Let’s make Data Privacy great again!
"Let's make Data Privacy great again!" – dessa ord kom från en medlem av Europaparlamentet (”MEP”), Moritz Körner, under mötet den 3 September 2020, i utskottet för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor (det s.k. "LIBE-utskottet"). Mötet hölls för att diskutera framtiden för dataflöden mellan EU och USA efter EU-domstolens uppmärksammade dom i mål C-311/18 (”Schrems II-målet”). Förutom MEP deltog justitiekommissionär Didier Reynders, den europeiska dataskyddsstyrelsens (”EDPB”) ordförande Andrea Jelinek och den österrikiske datasskyddsaktivisten Maximilian Schrems vid mötet. Mötet hölls då det efter domen i Schrems II-målet onekligen råder stor osäkerhet gällande överföringar av personuppgifter till USA och andra tredjeländer.
3 huvudområden för kommissionen att fokusera på
I sina kommentarer identifierade justitiekommissionär Didier Reynders tre huvudområden som EU-kommissionen behöver fokusera på:
-
Att arbeta nära EDPB och nationella dataskyddsmyndigheter för att säkerställa efterlevnad av EU-domstolens beslut samt utarbeta ytterligare vägledning avseende överföring av personuppgifter utanför EU i syfte att skapa en gemensam förståelse på området.
-
Att företag måste kunna förlita sig på solida och förutsägbara mekanismer för att överföra data till olika destinationer i världen. Kommissionen vill i samarbete med EDPB uppdatera EU:s standardavtalsklausuler (”SCC”). SCC är särskilt användbara för små och medelstora företag som inte har resurser för att förhandla individuella avtal med varje kommersiell partner utomlands.
-
Att diskutera överföring av personuppgifter inte bara med USA, men också andra tredjeländer som till exempel Sydkorea och Storbritannien.
Uppdatering av standardavtalsklausuler
När det gäller moderniseringen av SCC sa kommissionär Reynders att ett första utkast borde finnas tillgängligt denna månad. EU-kommissionen hoppas kunna inleda processen för att anta uppdaterade SCC snart och slutföra processen i slutet av året. Antagandet av nya SCC kräver yttrande från EDPB och en positiv omröstning från EU:s medlemsstater. Enligt kommissionär Reynders finns det tre områden för förbättring av SCC:
-
SCC måste uppdateras mot bakgrund av de nya kraven som infördes genom GDPR, inklusive kraven i artikel 28 angående personuppgiftsbiträden och kraven på transparens;
-
De nya SCC måste täcka överföringsscenarier som inte omfattas av de nuvarande SCC, såsom överföring av uppgifter mellan ett biträde inom EU och ett biträde utanför EU.
-
De nya SCC bör bättre återspegla verkligheten med olika typer av personuppgiftsbehandlingar i en modern, global och öppen ekonomi. Till exempel undersöker EU-kommissionen lösningar för att enkelt göra det möjligt för flera parter att underteckna SCC och tillåta anslutning av nya parter.
EDPB:s ordförande Andrea Jelinek noterade under mötet att EDPB är väl medvetna om att Schrems II-målet ger personuppgiftsansvariga ett viktigt ansvar och att EDPB därför kommer att utarbeta rekommendationer för att stödja personuppgiftsansvariga och personuppgiftsbiträden när det gäller deras skyldighet att identifiera och genomföra lämpliga åtgärder av juridisk, teknisk och organisatorisk karaktär för att uppfylla kraven på adekvat skydd vid överföring av personuppgifter till länder utanför EU. Det finns dock inte någon snabb lösning som passar alla varför varje organisation kommer att behöva utvärdera sina egna personuppgiftsbehandlingar och överföringar utanför EU samt vidta lämpliga åtgärder för detta.
Förhandlingar med USA och Brexit
Maximilian Schrems gjorde klart att han anser att det inte är möjligt att ingå ett nytt avtal med USA utan att USA ändrar sin lagstiftning på området. Han påpekade att det inte hjälper att göra samma misstag som gjordes med Safe Harbour och Privacy Shield igen. Schrems tog också upp att det inte heller är en fungerande lösning att ha servrar i EU om företaget som äger servern har säte i USA eftersom personuppgifterna kommer att omfattas av amerikansk lagstiftning ändå. Enligt kommissionär Reynders kommer det inte att finnas någon enkel lösning med tanke på komplexiteten i frågan, att ett nytt ramverk kan kräva en lagändring på amerikansk nivå och att det nuvarande politiska sammanhanget, inklusive det kommande amerikanska valet, kan försena processen. I huvudsak finns det bara två lösningar - antingen ändra EU:s stadga om grundläggande rättigheter eller ändra USA:s övervakningslagar. Mot bakgrund av den senaste utvecklingen inom integritet och statlig övervakning i USA förutser kommissionär Reynders dock att det nu finns mer gemensamma grunder för att söka en alternativ lösning än det fanns när Privacy Shield förhandlades fram i 2016. När det gäller Storbritannien och Brexit nämndes det av både MEP:s och Max Schrems att allt ovanstående är relevant för Storbritannien likaså, eftersom deras övervakningslagar verkar likna dem i USA, och att de funderar på adekvansbeslutet för Storbritannien i ljuset av Schrems II-målet.
101 klagomål från NOYB
Efter EU-domstolens beslut i Schrems II-målet lämnade Schrems organisation, My Privacy is None of Your Business (”NOYB”), in 101 klagomål i EU:s medlemsstater. EDPB har bildat en arbetsgrupp för att hantera inkomna klagomål. Klagomålen av NOYB rör företag i 30 olika EU- och EES-länder som fortfarande överför uppgifter om webbplatsbesökare till Google och Facebook. EDPB kommer analysera ärendet och säkerställa att det finns ett nära samarbete i frågan mellan medlemsstaternas tillsynsmyndigheter.
Därutöver har EDPB bildat ytterligare en arbetsgrupp för att utarbeta rekommendationer om kompletterande åtgärder som personuppgiftsansvariga och mottagare utanför EU kan behöva vidta för att säkerställa adekvat skydd vid överföring av personuppgifter.
Ytterligare skyddsåtgärder
Huruvida personuppgifter kan överföras med stöd av SCC eller andra överföringsmekanismer beror på resultatet av den personuppgiftsansvariges egen bedömning, med hänsyn till omständigheterna för överföringarna och vilka kompletterande åtgärder som kan användas. Dessa kompletterande åtgärder måste behandlas från fall till fall baserat på omständigheterna kring överföringen. Det lyftes fram under mötet att det är ett problem att det är upp till det enskilda företag att göra denna bedömning och att kommissionen tillsammans med EDPB och de nationella dataskyddsmyndigheter bör redogöra för vilken typ av ytterligare skyddsåtgärder, juridiska, tekniska eller organisatoriska, som kan bli aktuella i fall där det ser ut att vara tveksamt om lagstiftningen i det mottagande landet gör det möjligt att upprätthålla samma, i all väsentlighet, nivå av skydd för grundläggande fri- och rättigheter som råder inom EU.
Du kan läsa mer om vad Datainspektionen säger om överföringar till tredjeländer här och om Schrems II-målets påverkan här.
Du kan läsa om mötet i LIBE här och se video från mötet här.
Du kan läsa EU-domstolens beslut i Schrems II-målet här.
Vill du lära dig mer eller få stöd med rådgivning i frågor om dataskydd, GDPR, molntjänster och informationssäkerhet kan du läsa mer här.
Kontakta gärna våra jurister och säkerhetsspecialister om du har några frågor!