Nyheter 7 juli 2021

Nya standardavtalsklausuler, uppförandekoder och rekommendationer – är problemen med tredjelandsöverföringar lösta nu?

I ljuset av EU-domstolens dom (C‑311/18) (Schrems II) förra sommaren, har överföring av personuppgifter från ett land inom EU/EES till ett land utanför EU/EES (s.k. tredjelandsöverföring) varit ämne för både diskussion och stor osäkerhet. Domen innebär krav på att den som överför personuppgifter till ett tredje land, där ett beslut om adekvat skyddsnivå saknas, måste göra en bedömning av det mottagande landets lagstiftning och vidta lämpliga skyddsåtgärder för att tillse att ett väsentligt likartat skydd som det som erhålls inom EU/EES kan upprätthållas.

Schrems II medförde över en natt att det blev mycket svårt för personuppgiftsansvariga att säkerställa att de agerat korrekt i samband med överföring av personuppgifter till ett land utanför EU/EES. Många har därför inväntat förtydliganden kring hur de praktiskt ska hantera tredjelandsöverföringar. Ett första svar kom när den europeiska dataskyddsstyrelsen (EDPB) publicerade ett utkast på rekommendationer i november 2020. Dessa rekommendationer påförde dock den personuppgiftsansvarige ett stort eget ansvar och många har upplevt att de saknat tydlig vägledning och stöd för att kunna bedöma om en tredjelandsöverföring kan genomföras eller ej. Det har därför funnits stora förhoppningar på att de slutliga rekommendationerna ska innehålla förtydliganden och därigenom viss lättnad för de personuppgiftsansvariga.

Parallellt med EDPB:s arbete med de slutliga rekommendationerna har dels EU-kommissionen publicerat nya standardavtalsklausuler för tredjelandsöverföring, dels EDPB godkänt uppförandekoder för nyttjande av molntjänster. Den 18 juni 2021 publicerades de slutliga rekommendationerna.

Vad innebär då dessa nya dokument och riktlinjer för tredjelandsöverföring – ger de det efterlängtade stödet för att säkerställa att det går att överföra personuppgifter på ett enkelt och lagligt sätt?

EDPB:s rekommendationer
De slutliga rekommendationerna erbjuder vissa förtydliganden i relation till det första utkastet, men den lättnad som många hoppats på kom inte. Istället avser de huvudsakliga ändringarna att det kommit förtydliganden om hur den personuppgiftsansvarige ska utföra och/eller tillämpa vissa delar av rekommendationerna. Nedan följer några exempel på dessa förtydliganden.

Undantagskatalogen i artikel 49
EDPB förtydligar att undantagskatalogen i artikel 49, dvs när personuppgifter kan överföras till ett tredjeland även fast det tredje landet saknar en adekvat skyddsnivå eller om det saknas lämpliga skyddsåtgärder, inte bör användas på ett sätt som skulle gå emot dess natur som undantag. Dvs. bestämmelsen bör endast användas i undantagsfall när omständigheterna tillåter det. EDPB förtydligar därmed att undantagen inte kan bli ”regeln” i praktiken, utan måste begränsas till specifika situationer.

Bedömning av överföringen
De slutliga rekommendationerna erbjuder en ökad tydlighet avseende vilka överväganden som organisationer bör göra när de överför personuppgifter. Av det första utkastet (vilket även återfinns i de slutliga rekommendationerna) följde ett krav på den personuppgiftsansvarige att utföra en bedömning i sex steg. Det tredje steget innebar att uppgiftsutföraren, i förekommande fall i samarbete med uppgiftsinföraren, måste bedöma om något i det tredje landets lag/praxis kan påverka effektiviteten av den ”överföringsmekanism” som ska användas.

  • I de slutliga rekommendationerna har EDPB förtydligat att analysen av det tredje landets lagar och/eller praxis ska begränsas till lagstiftning och praxis som är relevant för skyddet av de personuppgifter som överförs.
  • EDPB har även öppnat upp för att använda en viss sannolikhetsbedömning. Av den första versionen framgick det explicit att man ej skulle göra subjektiva bedömningar, såsom en bedömning av hur sannolikt det är att myndigheter i ett tredje land begär ut och kommer åt personuppgifter. I de slutliga rekommendationerna har EDPB dock angivit att om det är osäkert huruvida uppgiftsinföraren och överföringen omfattas av en problematisk lagstiftning, kan överföringen ändock genomföras om den personuppgiftsansvarige kan visa att det saknas anledning att tro att den problematiska lagstiftningen i praktiken kommer att tillämpas på personuppgifterna. Vid en sådan bedömning kan den personuppgiftsansvarige bl.a. ta hänsyn till om uppgiftsinföraren, eller andra operatörer i samma bransch, faktiskt har varit föremål för en begäran om åtkomst från offentliga myndigheter. EDPB poängterar dock att frånvaron av tidigare begäran från myndigheter, inte i sig kan betraktas som en avgörande faktor för överföringsmekanismens effektivitet.
  • EDPB har även betonat att bedömningen främst ska baseras på lagstiftning och praxis som är allmänt tillgänglig. I den nya punkten 43 går EDPB i detalj in på vad detta betyder vilket är ett skifte från den första versionen, som i korthet angav att om lagstiftningen saknas, bör uppgiftsutföraren titta på andra relevanta och objektiva faktorer.

Uppförandekoder för molntjänster
Den 19 maj 2021 godkände EDPB även två utkast till beslut om gränsöverskridande uppförandekoder enligt artikel 40 i GDPR, s.k. code of conducts framtagna av branschen, efter begäran från de belgiska och franska tillsynsmyndigheterna. Dessa två uppsättningar uppförandekoder är riktade till molntjänstleverantörer och syftar till att definiera specifika krav för personuppgiftsbiträden som behandlar europeiska personuppgifter samt till att ge praktisk vägledning. Det följer av GDPR att efterlevnad av godkända uppförandekoder kan användas av en personuppgiftsansvarig/ett personuppgiftsbiträde som ett led i att påvisa att lagstiftningen efterlevs. Givet den problematik som följer av tredjelandsöverföring är det därför många molntjänstleverantörer som skyndat att ansluta sig till dessa uppförandekoder för att visa att de efterlever GDPR och att man kan lita på deras tjänster. Det kan dock konstateras att uppförandekoderna i sig inte erbjuder någon lösning för tredjelandsöverföring. Något annat var inte att vänta eftersom lösningen på problematiken med tredjelandsöverföringar inte enbart går att finna i vilka åtaganden som molntjänstleverantören gör gentemot den personuppgiftsansvarige inom ramen för en branschkod. Följaktligen har EDPB uttalat att uppförandekoderna inte är avsedda för internationell överföring av personuppgifter.

Standardavtalsklausulerna
EU-kommissionen har den 4 juni 2021 antagit två nya uppsättningar standardavtalsklausuler. Den ena syftar till att reglera förhållandet mellan personuppgiftsansvarig och ett personuppgiftsbiträde, dvs ett personuppgiftsbiträdesavtal, och den andra reglerar överföring av personuppgifter till tredje land i enlighet med GDPR. De sistnämnda klausulerna är flexibla och innehåller fyra moduler som kan anpassas efter om överföringen sker (i) från personuppgiftsansvarig till personuppgiftsansvarig, (ii) från personuppgiftsansvarig till personuppgiftsbiträde, (iii) från personuppgiftsbiträde till personuppgiftsbiträde eller (iv) från personuppgiftsbiträde till personuppgiftsansvarig. Syftet med de nya standardavtalsklausulerna är att skapa bättre förutsebarhet för europeiska verksamheter och underlätta det fria flödet av personuppgifter över de europeiska gränserna.

De nya klausulerna erbjuder flera nya åtaganden för personuppgiftsbiträdet, t.ex. en uttryckligen garanti att ingen av parterna har någon anledning att misstänka att lagar och praxis kommer att förhindra uppgiftsinföraren från att fullgöra sina skyldigheter enligt klausulerna. De nya klausulerna innebär dock inte att problematiken med tredjelandsöverföringar har fått en lösning. En missuppfattning vi ibland stöter på är att det är tillräckligt att ingå standardavtalsklausuler (eller att använda sig av annan mekanism) för att en överföring ska vara godtagbar enligt GDPR. Den ordning som gäller enligt Schrems II kvarstår dock och en bedömning av det mottagande landets lagstiftning måste därför alltid göras i enlighet med EDPB:s rekommendationer.

Nuvarande rättsläge
Även om de nya riktlinjer och instrument som har presenterats under de senaste månaderna utgör ett visst stöd vid hanteringen av tredjelandsöverföringar så är situationen alltjämt komplex och ett stort ansvar vilar fortsatt på den personuppgiftsansvarige. Varken uppförandekoden eller de nya riktlinjerna har inneburit några stora förändringar i förhållande till den ordning som införts genom Schrems II och många är de som brottas med frågan om de kan fortsätta att använda vissa molntjänster från USA och andra tredje länder utan att bryta mot GDPR. Även om de nya standardavtalsklausulerna kan tänkas underlätta vissa praktiska aspekter av tredjelandsöverföringar så kvarstår alltjämt ett stort behov av förtydliganden från politiskt håll (t.ex. ändrad amerikansk lagstiftning) samt andra legala anpassningar och mekanismer som möjliggör regelefterlevnad och samtidigt tillgodoser behovet av digitala lösningar för de verksamheter som träffas av GDPR. Fortsättningsvis gäller det därför att nogsamt inventera vilka tredjelandsöverföringar som sker inom en organisation samt utifrån EDPB:s rekommendationer göra en bedömning om det finns rättsligt stöd för överföringarna. För den som t.ex. vill använda tjänster från amerikanska molntjänsteleverantörer och samtidigt säkerställa att alla personuppgifter behandlas i enlighet med GDPR, är utmaningarna i många fall fortfarande stora.

Författare: Nina Palm och Anna Olofsson, Wistrand Advokatbyrå