Rekommendationer om europeiska nödvändiga garantier

Rekommendation om europeiska nödvändiga garantier
Rekommendation om europeiska nödvändiga garantier

I kölvattnet av Schrems II-domen har Europeiska dataskyddsstyrelsen utfärdat en rekommendation om hur man bedömer den rättsliga ramen i ett tredjeland om det uppfyller den allmänna dataskyddsförordningen och EU-lagstiftningen. I den här artikeln kommer vi att sammanfatta de europeiska rekommendationerna om väsentliga garantier.

Bakgrund

I efterdyningarna av EU-domstolens dom i Schrems II-målet har EDPB utfärdat två nya rekommendationer kopplade till hur en organisation kan bedöma om överföringen utanför EU/EES kan ske på ett lagligt sätt.

I sin rekommendation 02/2020 om europeiska nödvändiga garantier för övervakningsåtgärder (antagen den 10 november 2020) förklarar EDPB hur företag bör arbeta när de bedömer om lagstiftningen i ett tredjeland (land utanför EU/EES) skulle möjliggöra en dataöverföring. Detta är viktigt eftersom ett (av sex) steg i bedömningen är att avgöra om tredjelandets lagstiftning kan hindra skyddet av personuppgifter.

Rekommendationen innehåller en bedömningsprocess i sex steg och ger information om “kompletterande åtgärder” som du kan använda för att komplettera ditt valda verktyg för överföring till tredje land.

De europeiska nödvändiga garantierna

De europeiska nödvändiga garantierna bygger på rättspraxis från Europeiska unionens domstol. Den 13 april 2016 utfärdade Artikel 29-gruppen, föregångaren till EDPB, ett arbetsdokument om dataöverföringar som undersöker effekterna av nationell lagstiftning om övervakningsåtgärder (fullständig version av den gamla WP 237). De nya rekommendationerna från EDPB bygger på detta arbete.

Advertisement

Behöver du affärsjuridiskt stöd?

Läs mer om den affärsjuridiska byrån Sharp Cookie Advisors


Till exempel ger CLOUD Act och FISA 702 amerikanska myndigheter rätt att i vissa fall få tillgång till data från amerikanska företag oavsett var sådana uppgifter lagras.

Som nämnts ovan är ett av stegen i EDPB:s vägledning att bedöma lagstiftningen i tredjeländer och denna bedömning kan delas upp i 4 garantier:

  • Behandlingen bör baseras på tydliga, exakta och tillgängliga regler.
  • Nödvändighet och proportionalitet i förhållande till de legitima mål som eftersträvas måste kunna uppvisas.
  • Det bör finnas en oberoende tillsynsmekanism.
  • Effektiva rättsmedel måste finnas tillgängliga för den enskilde.

Du ska bedöma dessa olika delar för att avgöra om lagstiftningen i ett tredjeland gör det möjligt att ge personuppgifter samma skyddsnivå som inom EU/EES.

Behandlingen bör baseras på tydliga, exakta och tillgängliga regler

Som en första del av rekommendationerna om europeiska nödvändiga garantier ska du bedöma om tredjelandets lagstiftning är tydlig, exakt och tillgänglig. När det gäller kriteriet “tydliga och exakta” är utvärderingen som det låter att ni bör avgöra om reglerna i tredjelandet är tydliga och exakta. Det är även en indikation på om reglerna tillämpas enhetligt och kan förutses, vilket är nödvändigt för bedömningen.

Nödvändigheten och proportionaliteten i förhållande till de legitima mål som eftersträvas måste påvisas

Principerna om nödvändighet och proportionalitet är kopplade till varandra och EDPB anger att du ska balansera begränsning av dataskydd mot vikten av allmänintresset i tredjelandet. När det gäller hur du kan bedöma proportionaliteten anger EDPB i sina rekommendationer om nödvändiga europeiska garantier att

Avseende proportionalitetsprincipen slog domstolen, med avseende på medlemsstaternas rättsordningar, fast att frågan huruvida en begränsning av rätten till privatliv och trätt till skydd för personuppgifter ska bedömas dels genom mätning av allvarlighet i det ingrepp som en sådan begränsning medför och genom att kontrollera att betydelsen av det mål av allmänintresse som eftersträvas med denna begränsning står i proportion till allvarligheten, å andra sidan.” (Punkt 33 i rekommendationen.)

EDPB anger till exempel också att kravet på att skydda den nationella säkerheten under vissa omständigheter kan motivera ett allvarligt ingrepp i de grundläggande rättigheterna.

EDPB anger när det gäller nödvändighetsprincipen att tredjelandets lagstiftning måste respektera denna princip. EU-domstolen konstaterar också att lagar som tillåter generell tillgång till uppgifter utan objektiva kriterier i allmänhet inte är förenliga med principen.

Oberoende tillsynsmekanism

EDPB anger att alla ingrepp i rätten till integritet och dataskydd bör omfattas av ett effektivt, oberoende och opartiskt tillsynssystem. Detta bör antingen göras av en domare eller en annan oberoende part som till exempel kan vara en administrativ myndighet eller ett parlamentariskt organ.

EDPB rekommenderar att bedömningen av en domstol/ett förvaltningsorgan är oberoende och kan uppfylla de övriga kraven med hänvisning till om dess ledamöter är politiskt tillsatta personer eller om dess verksamhet är öppen för allmänheten.

Effektiva rättsmedel måste finnas tillgängliga för den enskilde

Den sista punkten i rekommendationerna om de europeiska nödvändiga garantierna är att den enskilde ska kunna ha effektiva rättsmedel och sätt att ifrågasätta lagligheten i all övervakning som kan störa skyddet av deras personuppgifter och kränka deras integritet.

Sammanfattning

Du kan sammanfatta rekommendationerna om europeiska nödvändiga garantier till följande fyra garantier som du ska se till att de uppfylls:

  1. Behandlingen bör baseras på tydliga, exakta och tillgängliga regler.
  2. Nödvändigheten och proportionaliteten i förhållande till de legitima mål som eftersträvas måste påvisas.
  3. Oberoende tillsynsmekanism. och
  4. Effektiva rättsmedel måste finnas tillgängliga för den enskilde.

Baserat på bedömningen av dessa fyra kriterier kan du bedöma om tredjelandets lagstiftning kan inkräkta på dataskyddet.

Du måste göra en tolkning av de fyra garantierna eftersom tredjelandets lagstiftning inte behöver vara identisk med GDPR och EU:s rättsliga ram.

EDPB drar slutsatsen att: “Som Europadomstolen konstaterade i målet Kennedy beror en bedömning på alla omständigheter i fallet, såsom de möjliga åtgärdernas art, omfattning och varaktighet, de skäl som krävs för att beordra dem, de myndigheter som är behöriga att godkänna, genomföra och övervaka dem och vilken typ av rättsmedel som föreskrivs i nationell lagstiftning”(Europadomstolens dom av den 18 maj 2010 i målet Kennedy mot Förenade kungariket, punkt 153)

Din analys kan leda till slutsatsen att:

  1. antingen säkerställer tredjelandets lagstiftning inte kraven och landet kan inte erbjuda en skyddsnivå som är väsentligen likvärdig med den som garanteras inom EU,
  2. eller om lagstiftningen i tredjelandet uppfyller kraven.

I det första fallet, när exportören förlitar sig på en alternativ skyddsåtgärd (standardavtalsklausuler, bindande företagsregler osv.) måste exportören se till att uppgifterna skyddas genom att implementera lämpliga skyddsåtgärder och kompletterande åtgärder. Om dessa inte är tillämpliga kan överföringen inte fortsätta.

Har du några frågor om hur din organisation kan överföra data utanför EU/EES, kontakta oss på info[a]sharpcookie.se

LÄMNA ETT SVAR

Please enter your comment!
Please enter your name here