”Safe Harbor-domen skapar problem – men inte avseende lagring av personuppgifter”

DEBATT/REPLIK – av advokaten Lars B Melin och biträdande juristen Viktoria Wastenson, Advokatfirman Lindahl
I en krönika i Dagens Juridik igår (2015-10-22) påstods att EU-domstolens upphävande av Kommissionens Safe Harbor-beslut skapar ett principiellt moment 22. Om personuppgiftsansvariga överför personuppgifter till USA med stöd av något av de andra undantagen är, påstås det, själva överföringen laglig men inte lagringen.
I artikeln påstås att detta moment 22 uppstår när det rör sig om så kallade känsliga personuppgifter som inte kan lagras i USA men vars överföring till USA kan vara lagenlig. Vad avser lagring av harmlösa uppgifter är denna behandling enligt artikeln tillåten då skyddsbehovet för dessa uppgifter är lägre.
EU-domstolens dom har onekligen skapat en juridiskt svårtolkad situation i vissa avseenden. Frågan om en eventuell motsättning mellan överföring och lagring är dock inte en sådan svårtolkad fråga.
Enligt personuppgiftslagen är personuppgiftsansvariga skyldiga att vidta lämpliga tekniska och organisatoriska åtgärder för att skydda behandlade personuppgifter. Om den ansvarige anlitar till exempel en molntjänstleverantör i USA måste den ansvarige försäkra sig om att leverantören kan leva upp till aktuella krav för att undvika ansvar. Säkerhetskraven ålägger den som behandlar personuppgifter att göra nödvändiga risk- och sårbarhetsanalyser, styra behörigheter för tillgång till uppgifterna, kryptera vissa typer av uppgifter, i vissa fall införa stark autentisering, och så vidare.
Kraven tar sikte på det ansvar som åvilar personuppgiftsansvariga och personuppgiftsbiträden. Kraven tar inte sikte på ett lands lagstiftning. Amerikanska statens möjligheter att med lagstöd kräva utlämning av EU-medborgares uppgifter från amerikanska företag är inte en säkerhetsbrist i personuppgifslagens mening utan ett uttryck för brist på adekvat skyddsnivå som är en förutsättning för att en personuppgiftsansvarig ska få föra över personuppgifter till tredje land. Det som påstås i nämnda artikel är således felaktigt.
Det finns, som även nämnts i nämnda artikel, flera andra undantag för att lagligen kunna överföra personuppgifter till USA. Det mest diskuterade undantaget, förutom det nu upphävda Safe Harbor-beslut är användande av standardklausulerna. Det uppstår dock problem även med dessa klausuler.
Ett sådant, som också har uppmärksammats internationellt, är att det företag som importerar personuppgifter i klausulerna garanterar att det inte finns anledning att förmoda att den lagstiftning som är tillämplig för mottagaren påverkar möjligheten att fullfölja skyldigheterna enligt klausulerna. Detta krav kan, i ljuset av Safe Harbor-domen, bli svårt att uppfylla för amerikanska företag.
Safe Harbor-domen har satt ett hårt tryck på både den amerikanska lagstiftaren och på förhandlare inom EU och USA att etablera ett ramverk som skapar förutsättningar för att överföra personuppgifter till USA på ett sätt som respekterar EU-medborgares rätt till privatliv.
Artikel 29-gruppen har sagt att EU:s dataskyddsmyndigheter ger parterna tre månader på sig att förhandla fram en lösning, innan åtgärder börjar vidtas mot olagliga överföringar till USA. Fortsättning följer således.