen ska ske i varje enskilt fall. Denna bedömning och uppföljning, kan i många anseenden var en krävande uppgift, och saknar ni intern kompetens, rekommenderas ni starkt att anlita extern hjälp från sakkunnig jurist eller konsult inom dataskydd.
  • Risk-och konsekvensanalys
    Genom att utföra en riskanalys kan ni identifiera de risker som föreligger, och därefter anpassa er verksamhets skyddsåtgärder för fortsatt behandling av personuppgifter. Utgå utifrån typ av personuppgifter och kategorier av registrerade samt bedöm sannolikheten för att en enskilds personuppgifter röjs för en utländsk underrättelse- eller brottsbekämpande myndighet. Riskanalysens viktigaste resultat är en förteckning över de risker som finns, deras potentiella skadeverkning och tänkbara sätt att hantera riskerna på. Själva arbetsprocessen ger dock ytterligare ett antal positiva bieffekter som till exempel att organisationen:
    • Lär sig att hantera risker
    • Blir medvetna om hoten
    • Tar fram en realistisk bild av verkligheten
    • Gör en realistisk och trovärdig värdering av riskerna
    • Tar fram beslutsunderlag för att kunna fatta rätt beslut.

Vid en bedömning av överföringens följder ska det stå klart att personuppgifter kan föras över till tredjeland utan risk för de registrerades (individen) integritet. Svenska myndigheter bör dock vara ytterst restriktiva med att överföra såväl sekretessreglerade uppgifter som personuppgifter i största allmänhet till tredjeland, inte minst till USA. Skälen till detta framgår av ESAM:s yttranden. 

  • Ytterligare skyddsåtgärder

Det finns ytterligare skyddsåtgärder som kan vidtas för att läka bristerna i mottagarlandets lagstiftning. Dessa åtgärder kan vara av olika karaktär; legala i form av ytterligare avtalsvillkor eller tekniska genom kryptering. Först och främst medför EO 12 333, att amerikanska myndigheter tilldelas rätten att bedriva sin egen övervakningsverksamhet, dock tillhandahålls ingen mekanism för att tvinga organisationer att bistå vid eventuell utlämning av (”avlyssning”) av data. Således kan organisationen genom avtal förbinda sig att inte frivilligt hjälpa regeringen i att genomföra operationer enligt EO 12 333.

För det andra kan avlyssning förhindras genom tekniska åtgärder, som till exempel tillräckligt stark kryptering så att utredande myndighet inte kan avläsa innehållet av uppgifterna. Eftersom den amerikanska myndigheten inte kan avläsa uppgifterna, föreligger ingen risk för röjande av de registrerades personuppgifter, och denna särskilda skyddsåtgärd kan anses vara tillräcklig med avseende på EO 12 333.

  • Dokumentation

Sammanställ dina slutsatser i en rapport och spara denna på ett säkert ställe. Inte minst för att kunna visa Datainspektionen eller annan behörig tillsynsmyndighet dina slutsatser och bakomliggande bedömningar. Alla slutsatser och beslut bör stämmas av med organisationens dataskyddsombud. Gör ”riskägaren” medveten om läget och få denne att godkänna rapporten.

  • Acceptera konsekvenserna

Avslutningsvis bör det understrykas att om det visar sig att en överföring är otillåten bör denna avslutas eller åtminstone pausas till dess att tredjelandsöverföringen betraktas tillåten. Väljer en organisation, i strid med gällande rätt och rekommendationer från dataskyddsombudet, att ändå föra över personuppgifter till ett tredje land ska detta anmälas till behörig tillsynsmyndighet. Det är ett rimligt antagande att ”riskägaren” gör anmälan. Om denne underlåter bör dataskyddsombudet, om ett sådant finns utsett, anmäla förekomsten av otillåten tredjelandsöverföring. Underlåtenhet att anmäla bör ses som en försvårande omständighet vid utdömande av påföljder.

Det har nu passerat drygt en månad sedan Privacy Shield ogiltigförklarades, och kanske har er organisation redan inlett arbetet för att förmildra eventuella konserver av detta beslut. Om ni mot förmodan ej påbörjat detta, så är tiden för handling nu.

Innehar er organisation begränsade resurser eller kompetens rörande dataskydd, nyttja då extern kompetens.

Tobias Granlund