Privacy Shield ogiltigförklaras av EU-domstolen
EU-domstolen har i juli 2020 meddelat i det s.k. Schrems II-målet (C-311/18) att Privacy Shield-ramverket inte längre är en giltig grund för överföring av EU-personuppgifter till USA. Vidare uttalade domstolen att standardavtalsklausuler endast är en giltig grund för överföring om de faktiskt går att verkställa i mottagarlandet.
GDPR kräver grund för överföring till tredje land
Enligt dataskyddsförordningen (GDPR) får personuppgifter bara överföras från EU/EES till ett tredje land om det finns en särskild grund för överföringen. En sådan grund är exempelvis att EU-kommissionen beslutat att det tredje landet i fråga uppfyller en adekvat skyddsnivå, dvs. att lagarna i landet tillförsäkrar väsentligen likvärdigt skydd för EU-personuppgifter som det som tillförsäkras inom EU. EU-kommissionen har tidigare beslutat att amerikanska företag som självcertifierat sig under Privacy Shield-ramverket anses uppfylla en adekvat skyddsnivå.
En annan vanlig grund för överföring till tredje land är de standardavtalsklausuler (SCC:er) som utfärdats av EU-kommissionen. För att överföring ska kunna ske med stöd av SCC:er måste den överförande och den mottagande parten teckna SCC:erna på samma sätt som ett vanligt avtal.
Finns varken ett beslut om adekvat skyddsnivå eller tecknade SCC:er kan överföring ske med stöd av bindande företagsbestämmelser enligt artikel 47 GDPR eller en grund enligt artikel 49 GDPR, exempelvis uttryckligt samtycke från de registrerade.
Schrems II
Nu har EU-domstolen ogiltigförklarat kommissionens beslut 2016/1250 om Privacy Shield, vilket innebär att överföringar till USA som grundar sig på det ramverket numera är olagliga om ingen annan giltig grund finns. Domstolen menar nämligen att den amerikanska lagstiftning som möjliggör övervakning av personuppgifter i USA innebär alltför stora inskränkningar i EU-individers rättigheter, och att USA därför inte kan anses uppfylla en adekvat skyddsnivå.
SCC:er är fortfarande giltiga i sig, men för överföring till USA eller andra tredje länder med liknande problematik krävs det ytterligare åtgärder som säkerställer att SCC:erna faktiskt går att tillämpa och verkställa i mottagarlandet. Vilka åtgärder det skulle kunna vara är inte helt klart ännu, men Europeiska dataskyddsstyrelsen (EDPB) har uttalat att de kommer att ta fram riktlinjer om detta.
Den 10 augusti 2020 meddelade vidare EU-kommissionen och USA:s handelsdepartement att de har inlett diskussioner för att utreda möjligheten till ett förstärkt Privacy Shield-ramverk. Detta kan dock ta tid.
Eftersom Privacy Shield ogiltigförklarades med omedelbar verkan är det nu viktigt att personuppgiftsansvariga i EU som överför personuppgifter till USA eller ett annat tredje land som inte uppfyller kravet på adekvat skyddsnivå ser över vilka grunder som använts som stöd för sådan överföring. Kontakt kan därmed behöva tas med leverantörer och andra mottagare för att utreda nya lösningar.
Mer information och hjälp
inTechritys rådgivare kan hjälpa till med att utreda hur Schrems II-målet påverkar dig och din verksamhet och bistå med att vidta nödvändiga åtgärder till följd av målet. Kontakta oss på info@intechrity.se så berättar vi mer.