Den Europeiska dataskyddsstyrelsen (“EDPB”) har publicerat vägledande kommentarer i form av en FAQ om EU-domstolens beslut i Schrems II-målet (C-311/18).
EDPB:s kommentarer syftar i huvudakt till att ge svar på några vanliga frågor som kommit in från olika tillsynsmyndigheter. Kommentarerna kommer att utvecklas och kompletteras tillsammans med ytterligare analyser i takt med att EDPB fortsätter att bedöma EU-domstolens beslut.
Bland frågor som kommenterades klargjorde EDPB att EU-domstolens beslut inte ger personuppgiftsansvariga någon övergångsperiod vad gäller ogiltigförklarandet av Privacy Shield-ramverket. Företag och andra organisationer som använder Privacy Shield måste därför omgående hitta alternativa lagliga grunder för att även fortsättningsvis överföra personuppgifter till USA.
När det gäller EU:s standardavtalsklausuler (“SCC”) betonade EDPB att personuppgiftsansvariga etablerade i EU och mottagare i tredjeländer är skyldiga att innan överföringen påbörjas, kontrollera om det aktuella tredjelandet har åtkomst till personuppgifterna på ett sätt som går utöver vad som är tillåtet enligt europeisk dataskyddslagstiftning. Om så är fallet kan SCC inte längre användas som rättslig grund för tredjelandsöverföringen varför överföringen av personuppgifter måste avbrytas. Om en personuppgiftsansvarig trots detta avser att fortsätta överföra personuppgifter med stöd av SCC, måste den behöriga tillsynsmyndigheten informeras om behandlingen.
EDPB meddelar vidare att de för närvarande analyserar EU-domstolens beslut för att fastställa vilken typ av kompletterande åtgärder (lagliga, tekniska eller organisatoriska) som kan vidtas av personuppgiftsansvariga för att även fortsättningsvis kunna överföra personuppgifter till tredjeländer där SCC eller bindande företagsbestämmelser (”BCR”) inte kommer att ge den nödvändiga skyddsnivå som krävs på egen hand.
Slutligen betonade EDPB att det fortfarande är möjligt att överföra uppgifter från EU/EES till USA på grundval av särskilda undantag enligt artikel 49 i dataskyddsförordningen (”GDPR”), samt att personuppgiftsansvariga kan bli tvungna att förhandla om ingångna personuppgiftsbiträdesavtal enligt artikel 28 i GDPR.
Du kan läsa EDPB:s vägledande kommentarer här.
Du kan läsa mer om EU-domstolens beslut i Schrems II-målet här.
Vill du lära dig mer om GDPR, molntjänster och informationssäkerhet kan du läsa om våra aktuella kurser här.
Vill du ha hjälp med rådgivning i frågor om dataskydd och personlig integritet kan du läsa mer här.