Personuppgiftsöverföringar till tredje land – vad gäller?
Juristen förklarar
14 april 2023
Tredjelandsöverföringar och Standardavtalsklausuler
Överföring till tredje land
En definition av begreppet överföring till tredje land saknas i lag och i förordning, men det brukar förklaras som att en överföring till tredje land sker när personuppgifter i någon form görs tillgängliga i ett land utanför EU/EES-området. Exempel på detta är att skicka personuppgifter per e-post till någon i ett land utanför EU/EES, när någon utanför EU/EES ges tillgång, så som läsbehörighet, till personuppgifter som finns lagrade inom EU/EES eller när personuppgifter lagras i en molntjänst, eller på en server, som är baserad i ett land utanför EU/EES.
Målet Lindqvist[1] var det första avgörandet som gällde tredjelandsöverföringar och behandlade frågan om vad en överföring skulle anses utgöra. Bodil Lindqvist, en konfirmandledare, hade offentliggjort personuppgifter beträffande ett visst antal personer som, i likhet med henne själv, arbetade ideellt i ett pastorat inom Svenska kyrkan. Lindqvist åtalades under Personuppgiftslagen (PUL) för att ha publicerat sina arbetskamraters arbetsuppgifter och fritidsuppgifter samt övrig information på sin egen hemsida. Detta hade hon gjort för att ge de nya konfirmanderna information om vilka de var som arbetade på pastoratet. Lindqvist hade varken informerat sina arbetskamrater om detta eller inhämtat deras samtycke. När hon fick kännedom om att vissa av hennes arbetskamrater inte uppskattade informationen tog hon bort de aktuella sidorna. Göta hovrätt begärde förhandsavgörande av EU-domstolen. Domstolen kom fram till att det inte förelåg någon överföring av uppgifter till tredje land när en person som befinner sig i en medlemsstat publicerar personuppgifter på en webbplats som är lagrad hos dennes internetleverantör, som är etablerad i samma medlemsstat eller i en annan medlemsstat, varvid uppgifterna blir åtkomliga för alla som kopplar upp sig på Internet, inklusive personer i tredje land.
I målet Lindqvist konstaterades att begreppet överföring ska förstås så att det avser en handling som innebär en avsiktlig överföring av personuppgifter från en medlemsstats territorium till ett tredje land, vilket så inte var fallet i målet Lindqvist.
Adekvat skyddsnivå
I Artikel 45 i Dataskyddsförordningen[2] stadgas att personuppgifter får överföras till ett tredjeland eller en internationell organisation om kommissionen har beslutat att tredjelandet, ett territorium eller en eller flera specificerade sektorer i tredjelandet, eller den internationella organisationen i fråga säkerställer en adekvat skyddsnivå. Kommissionen har fattat beslut om att adekvat skyddsnivå föreligger i följande stater: Andorra, Argentina, Bailiwick of Guernsey, Färöarna, Isle of Man, Israel, Japan, Jersey, Nya Zeeland, Schweiz, Storbritannien, Sydkorea och Uruguay. Kanada har enligt beslut en adekvat skyddsnivå om deras lagstiftning för skydd av personuppgifter i privat sektor är tillämplig på mottagarens personuppgiftsbehandling. EU-domstolen har ogiltigförklarat två kommissionsbeslut om adekvat skyddsnivå i USA vid överföring till mottagare i den privata sektorn som åtagit sig att följa Safe Harbor-avtalet[3] respektive Privacy Shield-avtalet[4] genom målen Schrems I[5] respektive Schrems II[6]. Safe Harbor-avtalet hade under femton års tid inneburit att det varit tillåtet att överföra personuppgifter till organisationer i USA som anslutit sig till det, men genom målet Schrems I ogiltigförklarades avtalet.
Maximillian Schrems var en student i Österrike som lämnade in ett klagomål till den irländska dataskyddsmyndigheten angående Facebooks överföring av hans personuppgifter till USA. Schrems gjorde gällande att Förenta staternas aktuella rätt och praxis inte garanterade tillräckligt skydd för personuppgifter som lagras i Förenta staterna på grund av den övervakningsverksamhet som bedrevs av myndigheterna där. Han gjorde gällande att Förenta staterna inte kunde säkerställa en adekvat skyddsnivå, och att överföra personuppgifter till ett tredjeland som inte säkerställer en adekvat skyddsnivå är förbjudet. Ärendet gick vidare till Förvaltningsöverdomstolen som begärde förhandsavgörande av EU-domstolen. Det konstaterades att begreppet adekvat skyddsnivå ska förstås som att det krävs att tredjelandet, genom sin interna lagstiftning eller på grund av de internationella förpliktelser som åligger landet, de facto säkerställer en nivå för skyddet av grundläggande fri- och rättigheter som är väsentligen likvärdig med den skyddsnivå som garanteras inom unionen. Domstolen kom fram till att Safe Harbor-avtalet skulle ogiltigförklaras, bland annat eftersom beslutet inte medgav en tillräcklig skyddsnivå för EU-medborgares personuppgifter och att Förenta staternas lagar om dataskydd enbart gällde för amerikanska medborgare samt att det i beslutet inte angavs att det fanns något effektivt rättsligt skydd för de registrerade att tillvarata sina rättigheter.
Safe Harbor-avtalet ersattes dock redan inom ett år från målet Schrems I av Privacy Shield-avtalet och målet Schrems II kom att avgöras då Maximillian Schrems återigen bestred Facebook Irelands rätt att föra över hans personuppgifter till USA. EU-domstolen ogiltigförklarade Privacy Shield-avtalet. Den konstaterade att skyddet Privacy Shield-avtalet var för svagt bland annat eftersom amerikanska övervakningsmyndigheter hade för generella möjligheter att få åtkomst till europeiska personuppgifter samt att möjligheterna för icke-amerikaner till effektiva rättsmedel var för otillräckliga. I målet konstaterades även att Standardavtalsklausuler endast står sig om dessa kan garantera ett väsentligen likvärdigt skydd som inom unionen (genom Dataskyddsförordningen) för den registrerade. Domstolen slog fast vid att skyddet för personuppgifter inom EU/EES måste följa med personuppgifterna vart än de går. Överföring till länder som inte erbjuder tillräckligt skydd för personuppgifter kan således inte ske med stöd i Standardavtalsklausuler. Om det finns brister i det aktuella tredjelandets lagstiftning till skydd för personuppgifter krävs enligt domstolen att ytterligare kompletterande skyddsåtgärder vidtas.
Standardavtalsklausuler
Artikel 46 i Dataskyddsförordningen föreskriver att om ett beslut om adekvat skyddsnivå saknas får en personuppgiftsansvarig eller ett personuppgiftsbiträde endast överföra personuppgifter till ett tredjeland eller en internationell organisation efter att ha vidtagit lämpliga skyddsåtgärder. Lämpliga skyddsåtgärder får bland annat ta formen av standardiserade dataskyddsbestämmelser som antas av kommissionen, de så kallade Standardavtalsklausulerna.
Den 4 juni 2021 antog EU-kommissionen två nya uppsättningar standardavtalsklausuler, ett för att reglera förhållandet mellan personuppgiftsansvarig och personuppgiftsbiträde – ett personuppgiftsbiträdesavtal – och ett för att reglera överföring av personuppgifter till tredje land i enlighet med Dataskyddsförordningen, med uppdaterade krav kring rättigheter, öppenhet, incidenthantering och vidareöverföringar. Trots att man inte får lov att justera i dessa, eftersom de då blir ogiltiga, uppmanas att man tar bort de klausuler som är valbara och som inte är tillämpbara i det specifika fallet samt att vara specifik i de tillhörande bilagorna exempelvis gällande de tekniska och organisatoriska åtgärderna för att garantera personuppgifternas säkerhet så som kryptering. Efter den 27 september 2021 kan företag inte längre ingå överföringsavtal där de gamla villkoren används. Värt att lägga på minnet är att man ändock alltid själv måste göra en egen riskbedömning och bedöma nivån på skyddet för personuppgifter i tredjeland redan innan de nya standardavtalsklausulerna används. Trots att det har presenterats nya verktyg för hanteringen av tredjelandsöverföringar så är situationen alltjämt komplex och ett stort ansvar vilar på den personuppgiftsansvarige.
Sen målet Schrems II har bland annat den österrikiska dataskyddsmyndigheten beslutat att användandet av Google Analytics bryter mot Dataskyddsförordningen. Google hade förlitat sig på standardavtalsklausulerna för sina fortsatta dataöverföringar. Det framkom bland annat att unika identifierare (IP-adresser) som används för att särskilja individer är personuppgifter, trots att det inte är möjligt att ta reda på individens faktiska identitet och att anonymiserade IP-adresser inte ger ett tillräckligt skydd. Detta var det första beslutet som togs efter att noyb[7] lämnat in de 101 klagomålen i EU:s medlemsstater. Även den italienska och den franska dataskyddsmyndigheten har sen det beslutet förbjudit användningen av Google Analytics.
Den 7 oktober 2022 signerade President Joe Biden en verkställande order (Executive order) om ett nytt transatlantisk avtal (Trans-Atlantic Privacy Framework) mellan EU och USA. Den verkställande ordern innehöll bland annat ytterligare skyddsåtgärder för amerikansk signalspaningsverksamhet, utökning av tillsynsmyndigheter över personuppgifter som samlas in genom amerikanska signalspaningsverksamheter och krav på att USA:s övervakningsmyndigheter endast samlar in data som är ”nödvändig och proportionerlig”.
EU-kommissionen ska nu bedöma om USA kan få ett nytt beslut om adekvat skyddsnivå, vilket troligen kommer presenteras under 2023. Om den verkställande ordern går igenom kan vi kanske komma att se en Schrems III-dom inom en snar framtid.
Zandra Larsen, Jurist Freja Partner
[1] Lindqvist, C-101/01, EU C:2003:596.
[2] Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter.
[3] Kommissionens beslut 2000/520/EG.
[4] Kommissionens beslut (EU) 2016/1250.
[5] Schrems I, C-362/14.
[6] Schrems II, C-311/18.
[7] none of your business – en ideell organisation som grundandes 2017 av Maximillian Schrems.