En analys av EU-kommissionens nya standardavtalsklausuler för tredjelandsöverföringar
1 Bakgrund
GDPR[1] bygger på principen att personuppgifter endast får överföras till ett land eller territorium utanför EU/EES (ett ”tredjeland”) om det tredjelandet har en lagstiftning som ger fysiska personer ett adekvat skydd (ungefärligt motsvarande GDPR) vid behandling av deras personuppgifter, eller att överföringen omfattas av lämpliga skyddsåtgärder och behandlingen i övrigt är förenlig med GDPR.
Genom EU-domstolens avgörande Schrems II meddelade domstolen att skyddsåtgärden EU-US Privacy Shield (ett handelsavtal mellan EU och USA) inte var laglig.[2] Därigenom kapade EU-domstolen i ett hugg den huvudsakliga mekanismen för det transatlantiska dataflödet. Kvar lämnades i huvudsak ett alternativ: EU-kommissionens standardavtalsklausuler (”klausulerna”). EU-domstolen kom till slutsatsen att klausulerna var en tillåten skyddsåtgärd förutsatt att parterna beaktade vilket skydd som tredjelandets lag och vilka kompletterande skyddsåtgärder (t.ex. kryptering eller pseudonymisering) som vidtagits för att skydda personuppgifter vid överföringen och efterföljande behandling i ett tredje land. Det finns andra lämpliga skyddsåtgärder (t.ex. bindande företagsbestämmelser) men dessa skyddsåtgärder finns inte tillgängliga för den stora majoriteten av personuppgiftsansvariga.
Efter EU-domstolens beslut var osäkerheten stor hur klausulerna kunde användas. Därför meddelande EU-kommissionen snart att arbetet med att ta fram nya, uppdaterade klausuler påbörjats. Det är ett arbete som blev färdigt i juni efter nästan ett års väntan.
[1] Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
[2] Mål C-311/18 Data Protection Commissioner mot Facebook Ireland och Maximillian Schrems (“SchremsII”).
2 När träder de nya klausulerna i kraft?
De nya klausulerna publicerades i EU:s officiella tidning[3] måndag den 7 juni 2021 och trädde i kraft söndagen den 27 juni 2021, d.v.s. 20 dagar efter publicering.
De äldre klausulerna[4] upphör att gälla måndag den 27 september 2021, d.v.s. tre månader efter ikraftträdandedatumet. För pågående överföringar som sker med stöd av de äldre klausulerna gäller en ytterligare övergångsperiod om 15 månader varefter ändring ska ha skett till de nya klausulerna (eller annan tillämplig överföringsmekanism), d.v.s. senast den 27 december 2022.
På pappret kan detta framstå som oceaner av tid. Den initierade förstår dock att det brinner i knutarna. Inte minst mot bakgrunden av de nya kraven är det mycket arbete som väntar för den som vill förlita sig på de nya klausulerna.
[3] Kommissionens genomförandebeslut (EU) 2021/914 av den 4 juni 2021 om standardavtalsklausuler för överföring av personuppgifter till tredjeländer i enlighet med Europaparlamentets och Rådets förordning (EU) 2016/679.
[4]Commission Decision of 15 June 2001 on standard contractual clauses for the transfer of personal data to third countries, under Directive 95/46/EC (2001/497/EC); Commission Decision of 27 December 2001 on standard contractual clauses for the transfer of personal data to processors established in third countries, under Directive 95/46/EC C(2001) 4540); Commission Decision of 5 February 2010 on standard contractual clauses for the transfer of personal data to processors established in third countries under Directive 95/46/EC of the European Parliament and of the Council (2010/87/EU).
3 Former för överföring
Det brukar ofta beskrivas som att GDPR bygger på ett principiellt förbud mot tredjelandsöverföring av personuppgifter. En sådan beskrivning är en förenkling som inte direkt har teckning i lagens ordalydelse.[5] Personuppgiftslagen (som ersattes av GDPR den 25 maj 2018) byggde på ett sådant principiellt förbud. GDPR ger däremot uttryck för villkoren för hur en överföring ska genomföras för att överföringen ska vara tillåten, snarare än när en överföring får genomföras.
Som redovisats i avsnitt 1 ovan, krävs inledningsvis att den aktör som överför personuppgifter säkerställer att det finns en lämplig juridisk skyddsmekanism. I denna del är GDPR principiellt oförändrad i förhållande till personuppgiftslagen. GDPR preciserar även att överföringen i övrigt ska vara förenligt med GDPR. EU-domstolen har preciserat att de åtgärder som används för att genomföra överföringen är en behandling av personuppgifter.[6] Således krävs det en rättslig grund för den behandling av personuppgifter som krävs för överföringen och de grundläggande principerna för behandling av personuppgifter ska beaktas. Det innebär bland annat att den personuppgiftsansvarige ska beakta principen om uppgiftsminimering vid överföring, d.v.s. vilka personuppgifter är nödvändiga att överföra.
Den andra principiella nyheten i lagtexten var att bestämmelserna avseende överföring är tillämpliga för både personuppgiftsansvariga och personuppgiftsbiträden. Under personuppgiftslagen var bestämmelserna, och personuppgiftslagen i sin helhet, endast tillämplig för personuppgiftsansvariga. Det medför att personuppgiftsbiträden har ett självständigt ansvar för att det finns tillämpliga skyddsmekanismer, och att den personuppgiftsansvarige ska säkerställa att de grundläggande principerna för behandling och GDPR i sin helhet efterlevs.
[5] Se bland annat Dreschler, Laura & Kamara, Irene (2021), Essential equivalence as a benchmark for international data tramsfers after Schrems II, draft Handbook on EU Data Protection, sida 3-5, för en närmare analys av rättsläget i denna del.
[6] Mål C-311/18 Schrems II punkt, 80-84; mål C-362/14 Safe Harbour punkt, 45-45; förenade målen C-317/04 och C-318/04, punkt 56.
3.2 Dataexportören och dataimportören
Enligt klausulernas terminologi är den part som överför personuppgifter från EU/EES en dataexportör, och mottagaren i det tredjelandet är dataimportör. Dataexportören är med andra ord alltid i EU/EES och dataimportören är alltid i ett tredjeland. Flera parter kan gemensamt vara dataexportörer och flera parter kan vara dataimportörer inom ramen för samma avtal. Under de äldre klausulerna var dataexportören alltid personuppgiftsansvarig, men genom de nya klausulerna kan även ett personuppgiftsbiträde vara dataexportör.
Det finns fyra former av överföring som omfattas av klausulerna:
Figur 1: schematisk modell över överföringsscenarion.
De nya klausulerna omfattar samtliga fyra former av överföring, ovan. Det är en skillnad från de äldre klausulerna. De äldre klausulerna omfattade endast de två översta scenarion; d.v.s. överföring från en personuppgiftsansvarig i EU/EES till en annan personuppgiftsansvarig eller ett personuppgiftsbiträde i ett tredjeland.
Det är en viktig skillnad eftersom ett personuppgiftsbiträde i EU/EES inte kunnat överföra personuppgifter till ett underbiträde i tredjeland på grundval av de äldre klausulerna. En sådan överföring har krävt att den personuppgiftsansvarige varit avtalspart till klausulerna med underbiträdet, även om den personuppgiftsansvarige inte haft någon avtalsrelation med underbiträdet i övrigt. Om ett personuppgiftsbiträde är dataexportör är det dock fortfarande nödvändigt att efterleva kraven i personuppgiftsbiträdesavtalet med den personuppgiftsansvarige avseende (1) utlämnande av personuppgifter till en mottagare (t.ex. underbiträde), och (2) förutsättningarna för överföring av personuppgifter till tredjeland som den personuppgiftsansvarige lämnat genom personuppgiftsbiträdesavtal.
3.2 Vidarebefordran av personuppgifter
Därtill finns det även en femte form av överföring av personuppgifter, så kallad vidarebefordran (alternativt: vidare överföring).[7] Vidarebefordran är när en mottagare i ett tredjeland överför personuppgifter till en annan mottagare, antingen inom samma tredjeland eller till en mottagare i ett annat tredjeland. Vidarebefordran kan ske till ett personuppgiftsbiträde eller till en personuppgiftsansvarig.
Figur 2: schematisk modell över överföringsscenarion.
När klausulerna tillämpas ska alltid dataexportören finnas i EU/EES och dataimportören i ett tredjeland. Därför är det inte möjligt att en personuppgiftsansvarig i EU/EES överför personuppgifter till ett personuppgiftsbiträde i EU/EES, för att detta personuppgiftsbiträde i nästa led ska överföra personuppgifter till en mottagare i ett tredjeland. Det medför även att det inte är möjligt för en personuppgiftsansvarig eller ett personuppgiftsbiträde i ett tredje land att teckna klausulerna med en mottagare till vilken personuppgifter ska vidarebefordras.
[7] Se bland annat beaktandeskäl 101 GDPR.
4 Vad är en överföring av personuppgifter?
Innan vi går in närmare på klausulernas villkor är det först nödvändigt att precisera vad som är en överföring. Vad som är en överföring av personuppgifter till ett tredjeland definieras varken i GDPR eller de nya klausulerna. Enligt den Europeiska dataskyddsstyrelsens (European Data Protection Board, ”EDPB”) rekommendation 01/2020, mot bakgrund av Schrems II, är möjlig åtkomst från ett tredjeland en överföring.[8]
Vår svenska tillsynsmyndighet (Integritetsskyddsmyndigheten, ”IMY”) har uttalat att fjärråtkomst från ett tredje land är en överföring, d.v.s. i linje med EDPB:s tolkning.[9] Eftersom EDPB är ett samarbetsorgan för de europeiska tillsynsmyndigheterna, och verkar för enhetlig tillämpning av GDPR inom EU, är det knappast förvånande att IMY följer EDPB:s tolkning. Det är motsatsen som hade varit förvånande. Vi kan därför utgå från att IMY kommer att följa EDPB:s tolkning inom ramen för sin tillsynsverksamhet i Sverige. Det är något som både personuppgiftsansvariga och personuppgiftsbiträden behöver ta i beaktande.
EDPB:s tolkning är extensiv eftersom det sannolikt medför att det inte krävs att en mottagare faktiskt har tagit del av personuppgifter för att en överföring, rent juridiskt, ska ha genomförts. Det här kan uppfattas som en rent teoretisk fråga: om en mottagare bereds fjärråtkomst kan dataexportören knappast bli överraskad om mottagaren faktiskt tar del av personuppgifter. Det finns tveklöst en poäng i detta resonemang.
Med det sagt döljer EDPB:s tolkning en principiell fråga. Rättskällhänvisningen i EDPB:s rekommendation är till EDPB:s egen FAQ efter Schrems II.[10] EU-domstolen har dock inte gett någon vägledning i Schrems II om vad som är en överföring. EDPB presenterar inte heller någon analys för att motivera sitt ställningstagande. Eftersom EDPB:s ord, i brist på bättre uttryck, inte är lag (utan vägledning) är det alltid nödvändigt att nagelfara hur EDPB kommit fram till sin tolkning. Det här ska inte tolkas som kritik av EDPB:s tolkning; det är endast ett konstaterande av det principiella behovet att veta resonemanget bakom en tolkning; särskilt när det finns rättskällor som talar både för och emot denna tolkning.
Den här frågan om vad som är en överföring är komplex och förtjänt av en djupare analys; vilket inte ryms inom denna artikel. Vår slutsats blir därför att rättsläget måste betraktas som oklart om vad som är en överföring. Denna fråga sätter också fingret på hur komplext rättsläget avseende överföringar har blivit.
[8] EDPB: Rekommendationer 01/2020 om åtgärder som komplement till överföringsverktyg för att säkerställa överensstämmelsen med EU-nivån för skydd av personuppgifter, punkt 13, fotnot 27.
[9] IMY: Yttrande över Säker och kostnadseffektiv IT-drift – rättsliga förutsättningar för utkontraktering
(SOU 2021:1)(dnr DI-2021-956 den 2021-05-03) avsnitt 7.4.
[10]Vanliga frågor om EU-domstolens dom i mål C-311/18 – Data Protection Commissioner mot Facebook Ireland och Maximillian Schrems, fråga 11.
5 Klausulerna – ett standardavtal
En avtalsbestämmelse är – mycket förenklat – konstruerat så att det ger en part en rättighet eller en förpliktelse. För att en part ska ha en rättighet på grundval av ett avtal ska en annan part ha motsvarande förpliktelse. Om en part har en rättighet (t.ex. rätt att nyttja ett hotellrum) men ingen part har en korresponderande förpliktelse (förpliktelse att upplåta ett hotellrum) kan avtalet inte göras gällande i den delen.
Ett avtal kan som huvudregel endast ge förpliktelser till avtalets parter; i detta fall dataexportören och dataimportören. Det finns dock ett undantag i klausulerna: en registrerad kan få rättigheter som denna frivilligt kan ta del av trotts att denne inte är part till klausulerna. Detta benämns för ett tredjepartsberättigande; med andra ord att en tredje part till avtalet får ett berättigande. Notera dock att en tredje part inte kan åläggas några förpliktelser på denna grund. Endast parterna till ett avtal kan åläggas förpliktelser.
Det här är en kortfattad och förenklad version av grunderna i svensk avtalsrätt. Eftersom klausulerna juridiskt är ett avtal är det nödvändigt att alltid ha dessa grundpelare i bakhuvudet.
5.1 Förhållandet mellan lag och avtal
Klausulerna är ett avtal och är med andra ord inte en lag eller författning. Eftersom klausulerna är ett avtal kan parterna inte avtala bort tvingande lag eller författning, varken i dataexportörens eller dataimportörens land. Det medför det självklara att klausulerna inte ändrar tvingande förpliktelser för personuppgiftsansvariga eller personuppgiftsbiträden enligt GDPR.
För att ge ett förenklat typexempel: en amerikansk tjänsteleverantör som mottagit en begäran om utlämning av personuppgifter från en amerikansk myndighet på grundval av FISA 702 (amerikansk underrättelselag) kan åläggas tystnadsplikt. Tjänsteleverantören är därigenom förhindrad från att informera dataexportören om begäran, även om tjänsteleverantören har en sådan informationsförpliktelse på grundval av avtal. Med det sagt medför tjänsteleverantörens agerande i detta typexempel, beroende på vilket lands lag som parterna avtalat om, som regel en avtalsrättslig överträdelse. Vilka avtalsrättsliga sanktioner (t.ex. vite, skadestånd, möjlighet till hävning) som kan riktas mot tjänsteleverantören i detta typexempel beror på hur det aktuella avtalet är utformat.
5.2 Klausulernas struktur
De äldre klausulerna var formellt tre separata standardavtal: två standardavtal för överföring mellan två personuppgiftsansvariga samt ett standardavtal för överföring från en personuppgiftsansvarig till ett personuppgiftsbiträde. De nya klausulerna är ett avtal som består av ett antal moduler. Genom dessa moduler anpassas klausulerna efter formerna för överföring; d.v.s. om dataexportören är personuppgiftsansvarig eller personuppgiftsbiträde, samt om dataimportören är personuppgiftsansvarig eller personuppgiftsbiträde.
De nya klausulerna följer, något förenklat, denna struktur:
Dataimportörens efterlevnad av de grundläggande principerna för behandling av personuppgifter (med undantag för laglighetsprincipen): d.v.s. uppgiftsminimerings-, riktighets- och lagringsminimering m.fl.
Bestämmelser avseende öppenhet, d.v.s. vilken information som registrerade ska ges om överföringen och vilka rättigheter som ska fullgöras (däremot stadgas inte nödvändigtvis hur dessa förpliktelser ska fullgöras).
Bestämmelser avseende villkor för vidarebefordran av personuppgifter.
Garantiförpliktelse avseende en riskbedömning om dataimportörens lands lagar.
Parternas ömsesidiga förpliktelse på att visa efterlevnad av klausulerna.
Det här är inte en uttömmande förteckning över vad som på rubrik-nivå regleras genom klausulerna. Denna förteckning bortser även från vissa nyanser mellan de olika modulerna. Likväl ger denna förteckning ett fågelperspektiv över klausulernas struktur.
Eftersom klausulerna dessutom är ett standardavtal kan parterna inte ändra klausulernas innebörd i de delar som avser behandling av personuppgifter. En sådan ändring medför att standardavtalsklausulerna inte är en lämplig skyddsåtgärd för överföring av personuppgifter. Med det sagt har parterna möjlighet att ta med ett antal frivilliga klausuler som t.ex. reglerar parternas ansvar sinsemellan (vilket kan ligga till grund för skadestånd på avtalsrättslig, s.k. inomobligatorisk, grund). Beroende på typer av personuppgifter som överförs samt överföringens omfattning och frekvens kommer dessa frivilliga klausuler vara av väsentlig betydelse för parterna och kommer bli föremål för förhandling mellan parterna.
5.3 Behovet av kompletterande avtal
Vi kan konstatera att klausulerna som regel kommer att kräva kompletterande avtal mellan parterna. Som exempel ska dataimportören, om denne är personuppgiftsansvarig för mottagna personuppgifter, lämna viss information direkt till registrerade, om inte dataexportören redan lämnat viss information. Som redovisats i avsnittet ovan regleras vilken information som ska lämnas men inte nödvändigtvis hur. Det är knappast rekommenderat att reglera så viktiga frågor i annan form än genom avtal.
Ett ytterligare lager av komplexitet är att ett personuppgiftsbiträde kan vara dataexportör. Enligt GDPR är det den personuppgiftsansvarige som har en informationsplikt; en standardskrivelse i personuppgiftsbiträdesavtal är att ett personuppgiftsbiträde inte ska lämna information till registrerade. Genom modulen för överföring från personuppgiftsbiträde till personuppgiftsbiträde ska det personuppgiftsbiträde som är dataexportör, på begäran, kostnadsfritt tillhandahålla registrerade en kopia av tecknade klausuler. Detta ställer indirekt krav på den personuppgiftsansvarige för att denna förpliktelse på dataexportören ska kunna efterlevas. Därigenom finns det även i denna del ett behov av kompletterande avtal mellan parterna.
I den mån som parterna tecknar klausulerna inom ramen för ett redan existerande avtal, eller tecknar ett tilläggsavtal till klausulerna, får detta inte medföra en konflikt direkt eller indirekt med klausulerna. Detta krav är inte nytt och fanns med i de äldre klausulerna. Nya krav medför dock att det är nödvändigt att genomföra en ny sådan bedömning.
Det är föga förvånande om vi kommer att få se standardiserade tilläggsavtal till klausulerna för att reglera denna typ av frågor. På samma sätt som personuppgiftsbiträdesavtal med tidens gång blivit mer standardiserade finns det kostnader att spara på en motsvarande standardisering vid tilläggsavtal.
5.4 Fokus på leverantörskedjan
De nya klausulerna fäster större vikt vid hela leverantörskedjan, d.v.s. inte endast ledet mellan dataexportören och dataimportören, utan även nedstigande led om dataimportören vidarebefordrar personuppgifter till en annan mottagare. Det är en fråga som kommer kräva en investering i tid vid en överföring på grundval av klausulerna. De nya klausulerna kräver nämligen en mer omfattande av dokumentation av överföringen och behandlingen i tredjeland än de äldre klausulerna. Parterna ska precisera vilka kategorier av personuppgifter som ska överföras, ändamålet med överföringen och ändamålet med den behandling som ska genomföras i tredjeland, överföringens frekvens, samt den behandling som ska genomföras efter vidarebefordran, m.m.
Med andra ord är det nödvändigt att dokumentera inte bara vilka aktörer som är en del av leverantörskedjan och deras respektive roller; det är även nödvändigt för dataexportören att ha en dokumenterad överblick över överföring och behandling. Det är i sammanhanget lätt att stirra sig blind på själva överföringssteget (vilket inte är oviktigt) och negligera den behandling som faktiskt ska genomföras i det tredjelandet. Med det sagt har EU-domstolen preciserat, som redovisats ovan, att den åtgärd som medför överföring är en behandling av personuppgifter.
6 Särskilt om överföring från personuppgiftsansvarig till personuppgiftsansvarig
Inledningsvis bör det betonas att en överföring, som konstaterats av EU-domstolen, är en behandling för vilken den personuppgiftsansvarige dataexportören i detta scenario ska ha en rättslig grund.
Den personuppgiftsansvarige som är dataimportör får endast behandla personuppgifter för det ändamål vilket personuppgifterna överförs och dokumenterats i en bilaga till klausulerna. Det bör betonas att dataexportören inte instruerar dataimportören för vilket ändamål denne ska behandla personuppgifter och dataimportören behandlar inte personuppgifter för dataexportörens räkning. Däremot binds dataimportören på avtalsrättslig grund till principen om ändamålsbegränsning. Det är även nödvändigt för dataexportören att kontrollera att utlämnandet täcks av det ändamål som denne insamlat personuppgifter för.
Det finns tre undantag när dataimportören får behandla personuppgifter för ett annat ändamål än avtalat: (1) om den registrerade lämnat sitt samtycke, (2) om behandlingen är nödvändig för att fastställa, göra gällande eller försvara rättsliga anspråk, eller (3) om behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person. Undantag 2 och 3 ska tolkas restriktivt i GDPR och bör därför tolkas restriktivt även i detta sammanhang. Undantag 1 medför en möjlighet att, på avtalsrättslig grund, inhämta samtycke enligt GDPR:s krav.
GDPR är en s.k. extraterritoriell författning och kan därför vara tillämplig för en personuppgiftsansvarig eller ett personuppgiftsbiträde utanför EU/EES. Till exempel kan ett företag i USA omfattas av GDPR trotts att detta företag saknar ett verksamhetsställe i EU/EES. Enligt beaktandesats 7 till EU-kommissionens beslut preciseras att klausulerna inte kan tillämpas för en överföring till en dataimportör i ett tredjeland om denna dataimportör omfattas av GDPR. Det medför ett ytterligare lager av komplexitet. I den mån dataexportören och dataimportören är gemensamt personuppgiftsansvariga och dataimportören omfattas av GDPR bör därför standardavtalsklausulerna sannolikt inte var tillämpliga.
EDPB håller i skrivande stund (augusti 2021) på att ta fram en vägledning om samspelet mellan GDPR:s bestämmelser om överföring till ett tredjeland och GDPR:s bestämmelser om extraterritoriallitiet. Detta samspel är komplex och medför att rättsläget bör betraktas som oklart hur personuppgifter kan överföras av en dataexportör till en dataimportör som är personuppgiftsansvarig och omfattas av GDPR. Det framstår dock som att klausulerna inte är tillämpbara i ett sådant scenario.
7 Särskilt om överföring från personuppgiftsansvarig till personuppgiftsbiträde
Inledningsvis bör det betonas att en överföring, som konstaterats av EU-domstolen, är en behandling. Denna behandling är nödvändig att särskilja från utlämnandet av personuppgifter från personuppgiftsansvarig till personuppgiftsbiträde. Ett utlämnande från en personuppgiftsansvarig till ett personuppgiftsbiträde är en åtgärd men är inte en åtgärd som utgör en behandling i GDPR:s mening. Ett utlämnande till ett personuppgiftsbiträde är med andra ord inte en behandling som i sig omfattas av krav på rättslig grund eller uppgiftsminimering.
I den mån som klausulerna tillämpas för en överföring till ett personuppgiftsbiträde är de nya klausulerna utformade så att de uppfyller GDPR:s krav på ett personuppgiftsbiträdesavtal. Det medför att parterna har valet mellan att (1) låta klausulerna vara parternas personuppgiftsbiträdesavtal och lämplig skyddsåtgärd för överföring, eller (2) att låta klausulerna vara en bilaga till parternas personuppgiftsbiträdesavtal. Parallellt till klausulerna har EU-kommissionen tagit fram ett nytt standardiserat personuppgiftsbiträdesavtal; detta personuppgiftsbiträdesavtal är dock inte föremål för analys i denna artikel.
Vid överföring till ett personuppgiftsbiträde kan dataexportören som bekant vara antingen personuppgiftsansvarig eller personuppgiftsbiträde. Det finnas alltid minst en personuppgiftsansvarig för en behandling; d.v.s. om dataexportören är ett personuppgiftsbiträde ska det likväl finnas en personuppgiftsansvarig för överföringen. Ett personuppgiftsbiträde som är dataexportör behöver efterleva kraven i ett personuppgiftsbiträdesavtal för överföring.
Det personuppgiftsbiträdesavtal som tecknas mellan den personuppgiftsansvarige och första ledets personuppgiftsbiträde ska korrespondera mot eventuella personuppgiftsbiträdesavtal med andra ledets personuppgiftsbiträden, o.s.v. i rakt nedstigande led i leverantörskedjan. Det finns ingen teoretisk gräns för antalet led som en leverantörskedja kan bestå av.
Om de finns klausuler i en leverantörskedja kommer det därför bli nödvändigt för den personuppgiftsansvarige (i toppen av leverantörskedjan) att säkerställa att samtliga personuppgiftsbiträdesavtal – även de tecknade mellan personuppgiftsbiträden – är förenliga med klausulerna. Det är med andra ord nödvändigt med en top-down granskning av tecknade avtal för att säkerställa att (1) det inte finns en konflikt mellan avtalen, (2) att rätt part har rätt förpliktelse, och (3) att den personuppgiftsansvariges instruktion efterlevs i hela leverantörskedjan och att personuppgifter alltid faller inom ramen för den personuppgiftsansvariges ändamål. Den personuppgiftsansvarige bör därför beakta att en leverantörskedjas längd medför korresponderande högre kostnader vid upprättande av avtal samt kontroll av leverantörernas efterlevnad.
Den personuppgiftsansvarige ska, innan ett personuppgiftsbiträde anlitas, säkerställa att personuppgiftsbiträdet kan lämna tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen uppfyller kraven i GDPR och säkerställer att den registrerades rättigheter skyddas. Detta krav medför en omsorgsgaranti för personuppgiftsbiträdet (till skillnad från en resultatgaranti, d.v.s. att ett visst resultat ska uppnås).
Den personuppgiftsansvarige ska enligt GDPR genomföra en riskbedömning för att säkerställa att personuppgiftsbiträdet kan lämna en tillräcklig omsorgsgaranti. Den personuppgiftsansvarige kan med andra ord inte blint förlita sig på personuppgiftsbiträdets garanti utan ska göra en egen riskbedömning för att säkerställa att det är tillräckliga garantier som lämnas. Som redovisas i avsnitt 9 Transfer Impact Assessment, nedan, ska parterna gemensamt genomföra en riskbedömning om mottagarlandets lag avseende dataskydd. Den personuppgiftsansvariges ansvar enligt GDPR ändras inte genom klausulernas förpliktelse, som är en ömsesidig avtalsförpliktelse, och medför därför inte en lägre nivå av ansvar för den personuppgiftsansvarige.
Vid en sådan riskbedömning enligt GDPR ska de registrerade personernas rättigheter beaktas. Det medför särskilt att överföring av personuppgifter omfattas av adekvata skyddsåtgärder enligt GDPR. Det medför även att risken för obehörigt röjande och risken för otillåten tredjelandsöverföring ska beaktas. Det här är på inget sätt en uttömmande lista över vad som ska beaktas utan den personuppgiftsansvarige behöver göra en bedömning utifrån de faktiska omständigheterna i det enskilda fallet.
Ett konkret exempel på en sådan riskbedömning är risken för att en myndighet eller domstol i ett tredjeland begär att personuppgiftsbiträdet ska utlämna eller överföra personuppgifter på grundval av det tredjelandets nationella rätt (typexemplet är även här FISA 702 som omfattar amerikanska tjänsteleverantörer). Om den personuppgiftsansvarige inte kan få tillräckliga garantier i avtalsform om att ett sådant scenario inte kan inträffa, är den personuppgiftsansvarige på grundval av GDPR förhindrad att anlita personuppgiftsbiträdet.
8 Särskilt om överföring från personuppgiftsbiträde
Ett personuppgiftsbiträde kan överföra personuppgifter till antingen (1) ett annat personuppgiftsbiträde, eller (2) till en personuppgiftsansvarig. I båda fallen krävs den personuppgiftsansvariges godkännande enligt avtal för att ett sådant utlämnande ska vara tillåtet.
Som redovisats ovan är inte klausulerna tillämpliga om dataimportören omfattas av GDPR. Det väcker frågan varför det finns klausuler för överföring från ett personuppgiftsbiträde till en personuppgiftsansvarig. En personuppgiftsansvarig etablerad i ett tredjeland och som behandlar personuppgifter i ett tredjeland sak efterleva GDPR:s krav på hur en överföring ska genomföras. Klausulerna är dock utformade så att de inte kan användas i ett sådant scenario. Mot denna bakgrund är EDPB:s vägledning inom detta område viktig för att klargöra om, och i så fall hur, detta scenario ska hanteras. Det personuppgiftsbiträde som överför personuppgifter till en personuppgiftsansvarig i ett tredje land ska vara medveten om att det härigenom finns en betydande oklarhet i rättsläget. Eftersom en överföring av personuppgifter i strid med GDPR är en allvarlig överträdelse som kan motivera höga sanktionsavgifter är det rättsliga risken vid detta förfarande hög.
9 Transfer Impact Assessment
De äldre klausulerna preciserade att det var dataimportören som skulle lämna en avtalsrättslig garanti om denne inte har anledning att förmoda att den lagstiftning som är tillämplig på dataimportörer hindrar denne från att fullfölja uppdragsutförarens instruktioner och sina skyldigheter enligt klausulerna.
Detta ansvar har nu ändrats på ett sådant sätt att dataexportören och dataimportören genom avtal lämnar en gemensam garanti. Avtalsrättsligt är detta en intressant konstruktion. En bestämmelse i ett avtal syftar som regel att ge en part en förpliktelse och en annan part en korresponderande rättighet. För att en part ska ha en rättighet på grundval av ett avtal krävs att en annan part ska uppfylla denna rättighet. Denna bestämmelse ger parterna varken en garanti eller en rättighet. Däremot har registrerade vars personuppgifter överförs, i kapacitet av tredjepartsberättigade, en rättighet korresponderande mot parternas förpliktelse. Det medför att en registrerad kan göra en överträdelse gällande mot parterna gemensamt och t.ex. yrka på skadestånd.
Därigenom får denna bestämmelse karaktären av en gemensam riskbedömning. Denna riskbedömning brukar vanligtvis benämnas för Transfer Impact Assessment eller Data Transfer Assessment. Parterna behöver inte genomföra bedömningen gemensamt men de är gemensamt ansvariga för att den göras och att riskbedömningen uppfyller klausulernas krav.
Mot bakgrund av den snabba utvecklingen av informationsteknik samt rättsutvecklingen i EU/EES, rättsutvecklingen i mottagarlandet samt, beroende på den enskilda överföringen, rättsutvecklingen i Sverige kan förutsättningarna för överföringen ändras över tid. Parterna kan därför inte förlita sig på att genomföra en riskbedömning innan behandlingen genomförs, för att därefter låta denna riskbedömning vila i en skrivbordslåda. För att fånga upp viktiga ändringar bör därför denna riskbedömning uppdateras med bestämd frekvens.
10 Kompletterande tekniska och organisatoriska skyddsåtgärder
Konceptet med kompletterande skyddsåtgärder framgår av EU-domstolens avgörande Schrems II. Mot bakgrund av de risker som identifierats i ett tredjelands lag (se avsnitt 9 Transfer Impact Assessment, ovan) kan det vara nödvändigt att parterna kompletterar det juridiska skydd som klausulerna med tekniska och organisatoriska åtgärder, d.v.s. informationssäkerhet för att skydda de överförda personuppgifterna från oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts.
Figur 3: schematisk modell över informationssäkerhet.
Det finns en bilaga med tekniska och organisatoriska säkerhetsåtgärder. Denna bilaga ger exempel på säkerhetsåtgärder men saknar vägledning om vilka säkerhetsåtgärder som är lämpliga eller vilken nivå av säkerhetsåtgärder som ska implementeras. Det är med andra ord fortsatt EDPB:s rekommendation 01/2020 som är den primära källan över kompletterande skyddsåtgärder. Med det sagt skulle det vara föga förvånande om den lista över åtgärder blir en form av best practice eftersom det onekligen finns en hög grad av symbolvärde i att de har inkluderats av EU-kommissionen. Det är dock upp till parterna att närmare precisera samtliga åtgärder.
Det kan i sammanhanget vara värt att förtydliga att rättsläget framstår som klart att pseudonymiserade uppgifter som överförs till en mottagare är personuppgifter hos mottagaren och dennes vidare behandling, även om nyckel till pseudonymisering (som möjliggör identifiering) inte överförs. En mottagare kan som bekant vara en personuppgiftsansvarig (som behandlar personuppgifter för ett eget ändamål och ned egen rättslig grund) eller ett personuppgiftsbiträde. Det framgår både av EDPB:s rekommendation samt av de exempel som lämnas i klausulerna. Pseudonymisering är med andra ord en säkerhetsåtgärd, och pseudonymiserade personuppgifter förblir personuppgifter.
11 Lagval
En nyhet är att parterna kan avtala om vilken lag som ska användas vid tolkning och tillämpning av klausulerna. Detta var inte möjligt med de tidigare klausulerna där parterna var bundna av dataexportörens lands lag.
EU-kommissionens beslut preciserar dock att parterna endast kan välja mellan medlemsstaternas lagar (detta faktum framgår inte av klausulerna ordalydelse). Det är med andra ord inte möjligt att avtala om att amerikansk lag, eller lag i ett annat tredje land, ska användas vid tolkning och tillämpning av klausulerna.
Det finns ett hinder till parternas val av lag. Registrerade vars personuppgifter överförs på grundval av klausulerna är så kallat tredjepartsberättigade. Ett avtal medför som regel endast avtalsrättsliga förpliktelser och rättigheter för parterna till avtalet. Klausulerna medför dock rättigheter enligt avtal för registrerade, trotts att de registrerade inte är parter till klausulerna. Den lag som parterna till klausulerna väljer ska möjliggöra ett tredjepartsberättigande och får inte berättiga tredjepartsberättigandet enligt klausulerna. Parterna behöver därför inledningsvis göra en bedömning för att säkerställa att den lag som väljs uppfyller detta krav.
Eftersom registrerade är tredjepartsberättigade har de rätten att rikta förfrågan eller begäran direkt mot dataimportören (även om dataimportören är ett personuppgiftsbiträde). Registrerade har även rätt att lämna ett klagomål avseende en dataimportör (som inte befinner sig i EU/EES) till en tillsynsmyndighet i EU/EES.
Det är även nödvändigt att särskilja vilken lag som är tillämplig för tolkning av klausulerna från vilken nationell kompletterande lagstiftning som är tillämplig för den behandling av personuppgifter som omfattas av klausulerna.
Med tolkning och tillämpning av klausulerna avses hur klausulernas avtalsinnehåll ska förstås, samt vilken rättsverkan som en överträdelse ska medföra (t.ex. parts rätt att häva klausulerna). Klausulerna ska, enligt svensk rätt, tolkas mot bakgrund av tolkningsinstruktionerna i avtalet samt tolkningsprinciper i svensk rätt. Enligt klausulerna ska de tolkas i ljuset av GDPR och begrepp ska ges samma betydelse som i GDPR.
Med behandling av personuppgifter avses den eller de åtgärder som ska genomföras avseende personuppgifter och som omfattas av GDPR samt kompletterande nationella lagar, t.ex. den svenska dataskyddslagen eller patientdatalagen. EU-domstolen har klargjort att parterna inte kan avtal om tillämplig lag för behandlingen av personuppgifter, det är således upp till parterna att göra en bedömning i varje enskilt fall vilken lag som ska vara tillämplig (även om det som regel bör vara dataexportörens lands lag).
12 Avslutande synpunkter
Klausulerna må vara standardavtalsklausuler och ett standardavtal, men som vi redovisat i denna artikel kommer det inte att finnas ett standardiserat sätt på vilket dataexportörer kan använda klausulerna. Modulvalet, utformning av bilagor, samt behovet av kompletterande avtal medför att det är en omfattande arbetsinsats som krävs för både dataexportören och dataimportören. Den dataexportör som använder sig av klausulerna kan även få förpliktelser som kräver ändringar i etablerade dataskyddsprogram.
Den som förlitar sig på de äldre klausulerna för överföring har därför mycket arbete att stå i till den 27 december 2022. Tiden kommer gå fort.
Om denna rapport och licens
Som ett specialiserat konsultföretag inom informations- och cybersäkerhet samt dataskydd vill vi bidra till den offentliga diskussionen och förklara det som många gånger är komplexa rättsliga frågor. Genom denna skriftserie kan vi dyka djupare i frågor som vi märker är av intresse för våra kunder och för samhället i övrigt.
Secure State Cybers reflektioner och bedömningar i denna artikel baseras på allmänna utgångspunkter och presenteras i syfte att bidra till en generell diskussion om de rätts- och tillämpningsfrågor som artikeln behandlar. Läsaren uppmanas att inte förlita sig uteslutande på rapporten vid juridisk analys eller tillämpning, utan uppmana först konsulterat sakkunnig jurist för bedömning av de specifika omständigheterna i det enskilda fallet.
Secure State Cybers skriftserie tillhandahålls kostnadsfritt på vår webbplats under en Creative Commons Erkännande - Inga Bearbetningar 4.0 Internationell Licens. Detta möjliggör mångfaldigande och spridning av materialet förutsatt att inga ändringar görs och att källan anges.