Standardavtalsklausuler för överföring av data till tredjeland

En guide till möjligheten att använda standardavtalsklausuler för att överföra data till USA och andra länder utanför EU

Bakgrund – Schrems II-målet

 Det finns genom GDPR ett starkt skydd för personuppgifter i EU. Eftersom detta skydd endast gäller inom EU finns det en grundregel om att personuppgifter inte får överföras till ett land som inte har samma, eller likvärdiga, skyddsregler. Sådana länder kallas för tredje land och det är som huvudregler förbjudet att överföra personuppgifter dit. [1]

 Huvudregeln har ett antal undantag. Det mest använda undantaget är handelsavtalet mellan USA och EU som kallas Privacy Shield, som är en självcertifieringsmöjlighet för amerikanska bolag att visa att de genom egna rutiner och processer skyddar personuppgifter på ett likvärdigt sätt. Det finns även möjlighet att ingå EU-kommissionens standardavtalsklausuler mellan två parter där parterna genom avtalet garanterar att de genom egna rutiner och processer ska skydda personuppgifterna.

Den österrikiske juristen och integritetsaktivisten Max Schrems gjorde i det s.k. Schrems II-målet[2] gällande att Facebook var skyldig att ställa överförda personuppgifter till amerikanska myndigheters förfogande, såsom National Security Agency (NSA). Dessa uppgifter användes sedan inom ramen för olika övervakningsprogram på ett sätt som var oförenligt med rätten till privatliv, dataskydd och rätten till effektiva rättsmedel vid en domstol vilket i praktiken, menade Schrems, innebar att skyddet som Privacy Shield och kommissionens standardvillkor var verkningslösa.[3]

 För att göra en lång historia kort: EU-domstolen valde att ogiltigförklara Privacy Shield. Sedan den 16 juli 2020 kan med andra ord Privacy Shield inte längre användas som en skyddsmekanism för överföring till USA. Vi fick också närmare vägledning om användningen av standardavtalsklausulerna, vilket är i fokus för denna artikel.

I praktiken påverkar Schrems II-domen betydligt fler scenarion än överföring av personuppgifter till USA. Till exempel finns det viktiga världsekonomier som har ett ännu sämre lagskydd för personlig integritet än USA – under vilka förutsättningar kan uppgifter överföras till Kina?

 Vad är en överföring?

Först är det dock nödvändigt att närmare klargöra vad som avses med överföring av personuppgifter till ett tredje land, eftersom det är överföring som standardavtalsklausulerna omfattar. Med överföring avses inte endast att personuppgifter fysiskt lagras på en server i ett tredje land. Andra former av överföring är om en användare i ett tredje land har behörig åtkomst till personuppgifter från EU/EES. En HR-medarbetare som mejlar en mottagare i USA med uppgifter om anställda i ett europeiskt koncernbolag överför personuppgifter till USA. En medarbetare på affärsresa i Kina som loggar in på ett system och därigenom får åtkomst till uppgifter om europeiska kunder överför personuppgifter till Kina. Överföring av personuppgifter kan med andra ord ske i många olika former.[4]

 Standardavtalsklausulerna

EU-domstolen prövade i Schrems II om standardavtalsklausulerna som kommissionen har antagit är korrekta. EU-domstolens svar var att standardavtalsklausulerna kan användas, men den personuppgiftsansvarige kan inte enbart luta sig mot dessa. Klausulerna måste i det enskilda fallet ge en skyddsnivå som ger en väsentligen likvärdig skyddsnivå för registrerade som den som finns i EU på grundval av GPDR. De krav som ställs på organisationer som vill överföra personuppgifter till USA eller ett annat tredje land är därför långtgående.

 EU-domstolen tar även tillfället i akt att påminna om att Datainspektionen och andra europeiska tillsynsmyndigheter är skyldiga att avbryta eller förbjuda en överföring av personuppgifter till ett tredjeland om den, mot bakgrund av samtliga omständigheter i samband med överföring, anser att de standardavtalsklausulerna inte iakttas eller inte kan iakttas i det tredjelandet.

Hur kan standardavtalsklausuler användas?

Standardavtalsklausulerna utgör i praktiken den primära skyddsmekanismen för överföring av personuppgifter under en överskådlig framtid. Det är därför nödvändigt att hitta en lösning på när och hur standardavtalsklausulerna kan användas. Därför presenterar vi här hur på Secure State Cyber arbetar med dessa bedömningar inom ramen för vår rådgivning.

Steg 1: kartlägga befintlig och planerad tredjelandsöverföring

Inledningsvis har den personuppgiftsansvarige en ansvarsskyldighet, d.v.s. en skyldighet enlig lag att kunna visa för en tillsynsmyndighet att de grundläggande principerna för behandling av personuppgifter efterlevs. Det första steget bör därför vara att kartlägga befintlig och planerad tredjelandsöverföring, till vilka tredjeländer personuppgifter överförs samt vilka skyddsmekanismer som kan tillämpas. Vid kartläggningen är det viktigt att komma ihåg att överföring även innefattar behörig åtkomst av personuppgifter (se avsnitten Vad är en överföring, ovan).

 Denna kartläggning ska dokumenteras i organisationens registerförteckning. En registerförteckning är, som namnet antyder, en förteckning över den behandling av personuppgifter som sker under organisationens ansvar. Denna registerförteckning ska kunna visas för Datainspektionen på begäran och bör utgöra grunden för bedömningar om standardavtalsklausuler kan och bör användas.

Steg 2: kontakta mottagare i tredje land, särskilt USA

Vi rekommenderar att ni kontaktar mottagare av personuppgifter i tredje land – särskilt USA – för att höra hur de ställer sig till det ändrade rättsläget efter Schrems II. Mottagare kan vara tjänsteleverantörer, personuppgiftsbiträden (som behandlar personuppgifter på ert uppdrag) men även kunder och samarbetspartners.

Ställ förhållandevis öppna frågor av karaktären ”vad innebär det för er att Privacy Shield blivit ogiltigförklarad?” I detta steget bör ni inte teckna några avtal, särskilt inte utan att konsultera sakkunniga. Syftet är att inhämta information som är värdefullt för kartläggning och andra bedömningar.

Steg 3: bedöm den aktuella överföringen

När en organisation har kartlagt vilka överföringar som sker är det nödvändigt att utvärdera överföringarna eftersom, som EU-domstolen konstaterar, det är nödvändigt att göra en bedömning i det enskilda fallet. Det är nödvändigt att besvara frågor som (1) för vilket eller vilka ändamål överförs personuppgifterna, (2) ska personuppgifterna vidareöverföras till andra tredjeländer, (3) vilka personuppgifter överförs, och (4) vad är mängden personuppgifter som överförs? Det kommer vara svårare att motivera en storskalig överföring av känsliga personuppgifter (som t.ex. omfattas av sekretess enligt offentlighets- och sekretesslagen) än småskalig överföring i enstaka fall av uppgifter som inte är av känslig art.

 Steg 4: analys av mottagarlandet

Mot denna bakgrund bör den personuppgiftsansvarige göra en analys om mottagarlandets lagstiftning. Hur långtgående och detaljerad denna analys behöver vara behöver bedömas i förhållande till den aktuella överföringen. Vid en storskalig överföring till en molntjänst kan det till exempel vara lämpligt att ta hänsyn om molntjänsteleverantören har en skyldighet att lämna ut data till rättsvårdande myndigheter, rättssäkerhetsgarantier för enskilda personer vid en sådan begäran (som möjligheten att överklaga en begäran) samt det mandat som mottagarlandets tillsynsmyndigheter har.

Steg 5: säkerhetsåtgärder

Parallellt med bedömningen om personuppgifter ska få överföras till ett tredje land och på grundval av standardavtalsklausuler eller en annan skyddsmekanism är det också nödvändigt att bedöma vilka tekniska och organisatoriska säkerhetsåtgärder som är lämpliga för att skydda personuppgifter. Om personuppgifter som planeras överföras endast ska tekniskt bearbetas genom lagring och säkerhetskopiering kan kryptering av data medföra en minskad risk för att den personliga integriteten äventyras. Om mottagaren i ett tredje land däremot ska kunna läsa eller ta del av den lagrade data är kryptering en mindre lämplig skyddsåtgärd. Vad som är en lämplig nivå av säkerhetsåtgärder behöver bedömas utifrån den aktuella överföringen.

 Steg 6: samråd med dataskyddsombudet och beslut

Det är inget uttryckligt krav men vi rekommenderar att den personuppgiftsansvarige samråder med dataskyddsombudet och ber om dennes rekommendation om standardavtalsklausuler är en lämplig skyddsmekanism för den aktuella överföringen. Vid en tillsyn av Datainspektionen bör det vara till den personuppgiftsansvariges fördel att dataskyddsombudet konsulterats och att detta dokumenteras.

 Efter dataskyddsombudets rekommendation är det lämpligt att fatta beslut om den aktuella överföringen ska ske, och om standardavtalsklausuler är en lämplig skyddsmekanism.

 Steg 7: informera de registrerade

Avslutningsvis har den personuppgiftsansvarige en informationsskyldighet där registrerade personer ska informeras om att personuppgifter avses överföras till ett tredje land. Denna information ska inkludera vilket det aktuella tredjelandet är, om ett beslut från

EU-kommissionen om adekvat skyddsnivå finns eller saknas, samt vilken skyddsmekanism som används och hur den registrerade personen kan ta del av en kopia av skyddsmekanismen. Om standardavtalsklausuler används har den registrerade personen med andra ord en principiell rättighet att ta den av en kopia en de standardavtalsklausuler som tecknats. All denna information ska enligt GDPR tillhandahållas innan överföringen av personuppgifter sker, med ett språk som är klart och tydligt för den avsedda målgruppen.

 Avslutande ord

Den bedömning som behöver göras innan standardavtalsklausuler kan tecknas är mycket komplex. Därför är det viktigt att ha en tydlig arbetsmetod som bedömningarna görs utifrån. Det ger även organisationen möjlighet att prioritera arbetet utifrån de överföringar som är förknippade med en högre risk. Sist men inte minst bör denna bedömning dokumenteras steg för steg för att möjliggöra en granskning. Det är en sak att ha rätt och en annan sak att få rätt, i kontexten GDPR måste den personuppgiftsansvarige alltid komma ihåg att denne ska kunna visa efterlevnad.

2020-09-07

Secure State Cyber AB

[1] Bestämmelserna omfattar även överföring till internationella organisationer, det är dock inget som utvecklas närmare i denna artikel.

[2] Mål C-311/18 Facebook Ireland v. Schrems (”Schrems II”).

[3] Artikel 7, 8 och 47 Rättighetsstadgan.

[4] EU-domstolen har utvecklat vad som avses med överföring i mål C-101/01 Konfirmandlärarmålet.