Den Europeiska Datatillsynsmannen (“EDPS”) har tagit fram en strategi för att säkerställa att EU:s institutioner efterlever dataskyddsförordningens (”GDPR”) regler för överföring av personuppgifter till tredjeländer, särskilt till USA. Strategin har tagits fram mot bakgrund av EU-domstolens beslut (C-311/18) i Schrems II-målet (läs mer om detta här).
Som del av strategin kräver EDPS att samtliga EU:s institutioner kartlägger pågående tredjelandsöverföringar och rapporterar riskfyllda överföringar till EDPS. Riskfyllda överföringar avser bland annat överföringar till mottagare i USA som omfattas av sektion 702 i FISA eller Executive Order 12333. Kartläggningen och rapporteringen ska vara genomförd senast den 15 november 2020. EDPS flaggar för att EU:s institutioner kan komma att beordras att avsluta pågående tredjelandsöverföringar. Vidare rekommenderar EDPS att EU:s institutioner ska säkerställa att nya personuppgiftsbehandlingar och nya avtal med tjänsteleverantörer inte leder till att personuppgifter överförs till USA.
EDPS strategi förtydligar europeiska dataskyddsmyndigheters inställning till personuppgiftsöverföringar till USA i ljuset av EU-domstolens beslut i Schrems II-målet. Personuppgiftsöverföringar till USA är vanligt förekommande vid användning av populära amerikanska molntjänstleverantörer som till exempel Microsoft, Google och Amazon (läs mer om detta här). Eftersom amerikanska molntjänstleverantörer vanligtvis omfattas av sektion 702 FISA är det osannolikt att europeiska företag och myndigheter kan fortsätta att använda dessa leverantörer utan att vidta ytterligare åtgärder.
Troligtvis kommer fler europeiska dataskyddsmyndigheter vidta åtgärder för att säkerställa att myndigheter och företag följer GDPR:s regler för tredjelandsöverföringar. Senast i oktober har Frankrikes dataskyddsmyndighet CNIL utrett tjänsten Microsoft Azure. Vidare har Frankrikes högsta förvaltningsdomstol Conseil d´État krävt att Microsoft ska anpassa sina avtal för tjänsten Microsoft Azure utifrån EU-domstolens beslut i Schrems II-målet (läs mer om detta här).
Läs EDPS pressmeddelande här och strategi här, båda endast tillgängliga på engelska.
Vill du lära dig mer om GDPR, molntjänster och informationssäkerhet kan du läsa om våra aktuella kurser här.
Vill du ha hjälp med rådgivning i frågor om dataskydd och personlig integritet kan du läsa mer här.