{"id":7595,"date":"2021-03-14T08:30:18","date_gmt":"2021-03-14T07:30:18","guid":{"rendered":"https:\/\/www.gdprsummary.com\/?p=7595&preview=true&preview_id=7595"},"modified":"2022-08-28T17:24:51","modified_gmt":"2022-08-28T15:24:51","slug":"schrems-ii-en-sammanfattning-allt-du-behover-veta","status":"publish","type":"post","link":"https:\/\/www.gdprsummary.com\/sv\/schrems-ii-en-sammanfattning-allt-du-behover-veta\/","title":{"rendered":"Schrems II en sammanfattning – allt du beh\u00f6ver veta"},"content":{"rendered":"\n

Den 16 juli 2020 meddelade EU-domstolen Schrems II-domen med betydande konsekvenser f\u00f6r anv\u00e4ndningen av amerikanska molntj\u00e4nster. Kunder till amerikanska molntj\u00e4nstleverant\u00f6rer m\u00e5ste nu sj\u00e4lva verifiera dataskyddslagarna i mottagarlandet, dokumentera sin riskbed\u00f6mning och kommunicera med sina kunder. Denna artikel f\u00f6rklarar vad Schrems II domen inneb\u00e4r f\u00f6r ditt f\u00f6retag.<\/strong> L\u00e4stid:<\/em> 10 minuter<\/p>\n\n\n\n

Sammanfattning av Schrems II<\/h2>\n\n\n\n

Den 16 juli 2020 ogiltigf\u00f6rklarade Europeiska unionens domstol (EG-domstolen) i sitt \u00e4rende C-311\/18 dataskyddskommission\u00e4r mot Facebook Ireland och Maximillian Schrems (kallat ”Schrems II-m\u00e5let”) EU – USA Privacy Shield. Domstolen ifr\u00e5gasatte i vilken utstr\u00e4ckning \u00f6verf\u00f6ringar kan r\u00e4ttf\u00e4rdigas genom Europeiska Kommissionens standardavtalsklausuler (SCC) f\u00f6r \u00f6verf\u00f6ringar av personuppgifter till USA och globalt. SCC: s var fortfarande giltiga som en \u00f6verf\u00f6ringsmekanism i princip men skulle kr\u00e4va ytterligare arbete.<\/p>\n\n\n\n

F\u00f6r att studera fallet i sin helhet, se EG-domstolens fullst\u00e4ndiga dom i m\u00e5l C-311\/18<\/a>.<\/p>\n\n\n\n

Bakgrund av Schrems II<\/h2>\n\n\n\n

Fallet kom fr\u00e5n aktivisten Maximilian Schrems uppmaning till den Irl\u00e4ndska dataskyddskommission\u00e4ren att ogiltigf\u00f6rklara SCC f\u00f6r Facebooks anv\u00e4ndning av \u00f6verf\u00f6ring av personuppgifter till dess huvudkontor i USA. Personuppgifterna, b\u00e5de vid \u00f6verf\u00f6ring och vid lagring i USA, h\u00e4vdades det, kunde n\u00e5s av Amerikanska underr\u00e4ttelsetj\u00e4nster. Detta skulle enligt Schrems strida mot GDPR och, i vidare bem\u00e4rkelse, EU-lagstiftningen.<\/p>\n\n\n\n

Huvudregeln i GDPR \u00e4r att \u00f6verf\u00f6ringar utanf\u00f6r EU och EES \u00e4r f\u00f6rbjudna om inte ett adekvat skydd kan anv\u00e4ndas. F\u00f6rst och fr\u00e4mst har vi EU-kommissionens beslut om adekvat skyddsniv\u00e5, d\u00e4r EU-kommissionen efter en grundlig utveckling av nationella lagar har kommit fram till att ett lands dataskyddslagar i huvudsak \u00e4r lika bra som GDPR. Sedan har. vi mekanismerna f\u00f6r s\u00e4kra \u00f6verf\u00f6ringar utanf\u00f6r EU\/EES, f\u00f6re Schrems II: Privacy Shield, EU:s standardavtalsklausuler och bindande f\u00f6retagsbest\u00e4mmelser (endast f\u00f6r \u00f6verf\u00f6ringar inom koncerner). Det finns ocks\u00e5 m\u00f6jligheter till undantag fr\u00e5n den allm\u00e4nna principen att ett mottagarland m\u00e5ste ha en adekvat skyddsniv\u00e5 i artikel 49<\/a>.<\/p>\n\n\n\n

Vad pr\u00f6vades, och vad best\u00e4mdes?<\/h2>\n\n\n\n

Privacy Shield ogiltigf\u00f6rklaras p\u00e5 grund av brister i USA: s lagar<\/h3>\n\n\n\n

USA:s lagar hade flera brister som hindrar skyddet av personuppgifter och bryter mot GDPR. I huvudsak pekade domstolen p\u00e5 de l\u00e5ngtg\u00e5ende m\u00f6jligheter till \u00f6vervakning som finns enligt de Amerikanska nationella s\u00e4kerhetslagarna (n\u00e4mligen US Foreign Intelligence Surveillance Act (FISA) section 702, Executive Order 12333 och Presidential Policy Directive 28). Dessa lagar reglerar Amerikanska myndigheters tillg\u00e5ng till och anv\u00e4ndning av personuppgifter som importeras fr\u00e5n EU till USA och har inte de kontroller som p\u00e5 ett tillfredsst\u00e4llande s\u00e4tt skyddar registrerade EU-uppgifter som kan bli f\u00f6rem\u00e5l f\u00f6r nationella s\u00e4kerhetsutredningar.<\/p>\n\n\n\n

I detalj fann domstolen att de registrerades r\u00e4ttigheter inte var m\u00f6jliga att agera p\u00e5 vid domstol mot amerikanska myndigheter. Privacy Shield hade \u00f6verv\u00e4gt en skyddsmekanism i form av en ombudsman. \u00c4nd\u00e5 hade rollen inte befogenhet att anta beslut som skulle vara bindande f\u00f6r amerikanska underr\u00e4ttelsetj\u00e4nster.<\/p>\n\n\n\n

F\u00f6retagen m\u00e5ste nu sj\u00e4lva kontrollera integritetsskyddet i mottagarlandet f\u00f6r att kunna anv\u00e4nda SCC-l\u00e4nderna<\/h3>\n\n\n\n

Schrems II behandlade ocks\u00e5 standardavtalsklausuler (SCC). Den st\u00e4llde fr\u00e5gan om de SCC som europeiska kommissionen beslutade om var giltiga i samband med \u00f6verf\u00f6ringar till USA. Domstolen beslutade att \u00e4ven om SCCs fortfarande \u00e4r giltiga, kr\u00e4ver de ytterligare arbete. F\u00f6retagen m\u00e5ste se till att mottagarlandet har ett likv\u00e4rdigt dataskydd som EU:s. De kan inte f\u00f6rlita sig p\u00e5 SCCs ensam – tiden att ”underteckna och gl\u00f6mma” \u00e4r \u00f6ver. <\/p>\n\n\n\n

”Eftersom det genom sin inneboende avtalsm\u00e4ssiga naturstandard inte kan binda tredjel\u00e4nders offentliga myndigheter…” (Dom, punkt 132)<\/em><\/p>\n\n\n\n

”I detta avseende grundar sig, s\u00e5som generaladvokaten har anf\u00f6rt i punkt 126 i sitt yttrande, den avtalsmekanism som f\u00f6reskrivs i artikel 46.2 c i GDPR p\u00e5 ansvar av den registeransvarige eller hans eller hennes underleverant\u00f6r som \u00e4r etablerad i Europeiska Unionen och i andra hand beh\u00f6rig tillsynsmyndighet. Det \u00e4r d\u00e4rf\u00f6r framf\u00f6r allt denna registeransvarige eller registerf\u00f6raren att fr\u00e5n fall till fall och i f\u00f6rekommande fall i samarbete med uppgiftsmottagaren kontrollera om lagstiftningen i det tredje land som \u00e4r best\u00e4mmelseland s\u00e4kerst\u00e4ller ett adekvat skydd, enligt unionsr\u00e4tten, av personuppgifter som \u00f6verf\u00f6rs enligt standardklausuler om uppgiftsskydd, genom att vid behov tillhandah\u00e5lla ytterligare skydds\u00e5tg\u00e4rder till dem som erbjuds genom dessa klausuler.<\/em> (Dom, punkt 134)<\/em><\/p>\n\n\n\n

Om den registeransvarige eller en registerf\u00f6rare som \u00e4r etablerad i Europeiska unionen inte kan vidta adekvata ytterligare \u00e5tg\u00e4rder f\u00f6r att garantera ett s\u00e5dant skydd, \u00e4r den registeransvarige eller registerf\u00f6raren eller, om detta inte \u00e4r till\u00e4mplig, den beh\u00f6riga tillsynsmyndigheten, skyldiga att tillf\u00e4lligt eller avsluta \u00f6verf\u00f6ringen av personuppgifter till det ber\u00f6rda tredjelandet. Detta \u00e4r s\u00e4rskilt fallet n\u00e4r lagen i detta tredjeland \u00e5l\u00e4gger mottagaren av personuppgifter fr\u00e5n Europeiska unionen skyldigheter som strider mot dessa klausuler och s\u00e5ledes \u00e4r kapabla att p\u00e5 ett adekvat s\u00e4tt inbel\u00e4gga en adekvat skyddsniv\u00e5 mot tilltr\u00e4de fr\u00e5n det tredjelandets offentliga myndigheter till dessa uppgifter.”<\/em> (Dom, punkt 135)<\/em><\/p>\n\n\n\n

Ett f\u00f6retag som g\u00f6r data tillg\u00e4ngliga f\u00f6r potentiell gr\u00e4ns\u00f6verskridande \u00f6verf\u00f6ring (inklusive vanliga fall n\u00e4r ett icke-EU-tillhandah\u00e5llare anv\u00e4nds) ska informera sig om och bed\u00f6ma mottagarlandets niv\u00e5 av efterlevnad av gdpr.<\/p>\n\n\n\n

Domstolen betonade uppgiftstillst\u00e5elsens befintliga skyldighet att s\u00e4kerst\u00e4lla ett adekvat skydd av uppgifterna innan n\u00e5gon uppgift exporteras. Mottagaren \u00e4r skyldig att informera export\u00f6ren om eventuella hinder f\u00f6r dess efterlevnad till SCC:s. Om f\u00f6rekomsten av lokala \u00f6vervakningslagar som skulle hindra anpassningen till GDPR, d\u00e5 export\u00f6ren (l\u00e4s dina kunder) m\u00e5ste stoppa \u00f6verf\u00f6ringen och avsluta kontraktet. Om uppgiftsexport\u00f6ren inte lyckas med sina skyldigheter enligt SCC m\u00e5ste den ledande tillsynsmyndigheten ingripa och kan f\u00f6rbjuda \u00f6verf\u00f6ringen.<\/p>\n\n\n\n

Analys av den aktuella situationen med hj\u00e4lp av amerikanska tj\u00e4nsteleverant\u00f6rer <\/h2>\n\n\n\n

Organisationer b\u00f6r utan dr\u00f6jsm\u00e5l bekr\u00e4fta att gr\u00e4ns\u00f6verskridande data\u00f6verf\u00f6ringar som de ansvarar f\u00f6r att f\u00f6lja GDPR och denna nyligen genomf\u00f6rda EU-domstolens bed\u00f6mning. <\/p>\n\n\n\n

Agera p\u00e5 ogiltigf\u00f6rklaring av EU-USA Privacy Shield <\/h3>\n\n\n\n