Skip to content

"EU-domstolens dom om personuppgifter gäller hundratusentals svenskar - dagligen"

ANALYS/KRÖNIKA - av av David Frydlinger, advokat och delägare på advokatfirman Lindahl

 

Igår utfärdade EU-domstolen ännu en dom där domstolen, i likhet med 2014-målen Google Spain och Digital Rights Ireland, tydligt visade att även mycket starka kommersiella och politiska intressen står sig slätt gentemot EU-medborgares skydd mot behandling av deras personuppgifter. Den här gången rörde målen möjligheten att överföra personuppgifter från EU till USA, en möjlighet som bland annat är av fundamental betydelse för internationell handel.

Domen får omedelbara och viktiga konsekvenser för svenska företag och myndigheter som är ansvariga för behandling av personuppgifter som görs i eller från USA.

EU-domstolens dom innebär att all överföring av personuppgifter till USA som sker enbart med stöd av det så kallade Safe Harbor-undantaget (se nedan) är förbjuden. Domen är först och främst relevant för så kallade personuppgiftsansvariga, det vill säga de som har skyldigheter enligt personuppgiftslagen. Det gäller då de flesta svenska företag som för över personuppgifter till koncernbolag i USA, till exempel sina moder- eller dotterbolag.

Det gäller också svenska företag och organisationer som köper till exempel outsourcing-tjänster eller molntjänster avseende till exempel CRM, HR, ekonomi med mera som helt eller delvis tillhandahålls från USA.

I praktiken innebär EU-domstolens dom att svenska företag, organisationer och myndigheter bland annat behöver:

  • Identifiera vilka personuppgifter man är personuppgiftsansvarig för som överförs till USA och analysera i vilka fall överföringen sker enbart med stöd av Safe Harbor-undantaget;
  • För dessa fall, inrätta alternativa sätt för laglig överföring, till exempel genom användning av EU-kommissionens så kallade modellklausuler;
  • Skriva om alla personuppgiftsbiträdesavtal som tillåter överföring av personuppgifter genom Safe Harbor, antingen av biträden eller underbiträden;
  • Utvärdera behovet av att informera kunder, konsumenter och anställda om vilka åtgärder  som vidtas för att skydda deras personuppgifter vid överföring till USA.

Varför behöver nu detta genomföras? Enligt personuppgiftslagen (PUL) är det som huvudregel förbjudet att föra över personuppgifter till ett land utanför EU som saknar så kallad adekvat skyddsnivå för behandling av enskildas personuppgifter. USA saknar sådan adekvat skyddsnivå, vilket alltså innebär att det i princip är förbjudet för företag och myndigheter som behandlar personuppgifter att föra över dessa till USA.

Förbudet mot att överföra personuppgifter till länder utanför EU har dock flera undantag. Sedan år 2000 har det funnits ett särskilt viktigt och frekvent använt undantag avseende just USA, det så kallade Safe Harbor-undantaget.

EU-kommissionen fattade då ett beslut som innebar att om personuppgifter förs över till ett företag i USA som har självcertifierat sig efter ett antal dataskyddsprinciper (Safe Harbor-principerna), så är detta förenligt med det EU-direktiv som ligger till grund för PUL och därmed också med PUL. Enorma mängder personuppgifter förs varje dag över till USA med stöd av detta undantag.

Igår upphävde EU-domstolen kommissionsbeslutet om Safe Harbor-undantaget. Målet rörde Facebook.

Den österrikiske studenten Maximillian Schrems ville att en irländsk myndighet skulle förbjuda Facebook Ireland att föra över hans personuppgifter till Facebook i USA. Han menade att det efter Edward Snowdens avslöjanden 2013 står klart att EU-medborgares personuppgifter, om dom överförs till USA, kan – oberoende av alla Safe Harbor-system – komma att samlas in och behandlas av NSA och andra underrättelsemyndigheter på sätt som står i strid med EU-medborgares rättigheter till skydd mot behandling av deras personuppgifter.

EU-domstolen gav Maximillian Schrems rätt i en dom med mycket övertygande domskäl. På i princip samma grunder som EU-domstolen upphävde det så kallade datalagringsdirektivet förra året, underkände domstolen USA:s och amerikansk lagstiftnings respekt för rätten till privatliv och skydd mot behandling av personuppgifter.  

Självcertifieringen enligt Safe Harbor-systemet inskränkte inte heller amerikanska myndigheters (läs NSA:s) rätt att få tillgång till EU-medborgares personuppgifter med åberopande av till exempel nationell säkerhet. Kommissionens beslut om undantag från förbudet mot överföring av personuppgifter till USA med stöd av Safe Harbor-beslutet upphävdes därför. Undantaget gäller därför inte längre.

EU-domstolens dom har många viktiga implikationer och konsekvenser för svenska företag och myndigheter. All överföring av personuppgifter till USA med stöd av enbart Safe Harbor-undantaget är förbjuden. Det är därför som åtgärderna ovan behöver genomföras.

Domen innebär inte att all överföring av personuppgifter till USA är förbjuden. Det finns andra undantag än det upphävda Safe Harbor-undantaget. Till exempel om överföringen sker enligt ett avtal baserat på EU-kommissionens så kallade modellklausuler, även om EU-domstolens dom ger anledning att funder över giltigheten i även detta undantag. Det går alltså att upprätta system som möjliggör överföring av personuppgifter till USA, men det är mer komplicerat än det var att använda Safe Harbor-undantaget.

Att överföra personuppgifter till USA utan stöd i något undantag är straffbelagt med böter eller fängelse. Att inte agera innebär redan av detta skäl risker, även om just denna risk sannolikt är begränsad i det korta perspektivet. Men i lika hög grad handlar det här om en risk kopplat till bristande förtroende från kunder, anställda och andra registrerade.

Hundratusentals svenska konsumenters och anställdas personuppgifter överförs dagligen till USA. Ofta med stöd av det nu upphävda Safe Harbor-undantaget men ibland med stöd av andra undantag, som inte är upphävda. Konsumenterna och de anställda vet dock inte vad som gäller och vissa av dom kommer med stor sannolikhet att börja undra hur säkra deras personuppgifter är.

Detta kan leda till betydande förluster med tanke på personuppgifters stora värde (se min debattartikel i Dagens Juridik den 28 september 2015). Svenska företag och organisationer bör därför inte bara se till att agera förenligt med PUL, de bör också vidta åtgärder för att bygga förtroende hos kunder och anställda.

 

 

 

 

Tipsa via e-post

Ange flera adresser på olika rader eller separera dem med kommatecken.

Vill du verkligen anmäla denna kommentar som olämplig?

Anmäl Avbryt