Schrems II en sammanfattning – allt du behöver veta

Schrems II en sammanfattning
Schrems II en sammanfattning. Foto: G Carrie av Unsplash

Den 16 juli 2020 meddelade EU-domstolen Schrems II-domen med betydande konsekvenser för användningen av amerikanska molntjänster. Kunder till amerikanska molntjänstleverantörer måste nu själva verifiera dataskyddslagarna i mottagarlandet, dokumentera sin riskbedömning och kommunicera med sina kunder. Denna artikel förklarar vad Schrems II domen innebär för ditt företag. Lästid: 10 minuter

Sammanfattning av Schrems II

Den 16 juli 2020 ogiltigförklarade Europeiska unionens domstol (EG-domstolen) i sitt ärende C-311/18 dataskyddskommissionär mot Facebook Ireland och Maximillian Schrems (kallat “Schrems II-målet”) EU – USA Privacy Shield. Domstolen ifrågasatte i vilken utsträckning överföringar kan rättfärdigas genom Europeiska Kommissionens standardavtalsklausuler (SCC) för överföringar av personuppgifter till USA och globalt. SCC: s var fortfarande giltiga som en överföringsmekanism i princip men skulle kräva ytterligare arbete.

För att studera fallet i sin helhet, se EG-domstolens fullständiga dom i mål C-311/18.

Bakgrund av Schrems II

Fallet kom från aktivisten Maximilian Schrems uppmaning till den Irländska dataskyddskommissionären att ogiltigförklara SCC för Facebooks användning av överföring av personuppgifter till dess huvudkontor i USA. Personuppgifterna, både vid överföring och vid lagring i USA, hävdades det, kunde nås av Amerikanska underrättelsetjänster. Detta skulle enligt Schrems strida mot GDPR och, i vidare bemärkelse, EU-lagstiftningen.

Huvudregeln i GDPR är att överföringar utanför EU och EES är förbjudna om inte ett adekvat skydd kan användas. Först och främst har vi EU-kommissionens beslut om adekvat skyddsnivå, där EU-kommissionen efter en grundlig utveckling av nationella lagar har kommit fram till att ett lands dataskyddslagar i huvudsak är lika bra som GDPR. Sedan har. vi mekanismerna för säkra överföringar utanför EU/EES, före Schrems II: Privacy Shield, EU:s standardavtalsklausuler och bindande företagsbestämmelser (endast för överföringar inom koncerner). Det finns också möjligheter till undantag från den allmänna principen att ett mottagarland måste ha en adekvat skyddsnivå i artikel 49.

Advertisement

Sharp Cookie Advisors

Affärsjuridik för tech- och tillväxtföretag

www.sharpcookie.se


 

Vad prövades, och vad bestämdes?

Privacy Shield ogiltigförklaras på grund av brister i USA: s lagar

USA:s lagar hade flera brister som hindrar skyddet av personuppgifter och bryter mot GDPR. I huvudsak pekade domstolen på de långtgående möjligheter till övervakning som finns enligt de Amerikanska nationella säkerhetslagarna (nämligen US Foreign Intelligence Surveillance Act (FISA) section 702, Executive Order 12333 och Presidential Policy Directive 28). Dessa lagar reglerar Amerikanska myndigheters tillgång till och användning av personuppgifter som importeras från EU till USA och har inte de kontroller som på ett tillfredsställande sätt skyddar registrerade EU-uppgifter som kan bli föremål för nationella säkerhetsutredningar.

I detalj fann domstolen att de registrerades rättigheter inte var möjliga att agera på vid domstol mot amerikanska myndigheter. Privacy Shield hade övervägt en skyddsmekanism i form av en ombudsman. Ändå hade rollen inte befogenhet att anta beslut som skulle vara bindande för amerikanska underrättelsetjänster.

Företagen måste nu själva kontrollera integritetsskyddet i mottagarlandet för att kunna använda SCC-länderna

Schrems II behandlade också standardavtalsklausuler (SCC). Den ställde frågan om de SCC som europeiska kommissionen beslutade om var giltiga i samband med överföringar till USA. Domstolen beslutade att även om SCCs fortfarande är giltiga, kräver de ytterligare arbete. Företagen måste se till att mottagarlandet har ett likvärdigt dataskydd som EU:s. De kan inte förlita sig på SCCs ensam – tiden att “underteckna och glömma” är över.

“Eftersom det genom sin inneboende avtalsmässiga naturstandard inte kan binda tredjeländers offentliga myndigheter…” (Dom, punkt 132)

“I detta avseende grundar sig, såsom generaladvokaten har anfört i punkt 126 i sitt yttrande, den avtalsmekanism som föreskrivs i artikel 46.2 c i GDPR på ansvar av den registeransvarige eller hans eller hennes underleverantör som är etablerad i Europeiska Unionen och i andra hand behörig tillsynsmyndighet. Det är därför framför allt denna registeransvarige eller registerföraren att från fall till fall och i förekommande fall i samarbete med uppgiftsmottagaren kontrollera om lagstiftningen i det tredje land som är bestämmelseland säkerställer ett adekvat skydd, enligt unionsrätten, av personuppgifter som överförs enligt standardklausuler om uppgiftsskydd, genom att vid behov tillhandahålla ytterligare skyddsåtgärder till dem som erbjuds genom dessa klausuler. (Dom, punkt 134)

Om den registeransvarige eller en registerförare som är etablerad i Europeiska unionen inte kan vidta adekvata ytterligare åtgärder för att garantera ett sådant skydd, är den registeransvarige eller registerföraren eller, om detta inte är tillämplig, den behöriga tillsynsmyndigheten, skyldiga att tillfälligt eller avsluta överföringen av personuppgifter till det berörda tredjelandet. Detta är särskilt fallet när lagen i detta tredjeland ålägger mottagaren av personuppgifter från Europeiska unionen skyldigheter som strider mot dessa klausuler och således är kapabla att på ett adekvat sätt inbelägga en adekvat skyddsnivå mot tillträde från det tredjelandets offentliga myndigheter till dessa uppgifter.” (Dom, punkt 135)

Ett företag som gör data tillgängliga för potentiell gränsöverskridande överföring (inklusive vanliga fall när ett icke-EU-tillhandahållare används) ska informera sig om och bedöma mottagarlandets nivå av efterlevnad av gdpr.

Domstolen betonade uppgiftstillståelsens befintliga skyldighet att säkerställa ett adekvat skydd av uppgifterna innan någon uppgift exporteras. Mottagaren är skyldig att informera exportören om eventuella hinder för dess efterlevnad till SCC:s. Om förekomsten av lokala övervakningslagar som skulle hindra anpassningen till GDPR, då exportören (läs dina kunder) måste stoppa överföringen och avsluta kontraktet. Om uppgiftsexportören inte lyckas med sina skyldigheter enligt SCC måste den ledande tillsynsmyndigheten ingripa och kan förbjuda överföringen.

Analys av den aktuella situationen med hjälp av amerikanska tjänsteleverantörer

Organisationer bör utan dröjsmål bekräfta att gränsöverskridande dataöverföringar som de ansvarar för att följa GDPR och denna nyligen genomförda EU-domstolens bedömning.

Agera på ogiltigförklaring av EU-USA Privacy Shield

  • Det kommer sannolikt inte att bli någon bred tillämpning av fallet under de kommande månaderna, precis som förra gången när prequel till Privacy Shield, EU-USA Safe Harbour mekanism, ogiltigförklarades.
  • Om ditt företag har affärsintressen på marknaderna med mer omedelbar strikt tillämpning, t.ex.
  • Börja inte använda EU–US Privacy Shield under denna period.
  • Överväg att byta till ett alternativt skydd (till exempel SCC).
    • Standardavtalsklausuler om dataskydd (SCC).
    • Bindande företagsregler (BCRs).
    • Uppförandekoder.
    • Certifieringsmekanismer.
    • Avtalsklausuler för särskilda ändamål.
    • Dessutom kan det vara möjligt att använda de undantag som anges i artikel 49 i GDPR.
  • Fundera på om det finns alternativa leverantörer utanför USA

Arbete som krävs för att fortsätta att använda SCC (Standard Contracting Clauses)

  • Identifiera de gränsöverskridande överföringarna under ditt ansvar.
  • Utför en nyanserad analys av mottagarlandets nivå av dataskyddsefterlevnad med GDPR. Är några länder i Five Eyes Alliance inblandade (Australien, Kanada, Nya Zeeland, Storbritannien och USA), krävs en djupgående analys.
  • Hjälp dina kunder och leverantörer att verifiera den dataskyddsnivå som gäller för eventuell dataexport under ditt ansvar. Sammanställa din integritetsdokumentation, följsamhet till relevanta ISO eller andra standarder, uppförandekoder, eventuella tidigare föregående konsultationer från din tillsynsmyndighet?
  • Håll reda på eventuella nya och uppdaterade riktlinjer från de europeiska tillsynsmyndigheterna för dataskydd hur de ska använda SCC:s och deras redogörelse för lagligheten i eventuella dataöverföringar i vissa länder.
  • Övervaka varje ny release av en uppsättning uppdaterade SCC: s av Europeiska kommissionen som kommer inom kort att ta itu med de risker som identifierats av domstolen för export till USA.
  • Lägg till ytterligare skyddsåtgärder till SCC:s (så kallade SCC:s plus) där exportören och importören reglerar eventuella återstående risker i samband med dataöverföringen. Sådana andra skyddsåtgärder kan innebära ytterligare tekniska kontroller och avtalsenliga skyldigheter om hur vidare överföringar och påtvingade upplysningar ska skötas till myndigheter.

Ytterligare komplikationer med hjälp av SCC för amerikanska tjänster

Tänk på att denna dom har begränsad inverkan för de flesta företag som använder SCC att legitimera sina gränsöverskridande dataöverföringar när överföringarna sker via sina egna icke-amerikanska kommunikationssystem.

För eventuella usa-överföringar, bedöm om mottagarorganisationen omfattas av FISA avsnitt 702 och Executive Order 12333, som vanligtvis gäller där mottagaren är leverantör av kommunikationstjänster.

Lägg till ytterligare skyddsåtgärder till SCC:s (så kallade SCC:s plus) där exportören och importören reglerar eventuella återstående risker i samband med dataöverföringen. För överföringar till USA kommer det att vara avgörande att inkludera i avtalet; till exempel hur myndighetsförfrågningar om åtkomst till personuppgifter måste hanteras för att säkerställa att din organisation har tillräckligt med kontroll. Och även tekniska kontroller för att begränsa användningen av uppgifterna skulle kunna genomföras.

Den bredare betydelsen av domstolens kriterier för global dataexport

Tillämpa domstolens kriterier för att fastställa mottagarlandets integritetslagstiftning, verkar det troligt att tillsynsmyndigheten har övervakningslagar i länderna i underrättelsetjänsten alliansen Five Eyes som inte är tillräckliga för GDPR. Notera att Five Eyes-alliansen bestående av Australien, Kanada, Nya Zeeland, Storbritannien och USA). Företag som är verksamma på dessa marknader kan överväga att genomföra ytterligare tekniska skyddsåtgärder för sina dataöverföringar för att vara på den säkra sidan av verkställigheten.

För närvarande håller EU-kommissionen på att utvärdera Storbritanniens lagstiftning om integritetsskydd för att besluta om ett beslut om adekvat skydd ska tillhandahållas eller inte i slutet av 2020. I avsaknad av ett beslut om adekvat skydd kommer 2021, rekommenderar vi att införa ytterligare skyddsåtgärder för alla brittiska dataöverföringar.

Kommer det att finnas en respitperiod för Schrems II dom?

Ogiltigheten av Privacy Shield var omedelbar. Från och med den 16 juli 2020 var Privacy Shield ogiltig och bör inte användas. Från och med nu (den 23 november 2020) finns det ingen proaktiv tillämpning från tillsynsmyndigheterna. Tillsynsmyndigheterna verkar ta en pragmatisk hållning som gör det möjligt för organisationer att anpassa sina processer och infrastruktur. Särskilt efterlängtad är vägledningen från EU-Kommissionen och Europeiska dataskyddsstyrelsen om hur man ska agera efter Schrems II, vilket kommer att ge mer klarhet.

Noterbart är att aktivistgruppen bakom denna dom (noyb) under hösten har stämt 101 europeiska företag (inklusive marknadsledande nordiska och svenska företag) som söker verkställighet av sin användning av Google Analytics och Facebook Connect integrationer i sina webbplatser. Användningen av Google Analytics påstås bryta mot dataöverföringsmekanismer eftersom Google förlitar sig på SCC för vidare överföring till Google i USA.

Kan vår organisation använda Privacy Shield som en mekanism för att överföra data till USA?

Nej, EU-domstolen ogiltigförklarade skölden för skydd av privatlivet med omedelbar verkan den 16 juli 2020, samma dag som dess Schrems II-dom. Om det finns ett behov av att överföra personuppgifter till USA, överväga en alternativ rättslig grund.

Kan vi fortsätta att använda bindande företagsregler som en mekanism för att överföra data till USA?

Schrems II-domen kan påverka överföringar som sker baserat på bindande företagsbestämmelser (BCR). Mottagarlandet utanför EU/EES:s lagstiftning måste analyseras för att se om landet erbjuder ett likvärdigt skydd för privatlivet som exempelvis GDPR.

Det är upp till den organisation som exporterar uppgifter till USA eller ett annat tredjeland att utföra en överföringsriskbedömning. Vid en sådan bedömning dokumenteras en analys av dataflödet, leverantörens tillgång till uppgifterna, mottagarlandets lagstiftning, om ytterligare skyddsåtgärder är tillämpliga på SCC:erna och alternativ till leverantören.

När de nationella tillsynsmyndigheterna godkänner bindande företagsbestämmelser görs kontroll av de bcrs för att se till att reglerna uppfyller GDPRs krav. BCRs innehåller regler hur en viss företagsgrupp följer grundläggande dataskyddsprinciper som till exempel ändamålsbegränsning, dataminimering, de registrerades rättigheter och hur man hanterar klagomål. Det är upp till företagsgruppen att se till att mottagarländernas nationella lagstiftning respekterar GDPR.

Ett godkännande från en nationell tillsynsmyndighet innebär inte att alla överföringar godkänns automatiskt. Den nationella tillsynsmyndigheten gör ingen analys av om mottagarlandets lagstiftning uppfyller de allmänna GDPR kraven.

Checklista och överväganden för överensstämmelse med Schrems II

  1. Gör en inventering av alla leverantörer och underleverantörer och partner utanför EU (vilket involverar dataöverföringar utanför EU/EES). Granska dina register över bearbetning som bör inkludera denna information. Glöm inte att undersöka underbiträdena till dina leverantörer.
  2. Bedöma lagarna i det land du överför personuppgifter till.
  3. För att kunna använda överföringsdata med hjälp av SCC bör du dokumentera din riskbedömning av leverantörerna/mottagarna av data. Granska om det finns undantag från de strikta kraven på gränsöverskridande överföringar för dig, se över effektiviteten med hjälp av tekniska kontroller och, där så är möjligt, konstruera ytterligare skyddsåtgärder och begära dessa tillägg till SCCs på plats.
  4. Granska eventuella leverantörsrelationer som involverar dataöverföringar till USA, är leverantören och dess lösning nödvändig eller kan du ändra lösning och/eller leverantör?
  5. Kunder inom den offentliga sektorn kan kräva alternativ infrastrukturuppsättning på grund av de ytterligare begränsningar av dataöverföringar som gäller för säkerhetsklassificerade personuppgifter inom den offentliga sektorn (eftersom kryptering och andra tekniska kontroller kanske inte räcker enligt rättspraxis för att möjliggöra fortsatt användning av sådan leverantör och tjänst).
  6. Utvärdera hybridmolnlösningar. Granska i vilken utsträckning din organisation kan åta sig att moln och infrastruktur lösningar som tillhandahålls av amerikanska-, global-, europeiska- och svenska molntjänster leverantörer, respektive.
  7. Gör planer för att inleda samråd i förväg med dataskyddsmyndigheten för att få acceptans för din konsekvensbedömning för överföring och alternativa set-up.
  8. Uppdatera eventuella biträdesavtal som tillämpligt, och ändra biträde om din analys kommer till den slutsatsen.
  9. Uppdatera eventuella interna dataskyddspolicies för att hålla din organisation i linje med denna nya situation.
  10. Uppdatera den externa informationen som privacy notice, integritetsskyddsmeddelande för att informera dina besökare och kunder om hur du uppfyller ditt ansvar som ansvarig/biträde.

Det är viktigt att dokumentera de åtgärder som vidtagits. Det är också viktigt att omvärdera dessa åtgärder att lämpliga intervall. Allt som allt innebär domstolarnas beslut inte att överföringar av personuppgifter till USA har omöjliggörs, utan blivit mer begränsad.

LÄMNA ETT SVAR

Please enter your comment!
Please enter your name here