EU: EU-domstolen ogiltigförklarar Privacy Shield i Schrems II-målet

EU-domstolen ogiltigförklarar beslut 2016/1250 om huruvida adekvat skyddsnivå kan säkerställs genom Privacy Shield vid överföring till USA (C-311/18). Däremot konstaterar domstolen att kommissionens beslut 2010/87 om standardavtalsklausuler för överföring av personuppgifter till personuppgiftsbiträden etablerade i ett tredje land är giltiga, givet att de kan verkställas i det tredjelandet.

Bakgrund

I dataskyddsförordningen (“GDPR”) föreskrivs att överföring av personuppgifter till ett tredjeland bara får ske under förutsättning att det aktuella tredjelandet säkerställer en adekvat skyddsnivå för dessa uppgifter. Enligt denna förordning kan kommissionen besluta att tredjelandet i fråga, med hänsyn till dess interna lagstiftning och internationella åtaganden, säkerställer en adekvat skyddsnivå.

I avsaknad av ett sådant beslut om adekvat skyddsnivå får en sådan överföring endast äga rum efter att en personuppgiftsansvarig som är etablerad i unionen har vidtagit lämpliga skyddsåtgärder, vilka bland annat kan utgöras av standardavtalsklausuler som antas av kommissionen, och under förutsättning att det finns lagstadgade rättigheter och effektiva rättsmedel för de registrerade. Vidare innehåller GDPR noggranna bestämmelser om villkoren för att en sådan överföring ska få äga rum i avsaknad av ett beslut om adekvat skyddsnivå eller lämpliga skyddsåtgärder.

EU-domstolens avgörande

EU-domstolen har konstaterat att det vid prövningen av beslut 2010/87 om standardavtalsklausuler, mot bakgrund av stadgan om de grundläggande rättigheterna, inte har framkommit någon omständighet som påverkar beslutets giltighet. Däremot ogiltigförklarade domstolen beslut 2016/1250 avseende möjligheterna att använda Privacy Shield som en laglig överföringsgrund.

EU:s standardavtalsklausuler

EU-domstolen har bekräftat standardavtalsklausulernas giltighet, men påpekade samtidigt att en överföring av personuppgifter till tredjeland inte får ske när klausulerna inte iakttas eller inte kan iakttas i det tredjelandet.

Domstolen konstaterade att GDPR är tillämplig på en överföring av personuppgifter i kommersiellt syfte från en näringsidkare etablerad i en medlemsstat till en annan näringsidkare etablerad i ett tredjeland, trots att dessa uppgifter, under eller efter denna överföring, kan komma att behandlas av myndigheterna i det tredjelandet för ändamål som avser allmän säkerhet, försvar och nationell säkerhet.

Domstolen preciserade även att denna typ av behandling av personuppgifter av myndigheterna i ett tredjeland inte innebär att en sådan överföring faller utanför förordningens tillämpningsområde.

Det ankommer istället på de nationella domstolarna och tillsynsmyndigheterna att bedöma huruvida en tredjelandsöverföring kan genomföras med stöd av standardavtalsklausulerna. Vid denna bedömning ska även hänsyn tas till de relevanta delarna i rättssystemet i det tredjelandet, samt huruvida myndigheterna i det tredjelandet eventuellt har åtkomst till överförda personuppgifter.

Domstolens uttalande utgör en stark begränsning av hur standardavtalsklausulerna kan användas för tredjelandsöverföringar i framtiden. Mot bakgrund av möjligheterna till övervakning i USA är det osäkert i vilken utsträckning företag, myndigheter och andra organisationer kommer kunna använda sig av standardavtalsklausulerna för överföring av personuppgifter till USA. Vissa organisationer kommer troligtvis att välja bort sådana tredjelandsöverföringar till exempel genom att välja leverantörer inom EU/EES.

Ta del av EU-domstolens pressmeddelande här, och domen här.

Vill du lära dig mer om GDPR, molntjänster och informationssäkerhet kan du läsa om våra aktuella kurser här.

Vill du ha hjälp med rådgivning i frågor om dataskydd och personlig integritet kan du läsa mer här.

Vill du ha vårt nyhetsbrev?

Vi skickar regelbundet ut fullmatade nyhetsbrev med tips, erbjudanden och det senaste inom dataskydd och personlig integritet.