Oklarheter i Schrems II

Skyddet för personuppgifter inom EU är en grundläggande rättighet jämfört med hur det ser ut i många länder utanför EU (s.k. tredjeländer). För att detta skydd inte ska undergrävas finns därför särskilda regler i dataskyddsförordningen (GDPR) om överföring till sådana länder. Reglerna har funnits sedan antagandet av dataskyddsdirektivet 1995 och har överförts till GDPR med vissa förtydliganden. EU-domstolens dom år 2020 i Schrems II-målet har dock skapat osäkerhet kring tredjelandsöverföringar i samband med användning av amerikanska molntjänster. Målet gällde en österrikisk medborgares privata användning av Facebook, men domen är utformad så att den i princip träffar varje användning av amerikanska molntjänster – oavsett om det är fråga om företag, myndigheter, organisationer eller privatpersoner som använder sådana tjänster. Domstolen konstaterade bl.a. att det finns brister i amerikansk lagstiftning och praxis vad gäller skyddet för personuppgifter som överförs dit och att det kan krävas särskilda skyddsåtgärder för att överföring ska vara tillåten enligt GDPR. Det gäller t.ex. vid användning av publika molntjänster såsom Googles Workspace och Microsoft 365 vilka i olika sammanhang förutsätter att uppgifterna överförs till länder utanför EU även om uppgifterna sparas i datacenter i Sverige eller inom EU.

Domen är i vissa delar oklar och lämnar flera centrala frågor obesvarade. Därtill kommer att den europeiska dataskyddsstyrelsen (EDPB) genom sina rekommendationer som följde på domen, slagit fast en restriktiv tolkning av domen som går utöver vad domstolen uttalat i Schrems II. Domens oklarhet och EDPB:s tolkning har orsakat samhället stora kostnader och, delvis i onödan, försvårat den pågående digitaliseringen i många branscher.

Integritetsskydd är en förutsättning för hållbar digitalisering

Den personliga integriteten är inte bara en mänsklig rättighet utan många gånger en förutsättning för att nya tjänster ska kunna etableras och vinna användarnas förtroende. Det finns uppenbara risker med att överföra personuppgifter till andra länder, särskilt utanför EU eftersom andra länders lagstiftning då kan bli tillämplig på personuppgifterna. Hur andra intressen ska vägas mot integritetsskyddet är inte enbart en rättslig fråga. Det är även en fråga om vad som är lämpligt bl.a. utifrån ett sårbarhetsperspektiv för verksamheten eller samhället som helhet. Även om det kan vara förenligt med svensk rätt och unionsrätten, kan det alltså finnas anledning att avstå eller begränsa användning av molntjänster av lämplighetsskäl eller andra skäl som inte har direkt koppling till den rättsliga bedömningen av dataskyddsförordningen.

Vad som är ”lämpligt” eller vad som enligt dataskyddsmyndigheterna utgör ”best practice” är dock inte samma sak som vad som är tillåtet eller förbjudet enligt dataskyddsförordningen.

Dataskyddsmyndigheternas restriktiva tolkning är inte gällande rätt

Dataskyddsmyndigheterna inom EU har, som nämnts, tolkat GDPR restriktivt vilket är väntat givet deras roll som tillsynsmyndigheter för dataskydd. Det är viktigt att tänka på att GDPR innehåller relativt vaga bestämmelser som ger stort utrymme för tolkning och att dataskyddsmyndigheternas tolkning inte är den enda tänkbara. Den bör framför allt inte betraktas som ”gällande rätt” likt domstolspraxis. En grundläggande rättsstatlig princip är att rättsreglerna som anger vad som är tillåtet eller förbjudet är tydliga och förutsebara.

Dataskyddsmyndigheterna har bevisbördan

Den som vill hävda en annan tolkning av GDPR än den myndigheterna framfört har dock en utmanande uppgift framför sig, inte minst då regelverket lägger en tung börda på den personuppgiftsansvarige att visa att man gjort rätt och följt dataskyddsförordningen. Dataskyddsmyndigheterna kan med hänvisning till principen om ansvarsskyldighet (accountability) hävda att den personuppgiftsansvarige inte har visat att t.ex. tillräckliga skyddsåtgärder har vidtagits. Därigenom kan myndigheterna undvika att ta ställning i svåra och kontroversiella dataskyddsfrågor.

Bevisbördan ska prövas av Högsta förvaltningsdomstolen

Av intresse i detta sammanhang är att bördan som följer av svårigheterna med att tillämpa GDPR inte uteslutande kan läggas på de som behandlar personuppgifter i vart fall när det gäller påförande av sanktionsavgifter eller förelägganden. Det framgår bl.a. av några nyligen avkunnade domar från Kammarrätten i Stockholm. Kammarrätten konstaterade i dessa domar att Integritetsskyddsmyndigheten saknade grund för att påföra fem olika vårdgivare sanktionsavgifter om sammanlagt 42,5 miljoner kronor. Denna bedömning gjorde Kammarrätten efter att ha konstaterat att Integritetsskyddsmyndigheten inte förmått uppfylla sin bevisbörda och beviskravet dvs. att det klart ska framgå att förutsättningarna för att besluta om administrativa sanktionsavgifter och förelägganden är uppfyllda. Domarna har överklagats av IMY. Om målen beviljas prövningstillstånd kan Högsta förvaltningsdomstolens avgörande få stor betydelse vid domstolsprocesser kring GDPR – i vart fall i svenskt perspektiv.

Riskbedömning av amerikanska molntjänster

Dataskyddsmyndigheterna har genom EDPB utfärdat ovan nämnda rekommendationer men inte tagit ställning i den viktigaste frågan – nämligen om det inom ramen för bedömningen av tredjelandsöverföringar (och andra jurisdiktionsrisker) finns utrymme att beakta riskerna för de enskilda med sådana överföringar. Eller, för att dra frågan till sin spets – ska det krävas samma omfattande skyddsåtgärder när några enstaka kontaktuppgifter till en medarbetare på ett internationellt bolag överförs till ett land utanför EU, som när en vårdgivare lägger ut hela sitt patientssystem i en amerikansk molntjänst?

I den sparsamma praxis från dataskyddsmyndigheterna som har kommit efter Schrems II finns det inga tecken på en tolkning som baseras på en riskbedömning. Tvärtom har den restriktiva tolkningen bekräftats i besluten rörande Google Analytics. I ett beslut från Österrikes dataskyddsmyndighet har den s.k. riskbaserade metoden uttryckligen avvisats med oklara argument. Samma inställning har även CNIL gett uttryck för. Frågan har dock ännu inte prövats av någon domstol.

Det finns goda och bärkraftiga rättsliga argument för att det finns ett utrymme i GDPR att göra en riskbedömning av behovet skyddsåtgärd vid tredjelandsöverföringar vilket inte motsägs av EU-domstolens uttalande i Schrems II. Det innebär att användning av amerikanska molntjänster inte per automatik står i strid med GDPR. Däremot går det inte att blunda för att det under andra förutsättningar kan det innebära uppenbara och allvarliga överträdelser med stor risk för sanktioner.

Klargörande kräver troligen prövning i domstol

Det är inte sannolikt att dataskyddsmyndigheterna på eget initiativ kommer att ändra sin restriktiva tolkning av dataskyddsförordningen. Det innebär att ett klargörande i rättsfrågan förutsätter att tillsynsbeslut från dataskyddsmyndigheterna överklagas och blir föremål för domstolsprövning. Då den rättsliga bedömningen av amerikanska molntjänster är komplicerad och flera processuella frågor kan dyka upp kommer det troligen att krävas flera överklaganden innan en tillräcklig god vägledning finns på plats. Vidare kommer det att krävas att målen drivs upp till högre instanser. Slutligt avgörande sker först efter att EU-domstolen har bedömt frågan.

Riskbedömning betyder inte grönt ljus för alla molntjänster

Om den tolkning som nämnts ovan vinner stöd vid en domstolsprövning, d.v.s. att det finns utrymme för en riskbedömning av s.k. jurisdiktionsrisker, är detta ett viktigt steg till en mer realistisk och hållbar tolkning av GDPR. Det innebär dock inte detsamma som om att all användning av amerikanska molntjänster är förenlig med GDPR. Tvärtom, utgångspunkten bör vara att sådana tjänster är förknippade med integritetsrisker som måste reduceras eller så långt möjligt elimineras. Det krävs en väl avvägd bedömning av riskerna för de registrerade mot bakgrund av bl.a. behandlingens karaktär och omfattning, den tekniska lösningen, skyddsåtgärder, amerikansk rätt etc. Ju större riskerna kan antas vara, desto högre krav ställs det på analysen vilken många gånger kräver såväl juridisk och teknisk expertis som förståelse för molntjänstleverantörens tjänst och avtal. Därtill kan det finnas andra regelverk att beakta såsom regulatoriska krav för banker och försäkringsbolag, sekretessregler inom sjukvården och – inte minst – de lagar och regler som gäller för myndigheters anlitande av leverantörer som står under inflytande av utländsk rätt.

Martin Brinnen
Senior Specialist, Advokatfirman Kahn Pedersen KB