EU-domstolen kom i somras med en dom som underkände kommissionens beslut om att det finns adekvat skyddsnivå vid överföring av personuppgifter till USA ”Privacy Shield” (dom den 16 juli 2020 i mål C-311/18). Det innebär att det inte längre finns någon giltig generell överenskommelse att luta sig mot vid överföring av personuppgifter mellan EU och USA och därmed är det inte heller lagligt att överföra personuppgifter dit om överföringen inte kan stödjas på någon annan grund i dataskyddsförordningen (GDPR).
Över 100 organisationer är anmälda till olika tillsynsmyndigheter inom Europa för att de fortsätter med överföringar av personuppgifter i stor skala genom bland annat användning av Google Analytics och Facebook Connect. Av de anmälda finns ett antal svenska företag representerade som nu riskerar tillsyn och tuffa sanktioner. Det är med andra ord hög tid för organisationer att se över sin personuppgiftsbehandling och vidta åtgärder.
Frågan är dock vad som gäller för de organisationer som vill fortsätta kommunicera via sociala medier. Kan organisationen fortsätta posta bilder från verksamheten på sociala medier eller är den tiden passé? Vi ska i denna artikel försöka reda ut vad som gäller idag och ge några praktiska råd som vi brottas med i vårt dagliga arbete tillsammans med våra klienter.
Bakgrund
Bakgrunden till målet är den österrikiska juristen och aktivisten Max Schrems som återigen lyckats få till en prövning i EU-domstolen rörande rätten för Facebook Ireland Ltd att hantera personuppgifter som överförs till dess moderföretag i USA. Sådana överföringar till tredje land, exempelvis USA, är som huvudregel förbjudna om inte ett undantag i GDPR kan tillämpas (se artiklarna 45–50 i GDPR). Ett sådant undantag ger kommissionen rätt enligt artikel 45 att besluta om att visst tredje land har en adekvat skyddsnivå. Sådana beslut fattas efter att EU-kommissionen kommit överens med ett tredje land om villkoren för överföringar. Ett sådant beslut var det mellanstatliga avtalet Privacy Shield- mellan EU och USA som sålunda upphävdes av EU-domstolen i juli. EU-domstolen menade bland annat att amerikanska myndigheters möjligheter att i stor skala övervaka och samla in personuppgifter om EU-medborgare gör att det reella skyddet för personuppgifter i USA inte lever upp till en adekvat skyddsnivå varken enligt GDPR eller EU-stadgan om de grundläggande rättigheterna, däribland rätten till privatliv och till personuppgifter.
Vidare innehåller GDPR undantag enligt vilka personuppgiftsöverföring får ske till tredje land om de förenas med lämpliga skyddsåtgärder enligt artikel 46. En sådan skyddsåtgärd är att stödja sin personuppgiftsöverföring på standardavtalsklausuler som har godkänts av kommissionen.
Prövningen i målet Schrems II omfattade förutom Privacy Shield också just personuppgiftsbehandling med stöd av sådana godkända standardavtalsklausuler. Domstolen konstaterade att standardavtalsklausulerna fortfarande kan användas. Klausulerna måste dock ge en skyddsnivå som ger en ”väsentligen likvärdig skyddsnivå” för registrerade som den som finns under GDPR. De krav som ställs på organisationer som vill överföra personuppgifter till tredje land blir således mycket långtgående även om man använder standardavtalsklausuler eftersom man har en undersökningsplikt både att ta reda på vilket skydd personuppgifterna i praktiken har i tredjelandet, hur lagstiftningen där ser ut och dessutom ett ansvar att informera de registrerade om skydd och risker.
Av domen i Schrems II följer dessutom att tillsynsmyndigheterna i medlemsländerna aktivt ska ingripa mot personuppgiftsansvariga som överför personuppgifter till tredje land utan rättsligt stöd. Vi kan alltså förvänta oss en mer aktiv tillsyn än vad som skedde då EU-domstolen genom domen i målet Schrems I ogiltigförklarade den tidigare lösningen för personuppgiftsöverföringar mellan EU och USA -kallad Safe Harbour.
Organisationens ansvar
Svenska Datainspektionen har kommit med en vägledning som betonar organisationernas ansvar under den rådande situationen:
”Organisationen måste kartlägga vilka flöden av personuppgifter som finns i organisationen och i vilka fall personuppgifter kan komma att överföras till tredje land. Om uppgifter överförs till tredje land bör organisationen försöka utröna hur skyddet hos det mottagande landet ser ut i det särskilda fallet. Därefter måste ni ta ställning till om det finns stöd för överföringen eller inte. I era avtal med eventuella personuppgiftsbiträden ska det framgå om personuppgifter överförs till tredje land. Ni bör även ta reda på om eventuella underleverantörer överför uppgifter till tredje land. Många tjänster överför idag uppgifter till tredje land.”
Undantagsbestämmelserna i GDPR om fall där tredjelandsöverföringar är tillåtna innehåller också en bestämmelse i artikel 47 om bindande företagsbestämmelser där en bolagskoncern får godkännande av en tillsynsmyndighet för en intern uppförandekod för tredjelandsöverföringar för personuppgifter. Idag finns sådana godkända bindande företagsbestämmelser endast för koncernen Tetra Pak men vi har anledning att anta att dessa nu kommer öka i antal.
Under vissa omständigheter kan överföring till tredje land därutöver stödjas på artikel 49 i GDPR som är ett undantag när beslut om adekvat skyddsnivå saknas. Artikel 49.1 a anger att personuppgifter får överföras till ett tredjeland eller en internationell organisation när det inte föreligger något beslut om adekvat skyddsnivå eller lämpliga skyddsåtgärder enligt artikel 45.3, eller lämpliga skyddsåtgärder enligt artikel 46, inbegripet bindande företagsbestämmelser, på villkor att ”den registrerade uttryckligen har samtyckt till att uppgifterna får överföras, efter att först ha blivit informerad om de eventuella riskerna med sådana överföringar för den registrerade när det inte föreligger något beslut om adekvat skyddsnivå eller lämpliga skyddsåtgärder”. Samtycket måste vara uttryckligt, specifikt och informerat. Det ställs med andra ord särskilt höga krav på utformningen i likhet med hur samtycken i övrigt ska utformas enligt GDPR och tillsynsmyndigheternas vägledning. I artikel 49.1 b finns därtill ett undantag som omfattar avtal, där ”överföringen är nödvändig för att fullgöra ett avtal mellan den registrerade och den personuppgiftsansvarige eller för att genomföra åtgärder som föregår ett sådant”. För att överföring av uppgifter på grundval av detta undantag ska kunna ske krävs att överföringen är tillfällig och nödvändig.
De båda nämnda undantagen i artikel 49 får emellertid inte tillämpas på åtgärder som vidtas av offentliga myndigheter som ett led i utövandet av deras offentliga befogenheter. Vår tolkning av vad som avses med denna formulering är att undantagen inte är tillämpliga vid myndighetsutövning som innefattar handläggning av ärenden, däremot kan de möjligen tillämpas när myndigheter utför andra typer av uppgifter som inte innebär att beslut fattas gentemot enskild.
Såsom nämns ovan måste information dessutom ges om eventuella risker för den registrerade som uppkommer på grund av att adekvat skydd saknas i tredjelandet och att lämpliga skyddsåtgärder saknas. Datainspektionen anger att ett sådant meddelande bör innefatta exempelvis information om
att det eventuellt inte finns någon tillsynsmyndighet och/eller några databehandlingsprinciper och/eller rättigheter för den registrerade i tredjelandet. För att stödja överföring av personuppgifter i sociala medier krävs sålunda en analys av undantagen utifrån den överföring som planeras.
Rekommendation i dagsläget till organisationer som överväger att använda sociala medier
Vår rekommendation till er som vill fortsätta kommunicera med personuppgifter i form av exempelvis bilder via sociala medier är att i ett första steg kontrollera om användningen innebär överföring av personuppgifter till tredje land. Sker överföring av personuppgifter till tredje land – vilket merparten av alla sociala medieplattformar gör i dagsläget – bör en kontroll ske om det sociala mediet tillämpar godkända standardavtalsklausuler vid överföringen.
Oavsett standardavtalsklausuler behöver organisationen genomföra en konsekvensanalys i enlighet med regelverket i GDPR och tydligt dokumentera personuppgiftsbehandlingen och de överväganden som gjorts, vilka rättsliga grunder som organisationen stödjer behandlingen på, om tillräckligt tydlig information ges till de registrerade, vilka skyddsåtgärder organisationen vidtar för behandlingen etc.
Ni kan därutöver undersöka om den behandling som övervägs kan hitta stöd i något undantag i GDPR t.ex. avtal eller samtycke. Tänk dock på att undantagen är just undantag för tillfällig överföring och observera att de samtycken, avtal med registrerade och dessutom personuppgiftsbiträdesavtal och underbiträdesavtal som användes innan 16 juli 2020 sannolikt inte uppfyller informationskraven och behöver uppdateras.
EU och USA har båda signalerat att man är intresserade av att diskutera en lösning för dataflödena mellan regionerna men det är svårt att se att en generell lösning liknande en ny Privacy Shield går att uppnå med annat än mer långtgående politiska beslut än man hittills visat vilja på. Europeiska Dataskyddsstyrelsen har tillsatt en arbetsgrupp som ska komma med vägledning med anledning av Schrems II, bland annat med förslag på andra skyddsåtgärder som organisationer kan förena med standardavtalsklausuler så som kryptering och begränsning av tillgång till uppgifterna genom tekniska och organisatoriska åtgärder. Men det finns alltså, i väntan på dessa, flera åtgärder som organisationer som överför personuppgifter till tredjeländer som USA genom exempelvis sociala medier, lagring eller molntjänster kan börja vidta redan idag.