Den Europeiska dataskyddsstyrelsen (“EDPB”) har tagit fram riktlinjer för tredjelandsöverföringar med anledning EU-domstolens beslut att ogiltigförklara Privacy Shield i Schrems II-målet. Riktlinjerna beskriver vad som gäller för myndigheter, företag och andra organisationer vid överföring av personuppgifter till tredjeländer och särskilt till USA.
Problem vid användning av amerikanska molntjänstleverantörer
Schrems II-målet har lett till en stor osäkerhet om vad som gäller vid användning av populära molntjänster som tillhandahålls av amerikanska leverantörer som till exempel Microsoft Azure, Microsoft 365, Amazon Web Service, Google Cloud eller Google G-Suite. Osäkerheten förstärks av att tydligheten i de olika europeiska dataskyddsmyndigheternas rekommendationer till följd av Schrems II-målet varierar och att leverantörer och juridiska rådgivare tolkar EU-domstolens beslut på olika sätt.
EDPB:s nya riktlinjer förtydligar åter igen EU-domstolens slutsats att överföring till mottagare i USA som omfattas av sektion 702 FISA strider mot dataskyddsförordningens (”GDPR”) regler för tredjelandsöverföringar (se punkt 44 i riktlinjerna). Detta gäller även om överföringen baseras på EU-kommissionens standardavtalsklausuler (”SCC”), ett rättsligt instrument som används av ett flertal molntjänstleverantörer för att överföra personuppgifter till USA. Eftersom amerikanska molntjänstleverantörer, däribland Microsoft, Google och Amazon, vanligtvis omfattas av sektion 702 FISA innebär användning av molntjänster som tillhandahålls av dessa leverantörer en risk för att bryta mot GDPR och ytterst sanktionsavgifter.
Kryptering och pseudonymisering som avhjälpande åtgärder
Enligt EU-domstolen kan överföring av personuppgifter till amerikanska molntjänstleverantörer som omfattas av sektion 702 FISA ändå vara förenlig med GDPR om den som överför personuppgifterna vidtar ytterligare åtgärder som säkerställer en tillräcklig skyddsnivå för personuppgifterna. Enligt EDPB:s riktlinjer kan kryptering eller pseudonymisering av personuppgifter i vissa fall räknas som sådana ytterligare åtgärder.
Det ställs dock höga krav på åtgärdernas implementering. När det gäller kryptering krävs det till exempel att den som vill överföra personuppgifter använder en tillräckligt stark krypteringsmetod som säkerställer att krypteringen varken kan brytas idag eller i framtiden Personuppgifterna ska därmed förbli konfidentiella under hela denna tidsperiod. Mot bakgrund av den snabba tekniska utveckling som råder kan det därmed vara svårt att förutse vilka av dagens krypteringsmetoder som kommer vara tillräcklig starka om till exempel fem eller tio år.
Vidare krävs det att krypteringsnycklarna stannar hos den som upphandlar molntjänstleverantören, vilket innebär att molntjänstleverantören inte ska har möjlighet att få tillgång till krypteringsnycklarna. Detta innebär att krypteringsåtgärder som tillhandahålls av molntjänstleverantörer men där molntjänstleverantörer får tillgång till krypteringsnycklarna, till exempel Office 365 Customer Keys eller Office Message Encryption som erbjuds av Microsoft, inte kan användas.
Även den som vill använda pseudonymisering som ytterligare åtgärd har krav att uppfylla. Det ska exempelvis inte vara möjligt för någon annan än verksamheten som anlitar molntjänstleverantören att identifiera enskilda individer med hjälp av de pseudonymiserade uppgifterna. Detta förutsätter att uppgifterna har pseudonymisierats på en nivå som gör det omöjligt för bland annat amerikanska brottsbekämpande myndigheter att identifiera enskilda individer med hjälp av all tänkbar kompletterande information som myndigheten kan ha åtkomst till.
Slutsats
EDPB:s riktlinjer bekräftar således vår tidigare slutsats att Schrems II-målet leder till risker vid användning av amerikanska molntjänstleverantörer (se till exempel här). Även om det teoretiskt sätt är möjligt att vidta ytterligare åtgärder för att säkerställa en tillräcklig skyddsnivå vid överföring av personuppgifter till USA kan det i praktiken vara svårt för många företag, myndigheter och andra organisationer att implementera åtgärderna på den nivå som krävs, då implementering av kryptering eller pseudonymisering, på den nivå som krävs enligt EDPB:s riktlinjer, förutsätter såväl resurser som expertis vilket i sin tur kan leda till ökade kostnader.
Ta del av EDPB:s riktlinjer här.
Vill du lära dig mer om dataskydd och informationssäkerhet kan du läsa om våra aktuella kurser här.
Vill du ha hjälp med rådgivning i frågor om dataskydd och informationssäkerhet kan du läsa mer här.