EU-domstolen underkänner Privacy Shield

2020-07-19

Den 16 juli meddelade EU-Domstolen dom i det s.k. Schrems II-målet. Avgörandet innebär att den certifiering som företag och andra personuppgiftsansvariga tidigare kunnat förlita sig på för överföring av personuppgifter till USA, ”Privacy Shield”, ogiltigförklaras. Domstolen förtydligar även under vilka förhållanden standardavtalsklausuler kan användas för att rättfärdiga överföring av personuppgifter utanför EU/EES och gör klart att dessa inte kommer kunna användas lika lättvindigt som innan.

Domstolen tydliggör bland annat att de som vill använda sig av standardavtalsklausuler för överföringar av personuppgifter har en skyldighet, innan överföringen genomförs, att verifiera att nivån av dataskydd i standardavtalsklausulerna respekteras i det land där mottagaren befinner sig. Mottagaren är dessutom skyldig att informera dataexporteraren om mottagaren inte kan uppfylla standardavtalsklausulerna, t.ex. på grund av tvingande lagstiftning i det aktuella landet. Dataexporteraren, eller ytterst tillsynsmyndigheten, kan då bli tvungen att säga upp standardavtalsklausulerna och upphöra med överföringen.

Domen innebär i korthet att:

  • Det inte längre är möjligt att förlita sig på en Privacy Shield-certifiering för överföring av personuppgifter till USA. Redan dagen efter domen erbjöd sig den Europeiska dataskyddsstyrelsen (”EDPB”) att hjälpa EU kommissionen och USA att hitta och bygga ett nytt ramverk för transatlantiska överföringar mellan EU och USA. Till dess bör företag och organisationer som förlitar sig på denna säkerhetsmekanism snarast hitta och införliva en alternativ säkerhetsmekanism för överföringen.

  • Företag och organisationer som använder sig av standardavtalsklausulerna för överföring av personuppgifter måste bedöma om klausulerna respekteras i mottagarlandet och om några extra säkerhetsåtgärder krävs. Förhoppningsvis finns vägledning från tillsynsmyndigheterna inom kort.

  • Utan ytterligare vägledning finns det stor risk att överföringar till USA inte kommer kunna ske med stöd i standardavtalsklausulerna utan extra säkerhetsåtgärder på plats.

  • Tillsynsmyndigheterna kommer förhoppningsvis ge aktörer på marknaden visst utrymme för att anpassa sig till avgörandet, men företag och organisationer bör så snart som möjligt se över sina dataöverföringsavtal (både externa och koncerninterna) och säkerställa att de har nödvändiga säkerhetsmekanismer på plats för att rättfärdiga överföringarna i enlighet med domen.


Sammanfattningsvis, har ni samarbetspartners som bara har servrar inom EU och EES påverkas ni inte. Om ni har samarbetspartners utanför EU/EES och förlitar er på att samarbetspartnern omfattas av Privacy Shield behöver ni antingen förhandla om avtalen så att personuppgifterna bara behandlas inom EU/EES eller ingå standardavtalsklausuler (eller annan alternativ säkerhetsmekanism som erkänns av GDPR). Även om ni väljer att ingå standardavtalsklausuler behöver ni säkerställa att klausulerna respekteras i mottagarlandet och eventuellt införa ytterligare säkerhetsåtgärder för att säkerställa att personuppgifterna ni överför är tillräckligt skyddade.

Företag och organisationer kan fortfarande förlita sig på de övriga säkerhetsmekanismerna som erkänns av GDPR, t.ex. Binding Corporate Rules (”BCR”) som även fortsatt är den mer pålitliga grunden för koncerninterna överföringar till tredje land.

Läs EU-domstolens pressmeddelande här.

Kontakta