I somras meddelade EU-domstolen sin dom i målet som kommit att kallas Schrems II. Som en följd av domen har företag i första hand behövt hitta alternativ till EU – U.S. Privacy Shield för att säkra överföringen av personuppgifter till mottagare i USA. I andra hand behöver företag förvissa sig om att användningen av dessa alternativa metoder är lagenlig i förhållande till de klargöranden som domen resulterat i.

Baserat på den omfattande användningen av digitala tjänster som tillhandahålls av amerikanska IT-bolag lämnar domen få europeiska företag opåverkade. Dessa står nu inför en osäkerhet kring användandet av de tjänster som deras verksamhet beror på.

Vad består osäkerheten i?

Domen avser de metoder som används för att möjliggöra lagenliga överföringar av personuppgifter till mottagare i länder utanför EU och EES. Utöver ogiltigförklaringen av det som kallas för EU – U.S. Privacy Shield, som möjliggör sådana överföringar mellan just EU och USA, kan EU-domstolens argumentation även överföras på övriga metoder för att säkerställa lagligheten av sådana överföringar av personuppgifter.

Översiktligt sett ligger den rättsliga problematiken i oförenligheten mellan europeisk dataskyddslagstiftning och amerikanska övervakningsprogram för införskaffande av underrättelseuppgifter i syfte att försvara landet. Enligt amerikansk rätt kan kommunikation som överförs via atlantkabeln övervakas, samt vissa aktörer åläggas att lämna information om kommunikation som ägt rum i deras tjänster.

Om databehandlingen inom ramen för övervakningsprogrammen innebär behandling av personuppgifter så kränks de fundamentala rättigheter som uppställs av EU. I domen konstateras att bristen på tillgång till en rättvis prövning av kränkningen i USA utgör ett oproportionerligt ingrepp i förhållande till nyss nämnda rättigheter.

Det huvudsakliga alternativet till EU – U.S. Privacy Shield för överföringar av personuppgifter till USA kallas för ”standardavtalsklausuler”, och dessa är inte ogiltigförklarade. Dock är deras användbarhet numer oviss.

För att använda standardavtalsklausuler i framtiden kan man ta fasta på några punkter. En sådan är att personuppgifterna inte får hamna inom den amerikanska underrättelseverksamheten, för att på så sätt undvika den oproportionerliga kränkningen av fundamentala rättigheter. Härvid uppstår en första osäkerhet för en aktör som vill förvissa sig om att så inte sker: kan man fastslå att överföringen man tänker utföra är av sådant slag att den inte kommer fångas upp och behandlas av amerikanska myndigheter? Även med expertis inom de relevanta amerikanska lagarna är det osäkert om man kan nå ett tillförlitligt svar på denna fråga.

Om man efter en sådan juridisk analys är osäker på om data och kommunikation fångas upp eller inte, så är frågan om ytterligare åtgärder kan användas för att förhindra amerikanska myndigheters behandling av personuppgifterna. Om personuppgifterna är krypterade på ett sådant sätt att de inte kan läsas av annan än den som har dekrypteringsnyckeln, borde inte problemet då vara löst? Flertalet aktörer har resonerat i dessa banor, däribland dataskyddskommissionären för Baden-Württemberg i Tyskland som föreslår kryptering där bara den överförande parten har dekrypteringsnyckeln som en lösning på denna problematik.

Med tanke på den utbredda användningen av digitala tjänster som erbjuds av amerikanska företag och hur viktiga dessa är för både små och stora företags dagliga verksamhet, är det önskvärt att pragmatiska lösningar kan implementeras med tillsynsmyndigheters goda minne, som exempelvis kryptering till skydd av personuppgifterna.

Hur ser framtiden ut?

Under det relativa stiltje som hör sommaren till har det varit svårt att skönja i vilken riktning vinden drar. Av förklarliga skäl har domen diskuterats mycket av de som arbetar inom området, men i ett mer allmänt sammanhang har den inte rönt lika stor uppmärksamhet.

Ur ett större perspektiv utgör frågan en öm punkt i relationen mellan EU och USA, då den aktualiserar de olika synsätten på dataskydd och integritet som är invävda i respektive rättsordning. Till ekvationen kommer också det stundande presidentvalet i USA, vilket kan väntas fördröja arbetet med frågor om utrikeshandel och därmed en lösning på politisk nivå. Domen också har bäring på överföringar av personuppgifter till mottagare i andra länder än USA, vilket kan komplicera följderna av Brexit efter årsskiftet då övergångsperioden för Storbritanniens utträde löper ut. Frågorna om laglighet kring överföringar av personuppgifter dit kommer därefter behöva analyseras under de nya förutsättningarna.

I tiden fram till att mer handgriplig vägledning erbjuds från källor så som den Europeiska Dataskyddsstyrelsen är många företag nu exponerade för en regulatorisk risk som skyndsamt behöver hanteras. Klarhet står dock inte att finna förrän ett rättsfall har prövats eller en myndighet publicerar sina egna rekommendationer. För närvarande bör de berörda företagen analysera hur de påverkas av domen, samt dokumentera sina bedömningar och överväganden i förhållande till de åtgärder som analysen föranleder dem att vidta.

Hampus Stålholm
Biträdande jurist, Synch