Dom i Schrems II – möjligheterna att föra över personuppgifter till USA begränsas kraftigt
Idag, den 16 juli 2020, meddelade EU-domstolen sitt avgörande i det så kallade ”Schrems II-målet” (som det tidigare rapporterats om på Delphi Tech Blog här och här). Genom domen begränsas möjligheterna att föra över personuppgifter till USA från EU och EES kraftigt och överföringsmekanismen Privacy Shield som används av många aktörer idag ogiltigförklaras helt. Även de så kallade standardavtalsklausulerna (även kallade modellklausuler), som är en av de vanligaste mekanismerna för överföringar ut ur EU/EES, prövas i målet men ogiltigförklaras inte. Däremot skapar domen stor osäkerhet runt möjligheten att fortsatt använda dem i samband med överföringar till USA.
Målets bakgrund är att den österrikiska medborgaren och privacy-aktivisten Max Schrems genom en domstolsprocess på Irland bestridit Facebooks europeiska dotterbolag Facebook Irelands rätt att föra över hans personuppgifter till USA. Det finns krav i den europeiska dataskyddslagstiftningen (sedan 2018 genom dataskyddsförordningen/GDPR) på att särskilt lagligt stöd måste finnas när personuppgifter förs ut till länder utanför EU och EES. I målet prövas som nämnt ovan lagligheten av Privacy Shield och standardavtalsklausulerna, de överlägset dominerande mekanismerna för att föra över personuppgifter till USA i nuläget.
EU-domstolen bedömer i målet att det skydd som ges i Privacy Shield är för svagt och att amerikanska myndigheter har för generella möjligheter att få åtkomst till personuppgifter mot bakgrund av intressen som ”nationell säkerhet, allmänintresset och rättsefterlevnaden”. Det är formuleringar från Privacy Shield-beslutet som EU-domstolen anser är för generella. Detta särskilt mot bakgrund av de övervakningsprogram som genomförs av den amerikanske regeringen, där Prism och Upstream nämns som exempel. Sammanfattningsvis gör domstolen bedömningen att överföringarna inom ramen för Privacy Shield utgör en för stor risk för att rättighetsskyddet för enskilda enligt EU-rätten kränks och ogiltigförklarar mekanismen.
Standardavtalsklausulerna ogiltigförklaras inte av EU-domstolen i målet, men domstolens resonemang runt de krav som ställs för att kunna använda dem i praktiken skapar osäkerhet kring i vilken utsträckning de kan användas för överföringar till USA, särskilt mot bakgrund av EU-domstolens resonemang runt USA:s övervakningsprogram och skyddet för personuppgifter i landet. EU-domstolen poängterar i domen också att de europeiska tillsynsmyndigheterna har en skyldighet att förbjuda överföring med hjälp av standardavtalsklausulerna till länder som inte erbjuder tillräckligt skydd för personuppgifter.
Domen får redan nu ses som ett av de allra mest betydelsefulla avgörandena från EU-domstolen på personuppgiftsområdet. En viktig fråga för många som för över personuppgifter till USA blir nu att se över vilka möjligheter som finns för att identifiera ett nytt lagligt stöd för den sortens överföringar. Mycket kommer finnas att säga även om uppföljande agerande från europeiska tillsynsmyndigheter och andra aktörer. Delphi kommer därför att återkomma och behandla denna dom och dess efterspel i närmare detalj.
Relaterat innehåll