Nyheter 17 november 2015

Ny dom från EU-domstolen försvårar överföring av personuppgifter till USA

I början av oktober kom en dom från EU-domstolen som ogiltigförklarar de så kallade Safe Harbor-principerna. Domen innebär att de företag som hittills förlitat sig på principerna måste se över alternativa åtgärder för fortsatt överföring av personuppgifter till USA.

Bakgrund
Under cirka 15 års tid har Safe Harbor-principerna gjort det möjligt att överföra personuppgifter från EU/EES till USA. Nu är det slut på det, då EU-domstolen den 6 oktober ogiltigförklarade principerna då de inte ansågs nå upp till den säkerhetsnivå som EU:s dataskyddslagstiftning kräver. Domstolen menade bland annat att principerna inte på ett tillräckligt sätt ansågs förhindra amerikanska myndigheters åtkomst till personuppgifterna.

Olaglig överföring
Domen får stora konsekvenser för företag som förlitat sig på Safe Harbor-principerna, oavsett om man är personuppgiftsansvarig som anlitat ett biträde i USA eller vice versa. I och med domen är nämligen all överföring till USA baserad på Safe Harbor-principerna olaglig.

Den så kallade Artikel 29-gruppen som består av representanter från dataskyddsmyndigheterna inom EU har i ett uttalande förklarat att inga åtgärder kommer vidtas till följd av domen förrän den 31 januari 2016. I praktiken har alltså organisationer som berörs av domen fått en frist för att vidta nödvändiga åtgärder. Efter fristen förväntas dock myndigheterna agera mot de företag som inte anpassat sig till den nya situationen.

Modellklausulerna fortsatt giltiga
Alternativa sätt för att säkerställa lagenlig överföring till USA är de så kallade modellklausulerna eller Binding Corporate Rules (inom företagsgrupper). Dessa gäller fortfarande. Även samtycke till sådan överföring kan – i den mån det är praktiskt möjligt – vara en lösning. Mot bakgrund av EU-domstolens ställningstagande i förhållande till Safe Harbor-principerna och uttalanden från Artikel 29-gruppen, är det troligt att även modellklausulerna eller Binding Corporate Rules kommer att utvärderas framöver.

Samtal pågår
Diskussioner mellan EU och amerikanska myndigheter har pågått under en tid om reviderade Safe Harbor-principer, vilka intensifierats efter EU-domstolens avgörande. Om det kommer vara möjligt att på detaljnivå jämka samman EU:s strikta syn på skyddet för personuppgifter med amerikanska intressen innan den 31 januari 2016 är likväl oklart – särskilt i ljuset av den pågående reformen av EU:s dataskyddsregler som skulle medföra ännu strängare regler och ett utökat tillämpningsområde.

Fram till dess att det anas en ljusning på den aktuella horisonten finns anledning för företag att:
– inventera om företaget har avtal och samarbeten som berör överföring av personuppgifter till USA (vare sig detta gäller koncerninterna överföringar, avtal med molntjänstleverantörer eller andra samarbetspartners), och
– i förekommande fall undersöka om överföringen baseras på Safe Harbor-principerna, samt
– om så är fallet utvärdera alternativa åtgärder för fortsatt tillåten dataöverföring till USA.

Erik Ullberg, Advokat
E: erik.ullberg@wistrand.se
T: 031-771 21 76