Generaladvokatens förslag till avgörande i Schrems II-målet
Den 19 december 2019 meddelade generaladvokaten sitt förslag till avgörande i mål c-311/18 (Schrems II). I yttrandet ger generaladvokaten sin syn på giltigheten av EU-kommissionens beslut 2010/87/EU om s.k. standardavtalsklausuler för överföring av personuppgifter till tredje land. Generaladvokaten berör i yttrandet även frågan om giltigheten av EU-kommissionens beslut 2016/1250 om skölden för skydd av privatlivet i EU och Förenta staterna (”Privacy Shield”) som mekanism för överföring av personuppgifter till USA enligt EU:s dataskyddsförordning (”GDPR”).
Schrems II-målet kan sägas vara en uppföljare till EU-domstolens dom i mål c-362/14 (Schrems I) i vilket EU-domstolen ogiltigförklarade EU-kommissionens Safe Harbor-beslut (föregångaren till Privacy Shield). Safe Harbor beslutet underkändes p.g.a. att det inte garanterade de registrerade en adekvat skyddsnivå (läs mer om domen Schrems I-målet här). Generaladvokatens förslag till avgörande är inte bindande för EU-domstolen. Yttrandet kan dock komma att bli vägledande för domstolen.
Enligt GDPR och EU:s stadga om de grundläggande rättigheterna (”EU-stadgan”) får en personuppgiftsansvarig inom det Europeiska samarbetsområdet (”EEA”) överföra personuppgifter till ett land utanför EEA (ett ”tredje land”) på grundval av ett beslut från EU-kommissionen om att det tredje landet har en adekvat skyddsnivå för personuppgifter. I brist på ett sådant beslut får personuppgifter enbart överföras om överföringen omfattas av lämpliga skyddsåtgärder enligt GDPR. Sådana lämpliga skyddsåtgärder kan bl.a. bestå i att den personuppgiftsansvarige ingår ett avtal baserat på standardavtalsklausuler som godkänts av EU-kommissionen med den organisation i tredje land som ska behandla personuppgifterna.
Standardavtalsklausuler
En av frågorna i Schrems II-målet är huruvida EU-kommissionens beslut 2010/87/EU om användning av standardavtalsklausuler för överföring av personuppgifter till organisationer i tredje land är giltigt. Frågan är något förenklat – i likhet med Schrems I målet – huruvida standardavtalsklausulerna på ett adekvat sätt skyddar de registrerades rättigheter. Detta särskilt med beaktande av att standardavtalsklausulerna inte ger de registrerade tillgång till rättsmedel i det tredje landet i fråga för att tillvarata de rättigheter som följer av GDPR och EU-stadgan.
Generaladvokaten anser i sitt yttrande inte att EU-kommissionens beslut 2010/87/EU i sig ska anses ogiltigt. Det åligger dock enligt generaladvokaten den personuppgiftsansvarige – eller, om den personuppgiftsansvarige inte gör det, tillsynsmyndigheten – att för varje specifik överföring granska huruvida lagen i det tredje landet utgör ett hinder mot användning av standardavtalsklausulerna. Enligt generaladvokaten förutsätter användning av standardavtalsklausuler vidare att det finns tillräckligt starka mekanismer för den personuppgiftsansvarige eller tillsynsmyndigheten att avbryta eller förbjuda överföringen till tredje land om personuppgifter behandlas i strid med standardavtalsklausulerna eller om dessa inte går att tillämpa i det tredje landet.
Om vi leker med tanken att EU-domstolen skulle döma helt i enlighet med generaladvokatens förslag framstår det som att personuppgiftsansvariga även i fortsättningen kan förlita sig på användning av standardklausuler för att överföra personuppgifter till tredje land. Det är dock viktigt att notera att generaladvokatens yttrande endast tar sikte på att EU-kommissionens beslut 2010/87/EU i sig inte bör ogiltigförklaras. Generaladvokatens förslag till avgörande inskärper den personuppgiftsansvariges eget ansvar att i varje enskilt fall och kontinuerligt under överföringens varaktighet bedöma om standardklausulerna ger ett fullgott skydd för de registrerades rättigheter mot bakgrund av bl.a. lagstiftningen i det tredje landet i fråga.
Privacy Shield
I yttrandet gav generaladvokaten även sin syn på giltigheten av EU-kommissionens beslut om Privacy Shield som mekanism för laglig överföring av personuppgifter till USA. Generaladvokaten ställer sig sammanfattningsvis tveksam till Privacy Shield-beslutets giltighet. Tveksamheten tar i korthet sikte dels på USAs lagstiftning om NSAs rätt till tillgång till data, dels på brister i registrerades tillgång till effektiva rättsmedel i USA. Generaladvokaten anser dock inte att giltigheten av EU-kommissionens beslut om Privacy Shield var en relevant fråga för EU-domstolen att besvara i just det här målet. Om EU-domstolen väljer att gå på generaladvokatens linje kommer således frågan om EU-kommissionens Privacy Shield-beslut inte att prövas i Schrems II-målet.
Relaterat innehåll