2020.02.17

Schrems-målets påverkan på överföring av personuppgifter utanför EU/EES


År 2011 bad juriststudenten Maximillian Schrems Facebook att delge honom ett registerutdrag med all information Facebook hade lagrat om honom. Registerutdraget, som levererades genom en CD-skiva med information, omfattade 1200 sidor om Schrems aktiviteter på Facebook. Under 2013 bad Schrems den irländska Data Protection Commission (dataskyddskommisionen) att stoppa Facebook från att överföra Schrems privata information till USA; en begäran som till slut hamnade i EU-domstolen och medförde att dåvarande medel för att säkerställa ett så kallat adekvat skydd för tredjelandsöverföring,”Safe Harbor”, ersattes med ”EU-US Privacy Shield”. Safe Harbor underkändes med andra ord eftersom den inte garanterade ett adekvat skydd för enskildas integritet.

Efter EU-US Privacy Shield införande har Schrems tagit ännu ett initiativ till att skydda EU-medborgares integritet, mer specifikt vad gäller överföring av personuppgifter utanför EU/EES. I december 2019 meddelade EU:s generaladvokat (”GA”) sitt förslag till avgörande för det mål som kommit att kallas Schrems II och som på sikt kan leda till att företag (som exv. Facebook) kan tvingas ändra sina rutiner gällande överföring av personuppgifter till länder utanför EU. GA gav i ett yttrande sin syn på giltigheten av såväl EU-kommissionens beslut om användning av EU-kommissionens standardavtalsklausuler (vilka idag medför ett adekvat skydd för tredjelandsöverföring), som frågan om EU-US Privacy Shields giltighet under GDPR vad gäller överföring av personuppgifter till USA. Schrems menar att varken standardavtalsklausulerna eller EU-US Privacy Shield är tillräckliga för att säkerställa ett adekvat skydd för personlig integritet.

Huvudfrågan i Schrems II är om EU-kommissionens standardavtalsklausuler (”SCC”) ska anses giltiga, dvs. om de säkerställer ett adekvat skydd för enskildas integritet vid tredjelandsöverföring. SCC ger i dagsläget inte den enskilde tillgång till effektivt rättsmedel i det tredje land till vilket personuppgifterna överförts, vilket strider mot både GDPR och EU-stadgan som garanterar alla EU-medborgare rätten till ett effektivt rättsmedel.

GA anser dock i sitt yttrande att SCC i sig inte bör anses ogiltiga, däremot att det åligger den personuppgiftsansvarige, eller den nationella tillsynsmyndigheten om personuppgiftsansvarige inte gör det självmant, att säkerställa att SCC inte strider mot lagen i det tredje land till vilket personuppgiftsansvarig överför personuppgifter. Vidare menar GA att personuppgiftsansvarig eller tillsynsmyndigheten ska ha möjlighet att, om lagen i sådant tredje land står i strid med SCC, avbryta eller förbjuda tredjelandsöverföringen. GA:s förslag till avgörande är inte bindande för EU-domstolen. Om domstolen väljer att döma enligt GA:s förslag innebär det att SCC fortsatt kan användas av personuppgiftsansvariga för att säkerställa ett adekvat skydd, men att det med sådan användning följer ett ansvar för personuppgiftsansvarig att säkerställa SCC:s efterlevnad i det tredje land till vilket personuppgifterna ska överföras. Notera särskilt att GA:s förslag medför en skyldighet för personuppgiftsansvarig att kontinuerligt medan behandlingen pågår säkerställa att SCC alltjämt upprätthåller ett fullgott skydd för de enskildas rättigheter.

GA konstaterar vidare i sitt yttrande att EU-US Privacy Shield likaså bör ifrågasättas. Detta mot bakgrund av att USA:s lagstiftning såväl möjliggör rätt till tillgång av data, inklusive personuppgifter, för specifika amerikanska myndigheter, som att den enskildes rätt till ett effektivt rättsmedel inte kan garanteras. I GA:s yttrande framgår det dock att GA inte anser att EU-US Privacy Shields giltighet är en relevant fråga för domstolen att ta ställning till. Schrems II kommer således inte att omfatta ett beslut avseende EU-US Privacy Shields giltighet.

Vill du veta mer om hur detta kan påverka ditt företag, tveka inte att kontakta en IT-advokat.