Tidigare idag meddelade EU-domstolen dom i mål C-311/18. Målet, som kommit att kallas ”Schrems II”, rör tillåtligheten av överföring av personuppgifter från aktörer etablerade inom EU till aktörer i länder utanför EU (så kallade ”tredjeländer”). Av dataskyddsförordningen följer att en överföring till tredjeland endast är tillåten under vissa givna omständigheter. Exempel på sådana omständigheter är att den mottagande parten är etablerad i ett land som EU-kommissionen anser säkerställer en adekvat skyddsnivå för den personliga integriteten eller att parten som överför personuppgifter och den mottagande parten har inkluderat EU:s standardiserade modellklausuler i sitt avtal med varandra.
Det aktuella målet rör Facebook Irelands överföring av personuppgifter från sina servrar på Irland till Facebook Inc:s servrar i USA. USA är inte ett sådant land som EU-kommissionen anser att säkerställer en adekvat skyddsnivå. År 2016 fattade dock EU-kommissionen beslut om att det ändå är tillåtet att föra över personuppgifter till mottagare i USA, förutsatt att mottagaren självcertifierat sig enligt den så kallade Privacy Shield-mekanismen och anmält detta till det amerikanska handelsdepartementet.
I målet prövade EU-domstolen dels giltigheten av beslutet avseende Privacy Shield, dels giltigheten av EU-kommissionens beslut till grund för EU:s modellklausuler för överföring från personuppgiftsansvariga inom unionen till personuppgiftsbiträden i tredjeländer. Avseende modellklausulerna prövade domstolen även i vilken omfattning dessa får användas.
Privacy Shield
Avseende Privacy Shield konstaterar EU-domstolen att lagstiftningen i USA rörande i vilka fall amerikanska myndigheter kan begära åtkomst till personuppgifter är så pass långtgående att skyddet för enskilda individer inte är av tillräckligt hög nivå, vilket gäller oavsett om den mottagande parten självcertifierat sig eller inte. EU-domstolen anser därför att en certifiering enligt Privacy Shield inte ger ett tillräckligt skydd för den enskildes integritet och ogiltigförklarar EU-kommissionens beslut om godkännande av Privacy Shield-mekanismen.
Modellklausulerna
Modellklausulerna är, till skillnad från Privacy Shield-mekanismen, inte specifikt knutna till USA utan kan i princip tecknas med mottagare av personuppgifter i valfritt tredjeland. Vad avser modellklausulernas giltighet konstaterar EU-domstolen att klausulerna innehåller tillräckligt effektiva mekanismer för att skyddsnivån för den enskildes integritet ska kunna upprätthållas. Klausulerna är därmed fortsatt giltiga, trots att modellklausulerna inte är bindande för utländska myndigheter som utövar tillsyn över den mottagande parten. Domstolen anger dock att när två parter inkluderar modellklausulerna i ett avtal måste hänsyn tas till de regler som gäller i tredjelandet. Om möjligheterna för myndigheter i tredjelandet att få tillgång till personuppgifter stäcker sig långt, kan integritetsskyddet trots tecknande av modellklausulerna vara för svagt. I sådana situationer kan överföring av uppgifter till ett tredjeland inte ske med stöd av modellklausulerna.
Konsekvenser av domen
För möjligheterna att överföra personuppgifter till USA är den mest uppenbara konsekvensen av domen att Privacy Shield-mekanismen inte längre kan användas som rättsligt stöd. Vad avser modellklausulerna är det nu tydligt att dessa fortsatt är giltiga men inte kan användas på ett slentrianmässigt sätt. Tvärtom måste en konkret bedömning ske av reglerna i det land där den mottagande parten är etablerad. Mot bakgrund av EU-domstolens uttalanden i domen avseende skyddsnivån för personuppgifter i USA, talar mycket för att en överföring till USA med stöd av modellklausulerna också kan anses vara otillåten.
Uttalandena avseende modellklausulerna är dock relevanta även för överföring till andra tredjeländer än USA. Bolag och andra aktörer som hanterar personuppgifter bör därför iaktta försiktighet innan uppgifter överförs till ett personuppgiftsbiträde i ett tredjeland med stöd av modellklausulerna. Klausulerna har till exempel av många ansetts vara en lämplig lösning vid överföring till Storbritannien, om Storbritannien med anledning av Brexit skulle anses vara ett tredjeland utan adekvat skyddsnivå för den personliga integriteten. Med anledning av dagens dom återstår det dock att se om modellklausulerna kan användas för sådan överföring eller inte.
Vill du veta mer om tredjelandsöverföring eller har andra frågor om personuppgiftsbehandling och dataskydd är du välkommen att kontakta Alexander Berger, advokat och partner, eller Caroline Lorentzen, biträdande jurist, på TIME DANOWSKY Advokatbyrå.
EU-domstolens pressmeddelande avseende domen i mål C-311/18 av den 16 juli 2020 hittar du här.
