”Moment 22 när överföring av personuppgifter till USA kan vara tillåten – men inte lagring”
KRÖNIKA/ANALYS – advokaten Johan Engdahl och biträdande juristen Elin Elvgren, MAQS Advokatbyrå
I dom den 6 oktober 2015 konstaterade EU-domstolen att USA inte uppfyller kraven på en tillräcklig skyddsnivå för hantering av personuppgifter. Domen innebär att det så kallade Safe Harbor-undantaget, som tillåter överföring av personuppgifter till amerikanska företag som följer dessa regler, inte längre gäller.
Personuppgifter kan fortfarande, under vissa omständigheter, överföras till amerikanska företag, men då personuppgifterna inte är tillräckligt skyddade i USA är det inte längre säkert att själva lagringen av personuppgifterna är tillåten. Svenska aktörer kan därför befinna sig i ett moment 22.
Bakgrund
Den österrikiska medborgaren Maximillian Schrems har sedan Edward Snowdens avslöjande år 2013, angående de amerikanska underrättelsetjänsternas verksamhet, varit kritisk till att de personuppgifter som Maximilian lämnar till Facebook överförs från Facebooks irländska dotterbolag till servrar i USA, där uppgifterna sedan lagras och behandlas.
Maximilian anmälde överföringen till den irländska datainspektionen eftersom han ansåg att USA:s lagstiftning och praxis inte gav personuppgifterna ett tillräckligt skydd mot myndighetsövervakning.
EU-domstolen instämmer i Maximilians bedömning: USA uppfyller inte EU:s krav på en tillräcklig skyddsnivå för hantering av personuppgifter. Det tidigare gällande så kallade Safe Harbor-undantaget gäller inte längre och svenska aktörer kan därför inte längre förlita sig på det vid sin överföring av personuppgifter till USA.
Artikel 29-gruppen, som består av representanter från samtliga EU-länders tillsynsmyndigheter och som har till uppgift att se till att regler om personuppgiftshantering tillämpas enhetligt inom EU, kommer att analysera konsekvenserna av EU-domstolens dom.
I fredags, den 16 oktober 2015, kom artikel 29-gruppen ut med ett första kort uttalande, som bland annat betonar vikten av att EU:s medlemsstater och institutioner omedelbart inleder förhandlingar med amerikanska myndigheter för att hitta en lösning som möjliggör en säker överföring och behandling av personuppgifter i USA.
Artikel 29-gruppen betonar att alla överföringar som nu genomförs med stöd av Safe Harbor-undantaget är olagliga. Artikel 29-gruppen ger även en skarp uppmaning: om en lösning inte är nådd senast i slutet på januari 2016, är EU:s dataskyddsmyndigheter skyldiga att vidta alla nödvändiga åtgärder för att se till att EU-domstolens dom följs.
Överföring får fortfarande ske
Som utgångspunkt är det förbjudet att överföra personuppgifter till länder utanför EU om dessa länder inte säkerställer en ”adekvat skyddsnivå” för personuppgifterna. Förbudet har dock flera undantag och det numera ogiltigförklarade Safe Harbor-undantaget var bara ett av dessa undantag.
Personuppgifter får därför även fortsättningsvis överföras till USA, men med stöd av något av de andra undantagen. Exempel på undantag som tillåter överföring är när aktörer har samtycke till överföringen från den person som personuppgifterna berör eller när överföringen måste ske för att aktören ska kunna fullgöra ett avtal med personen i fråga.
En överföring med stöd av ett avtal som är baserat på EU-kommissionens standardavtalsklausuler är som utgångspunkt också tillåten (även om detta undantag nu kan komma att ifrågasättas då skyddskraven som följer av standardavtalsklausulerna liknar de skyddskrav som följer av Safe Harbor-undantaget).
Sammanfattningsvis är det alltså även framöver tillåtet att överföra personuppgifter till USA men med stöd av något annat undantag än Safe Harbor-undantaget.
Lagring kan vara otillåten
Den personuppgiftsansvarige, det vill säga den som ansvarar för personuppgiftsbehandlingen och som ensam eller tillsammans med andra bestämmer varför och hur personuppgifterna ska behandlas, är skyldig att se till att personuppgifterna behandlas på ett säkert sätt. Ansvaret gäller även när denne anlitar någon annan (ett personuppgiftsbiträde) för att utföra vissa specifika behandlingar, såsom att lagra personuppgifterna på en server eller i en molntjänst.
När en svensk aktör överför personuppgifter till ett amerikanskt företag, för att exempelvis lagra dem på en amerikansk server, har den svenska aktören alltså en skyldighet att se till att personuppgifterna är säkra hos det amerikanska företaget.
Det är här som det nu har uppstått ett problem; överföringen i sig är tillåten, men lagringen kan vara otillåten eftersom säkerhetsnivån i USA inte är tillräcklig. För svenska aktörer kan det alltså ha uppstått ett moment 22.
Vad ska svenska aktörer göra nu?
Det är inga problem för de svenska aktörer som redan nu kräver av till exempel sina molntjänstleverantörer att personuppgifter bara ska lagras inom EU. Men de aktörer som även fortsättningsvis vill överföra personuppgifter till USA behöver snarast vidta nedanstående åtgärder för att säkerställa att överföringen av personuppgifter är tillåten:
- Se över sina avtal och villkor för att säkerställa att överföringar av personuppgifter inte grundar sig på Safe Harbor-undantaget. Detta gäller inte minst för alla de avtal om molntjänster som en stor mängd aktörer använder sig av, och
- Justera de avtal och villkor som grundar sig på Safe Harbor-undantaget och istället se till att överföringarna utförs med stöd av något annat undantag från överföringsförbudet.
Vi rekommenderar även aktörerna att informera sina kunder/samarbetspartners om och hur kundernas personuppgifter överförs till USA, detta för att bibehålla kundernas förtroende.
För att säkerställa att lagringen av personuppgifter i USA är tillåten finns det ingen heltäckande lösning, eftersom säkerheten för personuppgifterna inte är tillräcklig. Det som svenska aktörer kan göra i nuläget är att:
- Kartlägga vilken typ av personuppgifter som överförs, eftersom olika typer av personuppgifter behöver olika starkt skydd. Om personuppgifterna i sig är harmlösa eller om de finns tillgängliga för vem som helst på Internet, är skyddsbehovet så klart lägre. En lagring av sådana personuppgifter i USA är därför tillåten.
I övrigt finns det ingen lösning som säkerställer att lagringen av andra, mer integritetskränkande personuppgifter, är tillåten. Vi rekommenderar därför svenska aktörer att överväga att ändra sina rutiner så att all lagring av mer integritetskränkande personuppgifter (det vill säga som inte är harmlösa eller som inte finns allmänt tillgängliga på Internet) istället lagras inom EU.
Fortsättning följer
Artikel 29-gruppen kommer att fortsätta analysera konsekvenserna av EU-domstolens dom, bland annat vilka konsekvenser domen har för giltigheten av de övriga undantagen från överföringsförbudet, vilket förhoppningsvis kan ge klarhet i den situation som europeiska aktörer nu har ställts inför.
En fullständig utredning och/eller en uppgörelse med amerikanska myndigheter – med rekommendationer om hur aktörer nu ska agera – kommer dock sannolikt att dröja. Datainspektionen, som är tillsynsmyndighet i Sverige, kommer inte själv att yttra sig i frågan, men deltar som sagt i artikel 29-gruppens arbete och vi kan lita på att Datainspektionen kommer att följa det som artikel 29-gruppen kommer fram till.
Datainspektionen och övriga tillsynsmyndigheter inom EUs medlemsstater kommer härnäst att genomföra informationskampanjer för att nå ut med information om de aktuella förändringarna till samtliga berörda aktörer.
Vi får hoppas att en lösning är nådd i slutet av januari 2016, då Datainspektionen blir skyldig att agera mot svenska aktörer för att säkerställa att personuppgifter därefter inte överförs till USA med stöd av Safe Harbor-undantaget. Svenska aktörer behöver därför omgående se över och ändra sina rutiner för att säkerställa att inga överföringar, senast vid utgången av januari månad år 2016, sker med stöd av Safe Harbor-undantaget.
Utöver att vidta de åtgärder som vi listar ovan, är det bara att invänta en fullständig utredning och/eller en överenskommelse med amerikanska myndigheter. Fortsättning följer…
