”Schrems II-domen kan få omfattande konsekvenser för svenska företag och myndigheter”
DEBATT – av David Frydlinger, partner, Cirio advokatbyrå och
Caroline Olstedt Carlström, partner, Cirio advokatbyrå
I går fällde EU-domstolen sitt avgörande i det s.k. Schrems II-målet om möjligheterna att på ett lagligt sätt föra över personuppgifter till främst USA. Om inte EU och USA snabbt når en politisk lösning angående sådana överföringar kan domen få väldigt omfattande konsekvenser för svenska företag och myndigheter, inte minst på grund av den omfattande användningen av amerikanska molntjänster.
Bakgrunden till målet är inte minst, sedan visselblåsarens Edward Snowdens avslöjanden, den numera allmänt kända omfattande signalspaning och övervakning som görs av NSA och andra amerikanska myndigheter. Alla EU-medborgare har en i EU-stadgan fastslagen rätt till skydd för sitt privatliv och sina personuppgifter. EU-domstolens dom behandlar många frågor men den grundläggande frågan kan sägas vara: respekteras denna fundamentala rättighet när personuppgifter överförs till USA och därigenom kan bli tillgängliga i de amerikanska myndigheternas övervakningsprogram?
Målet kallas Schems II eftersom det är andra gången som dataskyddsaktivisten Maximilian (Max) Schrems får frågan om överföring av sina personuppgifter till USA prövad av EU-domstolen. Både nu och då handlar det mer specifikt om Facebook Irlands möjlighet att överföra personuppgifter till amerikanska Facebook Inc. Förra gången gällde det om den tidigare gällande s.k. Safe Harbor-regimen gjorde denna överföring laglig. EU-domstolen fann då, 2015, att Safe Harbor-regimen inte gav ett tillräckligt skydd för, förenklat, EU-medborgares personuppgifter vid en överföring till USA. Den mekanismen för transatlantiska dataöverföringar ogiltigförklarades därmed.
I den nya domen har EU-domstolen bedömt om det är lagligt för Facebook att överföra personuppgifter med stöd av antingen Safe Harbor-regimens efterföljande – EU-US Privacy Shield – eller EU-kommissionens publicerade standardavtalsklausuler för överföring av personuppgifter till länder utanför EU.
EU-domstolen slår i domen fast att EU-kommissionens beslut om Privacy Shield-regimen står i strid med EU-rätten och därför ska ogiltigförklaras. Det amerikanska rättssystemet ger enligt domstolen inte ett tillräckligt skydd för EU-medborgares personuppgifter och tillgång till effektiva rättsmedel saknas. Detta innebär i praktiken att det inte längre är möjligt att stödja sig på denna regim för en tillåten överföring av personuppgifter till USA.
När EU-domstolen 2015 ogiltigförklarade Safe Harbor-regimen löste många företag detta genom att istället börja tillämpa EU-kommissionens s.k. standardavtalsklausuler. Men i det här nya målet ifrågasattes alltså även dessas giltighet.
EU-domstolen slår nu fast att kommissionens beslut att anta dessa klausuler förvisso är giltigt. Men det betyder inte, slår domstolen också fast, att alla överföringar till ett tredje land (såsom t.ex. USA) som sker med stöd av dessa klausuler är lagliga. Klausulerna är bindande mellan de båda parterna – den aktör som för ut personuppgifterna utanför EU och den aktör som tar emot dem – men inte för myndigheterna i det land där mottagaren befinner sig. För att bedöma om en överföring av personuppgifter med stöd av standardavtalsklausulerna är laglig krävs därför att en bedömning görs av om rättssystemet i det land till vilket personuppgifterna överförs, t.ex. USA, ger ett tillräckligt bra skydd för de registrerades personuppgifter.
EU-domstolen uttalar sig inte direkt i frågan om en överföring till USA med stöd av standardavtalsklausulerna är laglig eller inte. Det blir en fråga som nationella dataskyddsmyndigheter men också de enskilda personuppgiftsansvariga måste bedöma. I ljuset av att EU-domstolen nu ogiltigförklarar Privacy Shield p.g.a. att det amerikanska rättssystemet ger ett otillräckligt skydd blir dock effekten att det är väldigt svårt att komma till någon annan slutsats än att även användningen av standardavtalsklausulerna för överföringar just till USA kommer att anses vara oförenliga med GDPR, såvida inte EU hittar andra rättsliga lösningar.
EU-domstolens dom är inte förvånande. Det har länge varit känt att EU har ett starkare skydd för personuppgifter än USA och att amerikansk lagstiftning ger amerikanska myndigheter väldigt vidsträckta möjligheter till övervakning och behandling av personuppgifter med ett ofta väldigt svagt skydd för individers rättigheter.
Vad händer nu? Efter EU-domstolens dom kommer målet att fortsätta att handläggas av den irländska domstol som hade hänvisat frågor till EU-domstolen. Den irländska domstolen eller den irländska dataskyddsmyndigheten kommer att behöva fatta ett beslut om Facebook Irlands överföring av personuppgifter till amerikanska Facebook ska förbjudas eller inte. Mycket talar som sagt för att så kommer att ske.
Men domen har förstås långt större implikationer än just Facebooks överföring av personuppgifter till USA. Väldigt många svenska och europeiska företag och myndigheter använder molntjänster och andra IT-tjänster från amerikanska leverantörer. Även om dessa ofta har sina datacenter inom EU så är tjänsterna många gånger beroende av överföringar av personuppgifter till USA, t.ex. för utförande av support. I förlängningen uppstår därför frågan: kommer vi att se en situation där all användning av sådana tjänster ska anses vara olaglig och därför måste upphöra?
Även om detta förstås är fullt möjligt rent juridiskt är det i princip otänkbart ur ett mer praktiskt perspektiv. Oberoende av vad man tycker om saken så är det ett faktum att den europeiska ekonomin och samhället i hög grad är beroende av dessa amerikanska leverantörer och tjänster och därmed överföringar av personuppgifter till USA. Och de amerikanska leverantörerna har förstås väldigt starka intressen av att kunna leverera sina tjänster till europeiska företag och myndigheter.
Det här medför förstås att det finns starka intressen i att hitta en politisk lösning som gör det möjligt att använda dessa tjänster. Samtidigt ska förstås inte amerikanska intressen i att kunna fortsätta med sina övervakningsprogram i nuvarande omfattning på något sätt underskattas. Likväl har vi väldigt svårt att se att EU och USA inte nu skulle göra kraftiga ansträngningar för att hitta en lösning.
Från tillsynsmyndigheternas sida tar man naturligtvis också de här frågorna nu på största allvar och ett första möte mellan de europeiska tillsynsmyndigheterna hålls redan i morgon fredag. Vi emotser givetvis med stor spänning eventuella kommentarer från det hållet därefter.
I avvaktan på händelseutvecklingen på politisk nivå behöver svenska företag och myndigheter förstås börja vidta åtgärder. Vi har svårt att se att Datainspektionen i närtid skulle utfärda förbud och/eller sanktionsavgifter mot företag som för över personuppgifter till USA. Men en riskbedömning måste förstås göras och en handlingsplan på kort och medellång sikt arbetas fram. I praktiken måste riskbedömningen börja med att få en klar bild över vilka personuppgifter som man är personuppgiftsansvarig för och som behandlas eller kan komma behandlas i USA och med vilket rättsligt stöd överföringen sker idag – EU-US Privacy Shield eller standardavtalsklausulerna.
Här blir det också viktigt att särskilja mindre känsliga personuppgifter från känsliga sådana, såsom uppgifter om hälsa t.ex. Vidare måste förstås en dialog föras med leverantörerna, som i många fall sannolikt kommer att behöva se över och arbeta fram alternativa lösningar. Även personuppgiftsbiträden som i sin tur använder amerikanska leverantörer som s.k. underbiträden behöver vidta dessa åtgärder.
EU-domstolen dom är som sagt inte förvånande, men den skapar ett svårt och komplicerat läge rent praktiskt som kommer att kräva politiska åtgärder för en långsiktig lösning.
David Frydlinger, partner, Cirio advokatbyrå
Caroline Olstedt Carlström, partner, Cirio advokatbyrå
