Vad prövningen i Schrems II omfattar

Max Schrems är en österrikisk jurist och aktivist inom dataskyddsfrågor. Han och hans organisation har lyckats få två prövningar till stånd av EU-domstolen rörande rätten för Facebook Ireland Ltd (Facebook) att hantera personuppgifter som överförs till dess moderföretag i USA (som enligt vokabulären i GDPR är USA ett tredje land). Max Schrems gjorde bland annat gällande att Facebook enligt amerikansk rätt var skyldigt att ställa överförda personuppgifter till amerikanska myndigheters förfogande, såsom National Security Agency (NSA) och Federal Bureau of Investigation (FBI). Han hävdade att eftersom dessa uppgifter sedan användes inom ramen för olika övervakningsprogram på ett sätt som var oförenligt med artiklarna 7, 8 och 47 i Europeiska unionens stadga om de grundläggande rättigheterna, kunde beslutet om standardavtalsklausuler inte motivera att nämnda uppgifter överförs till USA. Inte heller kunde överföringen stödjas av Privacy Shield (ett kommissionsbeslut som förklarat USA vara ett säkert tredje land). Max Schrems begärde därför att dataskyddsmyndigheten på Irland skulle förbjuda eller avbryta överföringen av hans personuppgifter till Facebook.

EU-domstolen gav Max Schrems rätt i att överföringarna till USA inte skedde på ett godtagbart sätt i förhållande till kraven rörande tredjelandsöverföringar i GDPR. Domstolen  underkände Privacy Shield (som alltså inte längre får tillämpas). Standardavtalsklausulerna godtogs men domstolen underströk att den som utnyttjar dem behöver tillse att artikel 44 GDPR iakttas, vilket är ett långtgående krav.

Vad händer nu?

I dagens informationssamhälle har vi blivit beroende av olika amerikanska giganter som Facebook. Det är därför ingen liten sak att Privacy Shield underkänns (liksom sin föregångare Safe Harbour, som underkändes i rättsfallet Schrems I). Att kommissionen fattade beslut om adekvat skyddsnivå (trots att USA bedriver en bulkinsamling av bland annat europeiska personuppgifter för underrättelseändamål) är förståeligt utifrån ett politiskt synsätt, eftersom de amerikanska företagen blivit så viktiga för företag och organisationer i EU. Däremot är det inte oväntat utifrån ett juridiskt synsätt att besluten inte håller. Artiklarna om tredjelandsöverföringar i GDPR är mycket strikta och långtgående. 

Trots att utgången inte borde förvåna har domen lett till kraftfulla reaktioner. EU-kommissionen, Europeiska dataskyddsstyrelsen och nationella tillsynsmyndigheter har alla gjort kommentarer till domen. Mest intressant i det sammanhanget är kanske presskonferensen med EU-kommissionen. I den framhålls att det finns ett stort tryck från företag på båda sidor Atlanten att hitta en lösning och att kommissionen självklart fortsätter att arbeta för detta med full respekt för EU-rätten. EU har inte suttit sysslolös under den tid rättegången pågått utan har redan tagit fram en ”toolbox” som ska lösa problemen (en viktig del av det är standardavtalsklausulerna som höll i domstolens prövning och som ytterligare ska ”moderniseras”). Man kommer också fortsätta förhandlingarna med USA och förnyade kontakter har redan tagits.

EU-kommissionen bedömer att företagen under tiden kan fortsätta att använda standardavtalsklausulerna, vilket kan vara en djärv slutsats då domen är tydlig med att personuppgiftsansvariga inte kan förlita sig på klausulerna utan, beroende på skyddsläget, kan behöva vidta ytterligare skyddsåtgärder. Givet att domstolen bedömt att det finns allvarliga risker i det amerikanska underrättelseinhämtandet för registrerade läggs vad jag kan se en rätt stor börda på de personuppgiftsansvariga: kan de verkligen hitta avtalsmässiga lösningar som tar bort de risker som EU-domstolen lyfter? Rimligen behöver ju amerikanska bolag följa amerikansk rätt så detta kan inte vara lätthanterat.

Samtidigt med EU-kommissionens fortsatta arbete ska nu den irländska domstolen och myndigheten ta tag i Max Schrems klagomål. Då kommer bland annat säkert frågan om standardavtalsklausulerna tillämpas korrekt hamna i blickfånget. Jag lyssnade på Max Schrems när han besökte Stockholm i våras och i oktober. Jag gissar att han är full av kamplust och inte lätt kommer att släppa frågan.
Till det besvärliga läget med USA kommer att EU även ska förhandla fram ett avtal med Storbritannien efter Brexit. I det arbetet kommer förstås frågan om kommissionsbeslut enligt artikel 45.3 om adekvat skyddsnivå vara en viktig faktor. I den sista frågan i presskonferensen ställdes frågan hur kommissionen bedömde de möjligheterna, eftersom även Storbritannien ägnar sig åt storskalig övervakning. Frågan fick inte något tydligt svar: kommissionen behöver läsa domen och analysera den tillsammans med Storbritannien, men det finns förstås delar i domen som kan få konsekvenser i förhandlingarna var beskedet. Därefter har domen Privacy International kommit, vilket ytterligare försvårar.

Hur påverkar domen personuppgiftsansvariga i EU?

Domen påverkar alla personuppgiftsansvariga som förlitat sig på Privacy Shield när de hanterar personuppgifter i överföringar till USA. Eftersom de flesta stora amerikanska bolag sannolikt baserat sig på Privacy Shield kan domen förstås få stora konsekvenser för många i EU. Till det kommer att standardavtalsklausulerna, trots att de inte underkändes, sannolikt inte är alldeles enkla att tillämpa. Arbetet med en ”toolbox” pågår på europeisk nivå, men mycket är oklart.

Trots detta har personuppgiftsansvariga ansvarsskyldighet. Vill man göra överföringar till länder utanför EU måste man följa regelverken, även om dessa är otydliga. Detta gör att företag och organisationer som har ett stort behov av sådana överföringar behöver noga följa utvecklingen och analysera vad man kan göra. Som alltid är det förstås bra att dokumentera sina ställningstaganden. Hade Privacy Shield hållit hade organisationerna sluppit de här bekymren, eftersom tillsynsmyndigheterna inte har rätt att själva underkänna sådana beslut.

Vad avser användandet av sociala nätverk som Facebook tycker jag man kan fundera över sin användning. Min rekommendation är att säkerställa att sådana nätverk endast används för ”journalistiska ändamål” eftersom personuppgiftsansvariga i dessa fall inte behöver tillämpa artiklarna om tredjelandsöverföring. 

Till det kommer att det finns andra regler rörande tredjelandsöverföringar som kan vara bra att sätta sig in i till exempel inom HR-området. Tänk på att överföringar av personuppgifter sker när personal mejlar med mottagare utanför EU/EES (om det inte finns kommissionsbeslut enligt artikel 43.3 GDPR som tydliggör att det finns en adekvat skyddsnivå). Detsamma gäller vid utlandsresor då personuppgifter lämnas till reseföretag, hotell och används vid gränspasseringar. Det finns flera möjligheter till överföringar enligt artiklarna 46–47 och 49 GDPR som kan bli tillämpliga men samtliga är komplexa att hantera. Jag tror många har ett arbete att göra här.

Slutligen tror jag att det kommer bli mycket mer komplext att få tillstånd en rimlig Brexit-lösning vad avser personuppgifter. Detta innebär att personuppgiftsansvariga som är beroende av att överföra personuppgifter till Storbritannien behöver förbereda sin verksamhet för detta. Förhoppningsvis kommer förhandlingarna leda till en bättre lösning än Privacy Shield. Om inte behöver berörda personuppgiftsansvariga redan nu titta på standardklausulerna: går de att använda och vad behöver man tänka på. Går det att hitta lösningar som kompletterar klausulerna och gör att de kan användas? 

Monika Wendleby
Författare och expert för JP Juridiskt bibliotek samt föreläsare på JP Utbildning