Under sommaren ogiltigförklarade EU-domstolen EU-kommissionens tidigare beslut om godkännande av överföring av personuppgifter till USA under EU-US ”Privacy Shield” (en mekanism för självcertifiering som alltså tidigare varit tillåten). Det är fortfarande lagligt att överföra personuppgifter till länder utanför EU (tredje land) med stöd av EU-kommissionens publicerade standardavtalsklausuler. Hur påverkar denna utveckling ditt företag?
Den 16 juli 2020 beslutade EU-domstolen i det s.k. Schrems II-målet (mål C-311/18) att ogiltigförklara EU-kommissionens beslut från 2016 om EU-US ”Privacy Shield”. EU-domstolen menar att på grund av de amerikanska myndigheternas möjligheter att övervaka personuppgifter rörande EU-medborgare uppnås inte en adekvat skyddsnivå enligt GDPR. Domen har direkt effekt innebärande att det från dagen för domen inte längre är lagligt att överföra personuppgifter till USA med Privacy Shield som grund.
I domen slår EU-domstolen dock fast att EU-kommissionens beslut att anta standardavtalsklausuler (eng. Standard Contractual Clauses, SCCs) fortfarande är giltigt. Det innebär emellertid inte att alla överföringar till länder utanför EU (tredje land) med stöd av dessa klausuler är lagliga. Denna bedömning ligger på parterna (personuppgiftsansvarig/personuppgiftsbiträde) att avgöra. Det innebär i praktiken att parterna ska bedöma och avgöra om tredje lands rättssystem uppnår ett en adekvat skyddsnivå, eller en ”väsentligen likvärdig skyddsnivå” som GDPR uppställer för att skydda de registrerades personuppgifter.
Det är med andra ord idag oklart vad som gäller vid överföring av personuppgifter till USA. Tills vidare klarhet uppnåtts i frågan måste ert företag göra egna bedömningar utifrån GDPR-kraven i varje enskilt fall.
Vilka åtgärder bör ditt företag vidta?
Nedan följer några kortfattade exempel på åtgärder som ditt företag bör vidta om detta inte redan är gjort:
- En första åtgärd är att kartlägga om ert företag överför några personuppgifter till USA (personuppgiftsflödena) och i så fall vilka, hur känsliga dessa uppgifter är, hur stor mängd uppgifter som överförs och för vilket syfte det görs. Detta bör framgå av det register ni enligt GDPR ska föra över er personuppgiftsbehandling och kan bl.a. också framgå av eventuella personuppgiftsbiträdesavtal som ni tecknat. Observera att också amerikanska underbiträden kan vara aktuella.
- Titta därefter på om överföringen är nödvändig eller om ni kan minimera eller rentav måste avbryta överföringen.
- En dialog behöver föras med era personuppgiftsbiträden (som i sin tur kan ha underbiträden) och andra samarbetspartners och avtalen kan behöva uppdateras. Avtalen får inte bygga på Privacy Shield.
- Tillämpas godkända SCCs eller kan ni tillfälligt bygga överföringen på samtycke eller avtal?
- Vilka ytterligare skyddsåtgärder (såsom exempelvis kryptering, pseudonymisering, anonymisering och möjliga begränsningar av åtkomst) behöver vidtas?
- Glöm inte att, som alltid, dokumentera samtliga överväganden, riskanalyser och åtgärder kring behandlingen och att informera de registrerade om er behandling.
Kontakta oss gärna för vidare konsultation och råd i dessa frågor.