När EU-domstolen meddelade sin dom i målet Schrems II den 16 juli 2020 fick det stora konsekvenser för användningen av amerikanska molntjänster. I detta blogginlägg tittar jag närmare på de steg EDPB (European Data Protection Board) har rekommenderat att europeiska företag och organisationer tar för att granska de överföringar som görs till USA, men även till annat tredjeland, som konsekvens av detta domstolsbeslut.
Vad är bakgrunden till Schrems II?
Den österrikiske juristen Maximilian Schrems var pådrivande då han stämde Facebook för att kunna ogiltigförklara Privacy Shield, ett avtal mellan USA och EU som möjliggjorde att överföra personuppgifter till företag som anslutit sig till detta avtal. Domstolen ifrågasatte i vilken utsträckning överföringar kan rättfärdigas genom Europeiska Kommissionens standardavtalsklausuler (SCC) för överföringar av personuppgifter till USA såväl som globalt. Maximilian Schrems har alltså både retat gallfeber på Facebook och samtidigt gjort ett oåterkalleligt avtryck till eftervärlden. Läs gärna EU-domstolens fullständiga dom i mål C-311/18 här.
Hur ser nuläget ut?
Sedan domen föll har arbetet pågått med hur amerikanska molntjänster kan användas inom EU utan att bryta mot dataskyddsregler som GDPR. Att EU-kommissionens ordförande Ursula von der Leyen och USA:s president Joe Biden i en pressträff fredag den 25 mars 2022 meddelade att de har kommit överens om grunderna för en ny överenskommelse som ska möjliggöra överföring av personuppgifter till USA inger förhoppningar, men avtalet är provisoriskt och ska omvandlas till en juridisk överenskommelse. Inga dokument har heller presenterats på hur överenskommelsen faktiskt ska se ut, och det är tveksamt om EU och USA kommer att göra avkall på respektive lagstiftningar. Så frågan är: hur lång tid det tar för överenskommelsen att komma på plats, och hur lång tid håller den innan nya domstolsprocesser avlöser varandra. Här kan du läsa pressmeddelandet hos Reuters.
Vilken data överför ditt företag till USA?
De flesta har på något sätt märkt att det inte längre går att överföra personuppgifter till USA med stöd av Privacy Shield till följd av domen genom att stora leverantörer uppdaterat sina standardavtal. Om du inte ännu gjort något åt dina överföringar till USA så är det hög tid att ta tag i detta. Just USA är nämligen ett land som många har överföringar till på något sätt, bland annat genom molntjänster och andra IT-lösningar. Det också värt att uppmärksamma att olika lagstiftningar i USA kan träffa personuppgifter som behandlas i molntjänster även om molntjänsten lagrar uppgifter inom EU/EES – för att komplicera det ytterligare. Beskrivningar kring en del av de komplicerande lagstiftningarna och förtydligande av de sex steg som EDPB tagit fram för tredjelandsöverföringar finns här nedan som en pdf.
6 steg för att kunna använda molntjänster eller överföra uppgifter till tredjeland
Europeiska Dataskyddstyrelsen (European Data Protection Board – EDPB) har i sina riktlinjer listat sex steg du bör gå igenom för att kunna använda molntjänster eller överföra uppgifter till tredjeland. Nedan går jag igenom dessa steg och beskriver hur du kan gå tillväga och vad som är viktigt att tänka på.
- Steg 1: Kartlägg dina överföringar: Analysera och kartlägg vilka överföringar som genomförs från ditt företag till tredje land. Detta omfattar vilka överföringar som sker genom personuppgiftsbiträden, underbiträden och vidare från dem.
- Steg 2: Identifiera överföringsmekanism: Kapitel fem i dataskyddsförordningen anger specifika fall och scenarion där överföring är tillåten.
- Steg 3: Utvärdera överföringsmekanismen under artikel 46: Identifiera lag och praxis, dataskyddslagstiftning eller problematisk lagstiftning i tredje land som är relevanta för just din överföring
- Steg 4: Identifiera och vidta kompletterande skyddsåtgärder. Kompletterande skyddsåtgärder kan vara en kombination av tekniska, avtalsmässiga och organisatoriska åtgärder som tillsammans uppnår ett likvärdigt skydd för den registrerade.
- Steg 5: Praktiska steg om du har identifierat effektiva kompletterande skyddsåtgärder. Vid användning av tekniska skyddsåtgärder säkerställ att de inte går emot Standardavtalsklausulerna (SCC Standard Contract Clauses). Tillstånd från tillsynsmyndighet behövs om man gör avsteg från de av EU godkända SCC.
- Steg 6: Omvärdera riskerna och skyddsåtgärderna med lämpliga mellanrum. Övervaka förändringar i lagstiftning och praxis i tredjelandet och EU, utveckling inom tekniken eller övrigt i omvärlden som kan leda till att du behöver omvärdera och ändra åtgärderna som har vidtagits. Det kan innebära att överföringen kan behöva upphöra under tiden en ny utvärdering görs.
Summering av Schrems II och dess konsekvenser
För att summera domen Schrems II så innebär den inte att överföringar av personuppgifter till USA och överföringar till amerikanska molnleverantörer numer är omöjliga, det innebär dock att det blivit mycket mer begränsat och ställer höga krav på kontroll och regelefterlevnad. Det är upp till din organisation som ska exportera eller överföra uppgifter till amerikanska molnleverantörer, USA eller annat tredjeland att utföra stegen ovan. Utifrån de initiala 3 stegen kan sedan bedömning göras om det går att applicera tillräckliga skyddsåtgärder
Så vilka konsekvenser ger detta för dig, och är ditt företag rustade och redo för framtidens höga krav på dataskydd och personsäkerhet? Vi på Sweco Digital Services rekommenderar dig att göra en noggrann inventering av dina biträden för att kunna dokumentera för vilka som EDPB:s sex steg behöver utföras. Detta för att kunna återspegla ny praxis enligt den allmänna dataskyddsförordningen (GDPR) och ta hänsyn till Schrems II-domen från EU-domstolen och inte ligga i bakkant när tillsynsmyndigheterna fått i uppgift av EDPB att fokusera tillsyn gällande hantering av Schrems II domen.
Kontakta mig gärna på annika.runert@sweco.se så kan vi prata mer om hur din verksamhet påverkas och hur ni proaktivt kan jobba med dataskydd och informationssäkerhet!
