Nya rekommendationer vid överföring av personuppgifter utanför EU/EES och utkast till nya standardavtalsklausuler

I juli avgjordes det s.k. Schrems II målet i EU domstolen. Avgörandet fick stora konsekvenser på dataskyddsområdet då möjligheten att överföra personuppgifter utanför EU/EES begränsades kraftigt.

Dels ogiltigförklarades det s.k. Privacy Shield ramverket med omedelbar verkan (vilket gjorde överföring till USA baserat på detta ramverk olagliga), dels förtydligade domstolen att användandet av kommissionens standardavtalsklausuler (SCC) inte alltid är en lämplig överföringsmekanism, men att detta, i vissa fall, kan läkas genom implementering av ytterligare skyddsåtgärder. Europeiska dataskyddsstyrelsen (EDPB) antog i förra veckan rekommendationer för den som exporterar respektive importerar personuppgifter till tredjeland. Nästan samtidigt publicerade kommissionen sitt utkast till nya SCC.

Både utkastet till nya SCC och rekommendationerna är ute på offentlig konsultation, men väntas antas i sin slutliga form innan eller strax efter årsskiftet. Utkastet till nya SCC hanterar mycket av den kritik som finns mot de nuvarande SCC och tillåter bl.a. att flera parter ansluter sig till samma avtal, liksom att de även kan användas för överföringar mellan två personuppgiftsbiträden (vilket ligger utanför tillämpningsområdet för dagens SCC). Från det att SCC:erna slutligt antas har aktörer ett år på sig att byta ut befintliga SCC.

Samtidigt tydliggör EDPB:s rekommendationer att den som förlitar sig på SCC (oavsett om det är de gamla eller de nya) är skyldiga att säkerställa– i varje enskilt fall –om tredjelandets lag garanterar en skyddsnivå för de personuppgifter som överförs i princip motsvarande den som garanteras inom EU/EES. De innehåller vidare ett antal steg som alla rekommenderas att följa när de utvärderar mottagarlandet och identifieringen av eventuella ytterligare skyddsåtgärder. Det spelar i sammanhanget ingen roll om de personuppgifter som överförs är av känslig karaktär eller inte. Alla som exporterar personuppgifter (oavsett om de är personuppgiftsansvariga eller personuppgiftsbiträden) bör därför:

1.                 Ha kunskap om sina överföringar

Även om en kartläggning av samtliga överföringar är en svår och tidskrävande uppgift är den nödvändig för att säkerställa att personuppgifter skyddas på ett likvärdigt sätt oavsett var de behandlas.

2.                 Identifiera den överföringsmekanism som används

Om mottagarlandet njuter av ett adekvansbeslut behöver inga ytterligare åtgärder vidtas (med mindre än att det kontinuerligt måste övervakas att adekvansbeslutet fortsätter att vara giltigt). Om mottagarlandet inte omfattas av ett adekvansbeslut och behandlingen är regelbunden och återkommande, måste det säkerställas att en annan överföringsmekanism finns på plats, t.ex. SCC.

3.                 Utvärdera om mottagarlandets lag och praxis inkräktar på de registrerades rättigheter

Bedömningen bör så långt som möjligt baseras på allmänt tillgänglig lagstiftning i mottagarlandet och inte en subjektiv bedömning huruvida det är sannolikt att myndigheterna i mottagarlandet faktiskt kommer ha tillgång till uppgifterna.

4.                 Identifiera och anta ytterligare skyddsåtgärder

Detta steg är bara nödvändigt om steg 3 funnit att mottagarlandet inkräktar på individens rättigheter. Ytterligare skyddsåtgärder skulle kunna vara kryptering och pseudonymisering – men det är inte säkert att detta är tillräckligt i alla fall och situationer. Den som exporterar uppgifterna är den som är ultimat ansvarig för att säkerställa en skyddsnivå likvärdig med den som dataskyddsförordningen föreskriver. Om inga effektiva ytterligare skyddsåtgärder kan identifieras ska överföringen undvikas, upphöra eller avslutas.

5.                 Anta och implementera ytterligare skyddsåtgärder i praktiken

Beroende på vilken/-a skyddsåtgärder som identifieras kan vissa processuella åtgärder vara nödvändiga.

6.                 Om- och utvärdera skyddsnivån

Skyddsnivån i mottagarlandet, liksom effektiviteten hos de eventuella ytterligare skyddsåtgärder som antagits och implementerats, måste kontinuerligt om- och utvärderas för att säkerställa att skyddet inte urholkas till följd av t.ex. ändringar i nationell lag.

Även om ovan steg iakttas, finns det situationer då inte ens ytterligare skyddsåtgärder är tillräckligt för att läka en brist i mottagarlandets lagstiftning. Där lagstiftningen i mottagarlandet inkräktar på enskildas skydd, finns det enligt EDPB inga effektiva tekniska skyddsåtgärder för tjänster som:

• Medför att en leverantör i ett mottagarlandet har tillgång till okrypterade personuppgifter i klartext. Detta medför t.ex. att lagring i molnlösningar kräver stark kryptering av personuppgifterna så att de inte finns åtkomliga eller tillgängliga i klartext för molntjänstleverantören.
• Medför fjärråtkomst till personuppgifter lagrade i klartext inom EU. Detta kan t.ex. slå mot koncerninterna lösningar där vissa supporttjänster som inkluderar fjärråtkomst till uppgifterna tillhandahålls centralt.

Sammantaget får personuppgifter i klartext generellt inte överföras via internet i okrypterad form, eller annars göras tillgängliga i klartext. För att krypteringen ska anses tillräcklig krävs dessutom att mottagaren typiskt sett inte har eller enkelt kan skaffa tillgång till krypteringsnyckeln. Pseudonymisering kan vara en effektiv skyddsåtgärd, under vissa förutsättningar. Detsamma gäller för uppdelning av en personuppgiftsbehandling mellan flera aktörer, så att ingen av dem får tillräcklig information för att identifiera enskilda personer.

Rekommendationerna har direkt effekt. Även om många hade hoppats att rekommendationerna skulle möjliggöra överföringar till tredjeland på det sätt vi har varit vana vid, är det ingen överraskning att nuvarande lagstiftning omöjliggör vissa överföringar i praktiken. Redan efter Schrems II avgörandet uppmanade tillsynsmyndigheten till åtgärder, en uppmaning som nu förstärks ytterligare av EDPB.

Vill ni veta mer eller ha hjälp med att ta er igenom stegen ovan, kontakta oss.