Schrems 2 – Hur påverkar det GDPR och ditt företag?

Schrems 2 är en dom i EU-domstolen som har enorm påverkan på hur företag måste behandla personuppgifter. I denna text går vi igenom vad Privacy Shield är, vad domen Schrems 2 innebär och hur detta påverkar ditt företag. I synnerhet om ni använder amerikanska webbtjänster som Microsoft Office, Google Analytics, Facebook Marketing mm.

Bakgrund

De senaste åren har intresset för dataskydd ökat. Detta har gjort att många företag har fått se över hanteringen av personuppgifter.

Rent juridiskt fastslås vikten av den personliga integriteten bland annat i den Europeiska konventionen för skydd av de mänskliga rättigheterna och grundläggande friheterna (EKMR) och regeringsformen (RF).

I artikel 8 EKMR anges det att:

 Var och en har rätt till skydd av de personuppgifter som rör honom eller henne.

Dessa uppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få rättelse av dem.

En oberoende myndighet ska kontrollera att dessa regler efterlevs.

I 6 § andra stycket RF föreskrivs dessutom att:

[…] var och en gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden.

EU följer den allmänna dataskyddsförordningen (GDPR). Detta ramverk kompliceras dock när tredjeland, till exempel USA, vill samla in europeiska personuppgifter. EU-kommissionen måste då ta ett beslut om landet skyddar personuppgifterna på ett rättssäkert sätt.

Genom året har EU-kommissionen och USA upprättat olika dataöverföringsavtal. I denna text kommer några av de att förklaras och problematiseras. Särskild fokus kommer att ligga på de uppmärksammade Schrems-målen.   

Vad är Privacy Shield?

Privacy Shield var ett avtal om skydd för personuppgifter mellan EU och USA. Det godtogs 2016, men kom sedan att överses av EU-domstolen 2020.

Privacy Shield-avtalet innehöll bestämmelser angående hantering av personuppgifter från EU till USA. Regler om hur föreskrifterna skulle efterlevas genom översyn fastslogs även i överenskommelsen.

Avtalet avsåg alltså bestämmelser om dataöverföringar mellan EU och USA. Innan dess följde EU och USA Safe Harbour-avtalet som kom till stånd under 2015. EU-domstolen valde dock att ersätta denna med Privacy Shield eftersom det ansågs att Safe Harbour inte skyddade EU-medborgares personuppgifter i tillräcklig stor utsträckning.

EU:s dataskyddsförordning tillåter inte att EU-medborgares personuppgifter ska kunna skickas till platser som inte garanterar tillräcklig integritetsskydd. För att underlätta överföringar till USA beslutades det, genom Safe Harbour-avtalet, att amerikanska företag skulle kunna självcertifiera att den information som skickades till deras datacenter skulle vara tillräckligt skyddat.

Bolag med huvudkontor i USA kunde därmed själva uppskatta om de uppfyllde tillräcklig datasäkerhet. Den amerikanska myndigheten Federal Trade Commission (FTC) kontrollerade i sin tur om bolagen gjort en korrekt uppskattning.

Detta ledde emellertid till problem. I samband med att den kända visselblåsaren Edward Snowden kom ut med att USA:s nationella säkerhetsmyndighet (NSA) och dess federala polismyndighet, FBI utförde digital övervakning och missbrukade människors personliga integritet slopades Safe Harbour-avtalet. Det ersattes sedan med Privacy Shield.

Det var med hjälp av en österrikisk jurist och internetaktivist vid namn Maximilian Schrems som EU-domstolen valde att pröva ärendet. Han hade uttryckt missnöje till den irländska dataskyddsmyndigheten, IDPC, avseende Facebooks hantering av hans personuppgifter.

Schrems ville kort sagt inte att Irland skulle förmedla information om honom genom Facebook till USA eftersom han ansåg att de skulle missbruka hans persondata. Snowden hade trots allt en kort tid innan avslöjat att de amerikanska myndigheterna utförde massövervakning av bland annat Facebook, Google och Skype.

Fallet kom upp till EU-domstolen som dömde till Schrems fördel. Safe Harbour-avalet ansågs inte längre utgöra en grund för giltig dataöverföring.  Målet kom att benämnas Schrems 1.

Vad innebär Schrems 2?

Enbart cirka ett år efter Privacy Shield upprättades började även det kritiseras. Systemet hade många likheter med Safe Harbour-avtalet på så sätt att amerikanska bolag kunde utnyttja ett självcertifieringssystem och därmed lättare kunna frångå människors lagstadgade skydd mot intrång i deras privatliv samt deras rätt till dataskydd.

Schrems ville med anledning av detta återigen få upp ett mål till prövning av EU-domstolen. EU-domstolen tog upp målet och delade upp det i två delar. Det som skulle granskas var följande:

  1. Giltigheten av beslut om standardbestämmelser (SCC)
  2. Giltigheten av Privacy Shield

Det innebar emellertid att artikel 45 och 46 i dataskyddsförordningen granskades. Domstolen kom i fråga 1 fram till att standardavtalsklausuler kunde utnyttjas men att bestämmelserna måste erbjuda en skyddsnivå som väsentligen stämmer överens med det som gäller inom EU.

I fråga 2 diskuterade domstolen om Privacy Shields gick emot EU:s stadga om de grundläggande rättigheterna. I artiklarna 7 och 8 i stadgan redogörs rätten till privatliv och rätten till personuppgifter. Artiklarna är däremot inte absoluta och kan komma att inskränkas om det anses vara nödvändigt och proportionerligt, det ska dessutom framgå i lag att en sådan begränsning kan komma att ske. 

Domstolen konstaterade slutligen att Privacy Shield skulle förklaras vara ogiltigt eftersom den inte kunde anses vara förenlig med EU-stadgan. Skyddsnivån var alltså inte tillräcklig. De grundade sitt beslutstagande i att det bland annat saknades ett tillfredställande ombudssystem som skulle möjliggöra effektiva rättsmedel. Domstolen menade härvid att EU-medborgare inte hade tillgång till några faktiska eller verkställbara rättigheter avseende sin persondata.

Domen kom att kallas för Schrems 2 och fastställde att Privacy Shield inte längre kunde utnyttjas. Det innebär att de som vill föra över persondata till ett tredjeland har ett långtgående ansvar för att den personliga integriteten inte ska inskränkas.

Vad innebär Schrems 2 för amerikanska tjänster jag använder som Office 365, Google Analytics, Facebook Marketing etc?

Som konstaterats i föregående avsnitt kan personuppgiftsöverföringar till tredjeland inte längre ske med stöd av Privacy Shields. Det innebär att du som privatperson inte längre ska behöva oroa dig över att dina personuppgifter kommer att övervakas på ett icke lagenligt sätt av till exempel Facebook. De amerikanska tjänsterna kan dock komma att begära ditt samtycke i större
utsträckningen än tidigare vid personuppgiftsöverföringar. Du bör därför kontrollera vad det är du samtycker till för att undvika en liknande situation som Maximilian Schrems utsattes för.

Eu-domstolen har genom domen konstaterat att USA (och annat tredjeland) inte kan lagra dina personuppgifter hursomhelst.  Hur detta ska tolkas i vid bemärkelse är dock ännu oklart, varför det gäller att hålla sig uppdaterad på ämnet.

Svenska bolag som för över personuppgifter till tredjeland måste se över de skydd som finns i mottagarlandet och analysera
att GDPR efterföljs. Om ditt företag använder sig av amerikanska tjänster kan ni därför behöva se över era avtal med dem. Ni kan använda standardavtalsklausuler, men de måste uppfylla en standard som godtas enligt GDPR. Rådfråga våra jurister om du är osäker på hur ett korrekt avtal ska utformas.

EU-kommissionen har upprättat nya rekommenderade standardbestämmelser som gäller vid överföring till tredje land som bör tas i beaktande vid överföringar av personuppgifter till tredjeland när mottagarlandet inte kan bedömas ha en godtagbar skyddsnivå.

De europeiska tillsynsmyndigheterna för dataskydd uppdaterar ständigt sina riktlinjer. Svenska företag som vill använda sig av amerikanska tjänster måste på så sätt hålla sig uppdaterade för att inte riskera att bli anmälda till olika tillsynsmyndigheter. Processen har därmed komplicerats i och med att Privacy Shields ogiltighetsförklarades. 

Se alltid till att: 

  1. Kontrollera om de amerikanska tjänsterna som ni använder innebär att personuppgifter måste överföras och lagras i USA. 
  2. Om ja: hur har ni reglerat personuppgiftshanteringen i avtal? Om det sker enligt Privcacy Shield ska avtalet genast avbrytas.  
  3. Förhandla fram ett avtal som är förenligt med GDPR. Här är en IT-jurist till stor hjälp.
  4. Ha koll på hur rättsläget förändras och om nya avtal måste upprättas.
Hur kan Enkla Juridik hjälpa mig?

Ta gärna hjälp av en av våra IT-jurister om du har frågor eller funderingar kring dataskydd, personuppgifter och GDPR. Vi erbjuder alltid en inledande kostnadsfri juridisk utvärdering och har enbart fasta priser. Välkommen!