När kan en amerikansk tjänsteleverantör anlitas för behandling av personuppgifter?

Har franska Högsta förvaltningsdomstolen avgjort när en amerikansk tjänsteleverantör får anlitas för lagring av personuppgifter? Secure State Cyber analyserar.

Bakgrund – vad har hänt?

Doctolib är en webbplats där franska medborgare kan boka tid för vaccination mot pandemin Covid-19. Webbplatsen hanterades av ett företag med samma namn och på uppdrag av den franska motsvarigheten till Socialdepartementet. Vid en tidsbokning sparades två typer av personuppgifter: patientens namn samt datum, tid och plast för vaccinationen. Dessa data sparades av Doctolib på servrar i Frankrike och Tyskland. Servrarna tillhandahölls av tjänsteleverantören Amazon Web Services Sarl med säte i Luxemburg (”AWS Luxemburg”). AWS Luxemburg är i sin tur ett dotterföretag till Amazon Web Services med säte i USA.

Flera organisationer – bland annat det franska läkarförbundet – ansåg att de data som lagrades var uppgifter om hälsa. Uppgifter om hälsa är en s.k. känslig kategori av personuppgifter enligt GDPR [2] vilka bland annat förutsätter en högre nivå av informationssäkerhet för att dessa uppgifter ska få behandlas (insamlas, lagras m.m.).

Det finns enligt fransk lag en möjlighet för den franska Högsta förvaltningsdomstolen att stoppa ett förfarande som innebär en allvarlig och uppenbar överträdelse mot grundläggande fri- och rättigheter. Vid denna typ av mål är domstolen tvungen att meddela ett beslut inom 48 timmar. Det är med andra ord inte frågan om ett vanligt mål. Domstolen har ytterst begränsat med tid att värdera de bevis som presenteras samt skriva skälen för beslutet.

De klagande ansåg att lagringen av data hos AWS Luxemburg var en sådan allvarlig och uppenbar överträdelse; närmare bestämt en överträdelse av rätten till privat- och familjeliv samt rätten till skydd för personuppgifter. Mot den bakgrunden lämnade de klagande in ett förstahands- och ett andrahandsyrkande till domstolen. De yrkade i första hand att domstolen skulle förelägga Socialdepartementet att avsluta samarbetet med företaget Doctolib på grund av lagringen av uppgifter om hälsa hos AWS Luxemburg. De yrkade i andra hand att domstolen skulle begära ett yttrande från den franska tillsynsmyndigheten (CNIL) om det är förenligt med GDPR att lagra uppgifter om hälsa hos AWS Luxemburg.

Vad kom den franska Högsta förvaltningsdomstolen till för slutsats?

En domstol prövar vad som är bevisat. Det finns tre grundläggande frågor vid en domstolsprövning (tvist, överklagan av beslut från tillsynsmyndighet m.m.): (1) vad ska bevisas, (2) vem har bevisbördan, och (3) vilken nivå ska bevisningen nå upp till (ska det vara sannolikt, styrkt, bevisat bortom rimligt tvivel m.m.). Det är med andra ord, för att använda en gammal klyscha, en väsentlig skillnad mellan att ha rätt och att få rätt. Vi tar avstamp i dessa tre frågor för att närmare analysera domstolens beslut.

1. Vad ska bevisas – föreligger det en allvarlig överträdelse?

Först är det nödvändigt att precisera varför de klagande ansåg att det förelåg en allvarlig överträdelse. Vad som är en ”allvarligt överträdelse” i detta sammanhang definieras i fransk rätt. Med andra ord var frågan vad som enligt fransk lag är ett allvarligt brott mot fri- och rättigheter enligt EU-rätten. Det medför ett extra lager av komplexitet.

Anledningen till att de klagande ansåg att det förelåg en allvarlig överträdelse är att AWS Luxemburg är en del av en amerikansk företagskoncern, d.v.s. ett dotterföretag till ett moderbolag med säte i USA. Det medför att koncernföretag är bundna av amerikansk lag, i tillämpliga delar, även om ett koncernföretag inte har sitt säte i USA och inte heller bedriver verksamhet i USA. Det brukar benämnas för extraterritoriell författning; en lag som gäller utanför amerikanskt territorium. Huvudregeln är att en stat endast kan stifta lag som är tillämplig inom dess eget territorium. En extraterritoriell lag är dock tillämplig även utanför en stats eget territorium.

I sammanhanget bör det tilläggas att GDPR är en europeisk lag med extraterritoriell effekt, d.v.s. kan ett bolag i USA omfattas av GDPR trotts att behandling av personuppgifter sker i USA. Det medför att en tjänsteleverantör med säte i EU/EES men som lyder ett moderbolag med säte i USA ställs inför ett conflict of laws-scenario. Med andra ord behöver tjänsteleverantören välja mellan vilken av lagarna som denne ska efterleva.

De klagande pekade framför allt på den amerikanska federala lagen Foreign Intelligence Surverillance Act Section 702 (”FISA 702”) samt presidentbeslut Executive Order 13222 (”EO 13222”) som sådan extraterritoriell författning. Dessa författningar medför en möjlighet för amerikanska rättsvårdande myndigheter (t.ex. FBI) och underrättelseorganisationer (t.ex. signalspaningsmyndigheten NSA) att begära att data ska utlämnas från en tjänsteleverantör.

De klagande ansåg därför att det fanns en risk för att amerikanska myndigheter skulle begära lagrade uppgifter. Denna risk ansåg de klagande, i kombination med deras tolkning att det är uppgifter om hälsa som lagrades, medförde att det förelåg en allvarlig överträdelse av rätten till privat- och familjeliv samt rätten till skydd för personuppgifter.

Högsta förvaltningsdomstolen bekräftar uttryckligen att den gör bedömningen att FISA 702 är en extraterritoriell lag. Högsta förvaltningsdomstolen domstolen lutade sig i denna del mot EU-domstolens resonemang i Schrems II-målet. [3] Detta har tolkats som att Högsta förvaltningsdomstolen gjorde det s.k. Schrems II-testet för att avgöra om amerikansk lag medför ett adekvat skydd för personuppgifter när dessa överför till USA. Högsta förvaltningsdomstolen är på denna punkt inte ett under av tydlighet. Vår tolkning är – mot bakgrund av att målet tar sikte på risken för överföring till USA till skillnad från en faktisk överföring – att domstolen använde EU-domstolens slutsats för att avgöra vilken risk som FISA 702 och EO 13222 medför samt möjligheten att använda avtal för att mitigera dessa risker.

2. Vem har bevisbördan?

De klagande redogjorde för deras bedömning att det inte finns något sätt för Socialdepartementet att, inom ramen för avtalet mellan Doctolib och AWS Luxemburg, garantera efterlevnad av GDPR. Notera att de klagande riktade processen mot Socialdepartementet och inte företaget Doctolib. Anledningen att talan riktades mot Socialdepartementet är processteknisk. Det är endast offentliga organ och privata organisationer som utför offentliga uppdrag som omfattas av den aktuella lagen som ger Högsta förvaltningsdomstolen möjlighet att meddela ett föreläggande.

Enligt GDPR:s ansvarsprincip (accountability) ska den personuppgiftsansvarige för behandlingen visa att de grundläggande principerna efterlevs. Det framgår inte av beslutet vilken part som var den personuppgiftsansvarige för lagringen av data. Mest sannolikt, utifrån hur beslutet är formulerat, är att det är Doctolib (och inte Socialdepartementet) som var den personuppgiftsansvarige. Den personuppgiftsansvarige ska kunna visa att personuppgifterna skyddas av lämpliga säkerhetsåtgärder (d.v.s. informationssäkerhet) och att tillräckliga rättsliga garantier finns enligt avtal med tjänsteleverantörer som behandlar personuppgifter.

Den personuppgiftsansvariges ansvarsskyldighet tar primärt sikte på dennes ansvar att visa efterlevnad i förhållande till tillsynsmyndigheter (i Sverige: Integritetsskyddsmyndigheten) och i viss utsträckning de personer vars personuppgifter behandlas. Ansvarsprincipen tar inte sikte på en tredje parts möjlighet enligt nationell rätt att, som i detta fall, begära att ett förfarande ska stoppas.

Bakgrunden är att den franska lagen som medger Högsta förvaltningsdomstolen att meddela ett föreläggande tar sikte på vad som närmast kan beskrivas som en nödsituation för fri- och rättigheter. Domstolen var tvungen att fatta ett beslut inom 48 timmar. Om en talan hade riktats mot Doctolib mot bakgrund av GDPR kan utgången med andra ord ha blivit en annan. Möjligheten finns också att domstolen hade begärt ett förhandsavgörande från EU-domstolen. Det är dock något som vi endast kan spekulera om.

3. Vilken nivå ska bevisningen nå upp till?

Först kom domstolen till slutsatsen att lagrad data inte var uppgifter om hälsa. Som bekant lagrades två typer av personuppgifter: patientens namn samt datum, tid och plats för vaccinationen. Domstolen ansåg att detta inte är uppgifter om hälsa bland annat eftersom uppgifterna inte avslöjar någon information om de medicinska skälen till vaccinationen. Det medför inte att personuppgifterna är harmlösa eller oförtjänta av skydd. Det medför dock att en annan värdering av riskerna med behandlingen av personuppgifterna behöver göras.

Domstolen kom därefter till slutsatsen att det saknades bevisning för att det skulle vara uppenbart otillräckliga säkerhetsåtgärder som Doctolib vidtagit. Domstolen pekade på två åtgärder: (1) att Doctolib och AWS Luxemburg kompletterat personuppgiftsbiträdesavtalet med ett avtalsreglerat förfarande om en myndighet riktar en begäran mot AWS Luxemburg, och (2) att ett krypteringsförfarande av en tredje part används för att förhindra otillåtet röjande. Dessa åtgärder bedömdes inte som uppenbart otillräckliga. Domstolen redogjorde dessvärre inte närmare för sin bedömning.

Analys

För svenskt vidkommande går det inte att dra några långtgående slutsatser av detta beslut. Rättsläget förblir därför komplext. Anledningarna är flera:

För det första är beslutet på franska och det finns ingen officiell översättning till ett annat språk. Det kräver att läsaren inte bara är bekant med franska; det kräver att läsaren behärskar juridisk franska. Den som har läst juridisk svenska vet att sådan text kan vara mycket svårtolkad för en person med svenska som modersmål. Det medför att en översättning alltid ska tas med en nypa salt med risken för att juridiska nyanser går förlorade i översättningen.

För det andra förutsätter en analys av beslutet kunskap i fransk juridik. Vad som är ett allvarligt brott mot grundläggande fri- och rättigheter framgår av fransk rätt. Vad som krävs för att ett brott ska vara uppenbart framgår även det av fransk rätt. Det är inte nog med att läsa lagtexten utan även domstolspraxis och rättsvetenskapliga analyser bör beaktas.

För det tredje är frågan om bevisbördan. De klagande lyckades inte visa att det var uppenbart att det förelåg en allvarlig överträdelse. Med andra ord hade de klagande inte heller vunnit framgång om det förelåg en uppenbar överträdelse som inte var allvarlig. Ett krav på att en överträdelse ska vara uppenbar eller allvarlig finns inte enligt GDPR.

Därför finns det flera frågor som lämnas obesvarade. Den fråga som är av störst intresse är vilken betydelse som tillägget till personuppgiftsbiträdesavtalet mellan Doctolib och AWS Luxemburg har. Anledningen är att FISA 702 medför en tystnadsplikt för tjänsteleverantören som lämnar ut data till en amerikansk myndighet på begäran. Vilket utrymme finns det att genom avtal hantera sådan extraterritoriell författning? Domstolen varken bekräftar eller avfärdar en sådan lösning. Även frågan om en god nivå av informationssäkerhet, i kombination eller utan kombination med rättsliga skyddsåtgärder, lämnas obesvarad.

Vår slutsats blir därför att detta beslut sannolikt inte är ett prejudikat. Och om det är ett prejudikat är det ett mycket svagt sådant. Anledningen är bevisbördans placering och beviskravet. Beviskravet är så högt ställt och tar endast sikte på allvarliga överträdelser. Något motsvarande beviskrav om allvarliga överträdelser eller att överträdelserna ska vara uppenbara finns inte i GDPR. Det som avgjordes av den franska Högsta förvaltningsdomstolen skiljer sig därför från ett tillsynsbeslut eller en dom som direkt tar sikte på GDPR.

Vill du veta mer?

Du är så klart alltid välkommen att kontakta oss på Secure State Cyber.

Referenser

[1] https://www.conseil-etat.fr/fr/arianeweb/CE/decision/2021-03-12/450163.

[2] Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

[3] Mål C-311/18 Schrems II.