EU: Tillsynsmyndigheters uttalanden om Schrems II-målet

EU-domstolen meddelade den 16 juli 2020 dom i mål C-311/18 (“Schrems II-målet”) att personuppgifter inte längre lagligen kan överföras till USA (eller behandlas med åtkomst från USA) med stöd av Privacy Shield-ramverket. EU-domstolen uttalar sig också om EU-kommissionens standardavtalsklausuler (“SCC”). Du kan läsa mer om Schrems II-målet här.

Som följd av EU-domstolens avgörande har flera tillsynsmyndigheter runt om i Europa publicerat uttalanden om vad som gäller för överföring till tredjeländer framöver. Nedan har vi sammanställt några av tillsynsmyndigheterna yttranden.

Sverige

Datainspektionen meddelar att EU-domstolen slagit fast att Privacy Shield-avtalet mellan EU och USA inte ger ett tillräckligt skydd för personuppgifter när dessa förs över till USA. Ogiltigförklarandet av Privacy Shield innebär därmed att det inte längre är tillåtet för personuppgiftsansvariga i EU att med Privacy Shield som grund överföra personuppgifter till mottagare i USA. Domstolen ansåg däremot att Kommissionens beslut om standardavtalsklausuler är giltiga och att sådana kan användas vid överföring till länder utanför EU och EES, i tillämpliga fall, tillsammans med ytterligare skyddsåtgärder.

Datainspektionen meddelar vidare att den Europeiska Dataskyddsstyrelsen (EDPB) haft ett plenarmöte där domen diskuterats. EDPB kommer därefter att närmare analysera domen och överväga hur EDPB ska arbeta vidare med information och vägledning i de frågor som domen aktualiserar.

Du kan läsa uttalandet här.

Norge

Den norska dataskyddsmyndigheten Datatilsynet noterade att det fortfarande är upp till personuppgiftsansvariga och mottagare i tredjeländer att bedöma om skyddsnivån i de normala sekretessbestämmelserna också kommer att respekteras i mottagarlandet.

Enligt Datatilsynet måste att alla företag som för närvarande använder Privacy Shield-ramverket överväga andra grunder för överföring av uppgifter till USA. Vidare krävs samarbete med andra tillsynsmyndigheter inom EES för att ytterligare vägledning för att hjälpa företagens efterlevnad av beslutet.

Du kan läsa uttalandet, endast tillgängligt på norska, här.

Irland

Den irländska dataskyddsmyndigheten DPC välkomnade domen eftersom den gav klarhet om ansvarsfördelningen mellan utpekad kontaktperson inom Privacy Shield-ramverket och de nationella tillsynsmyndigheterna när det gäller att säkerställa att EU-medborgarnas rättigheter skyddas i samband med överföringar mellan EU och USA.

Vidare påpekade DPC att myndigheten och EU-domstolen enats i åsikten att, oavsett vilken mekanism som används för att överföra uppgifter till ett tredje land, måste EU-medborgarna få motsvarande skydd som det som åtnjuts inom EU.

Slutligen framhöll DPC att EU-domstolens beslut om att SCC i princip är giltig, även om tillämpningen av SCC på överföringar av personuppgifter till USA ifrågasätts, men att detta är en fråga som kräver ytterligare och mer noggrann granskning, inte minst för då bedömningar måste göras från fall till fall.

Du kan läsa uttalandet, endast tillgängligt på engelska, här.

Tyskland

Rheinland-Pfalz

Rheinland-Pfalz tillsynsmyndighet för dataskydd (“LfDI Rheinland-Pfalz”) konstaterar att EU-domstolen ogiltigförklarat Privacy Shield som rättslig grund för överföring av personuppgifter till USA, samt att domstolen bekräftat giltigheten av SCC för överföringar till tredjeländer, samtidigt som EU-domstolen i sitt beslut gjort det klart att företag inte kan befria sig från sina skyldigheter att granska mottagarlandet genom att använda SCC.

Dessutom konstaterade LfDI Rheinland-Pfalz att överföringar baserade på Privacy Shield är olagliga att från och med den 16 juli 2020, och att personuppgiftsansvariga av personuppgifter omedelbart måste byta till andra överföringsinstrument i kapitel V i den allmänna dataskyddsförordningen (GDPR). Enligt LfDI Rheinland-Pfalz kommer det alltså inte finns någon övergångsperiod för efterlevnad av GDPR vid tredjelandsöverföringar. Rent konkret innebär detta att om inga andra överföringsinstrument finns tillgängliga, och det inte finns något undantag enligt artikel 49 i GDPR, måste personuppgiftsansvariga avbryta överföringen.

Vidare föreskrev LfDI Rheinland-Pfalz att giltiga SCC-avtal inte behöver ändras, men att EU-domstolen gjort det klart att personuppgiftsansvariga som använder SCC måste uppfylla sina skyldigheter. Om mottagaren i ett tredjeland är underkastad lagar som gör det omöjligt för dem att följa instruktionerna från personuppgiftsansvariga och uppfylla sina avtalsenliga skyldigheter, har personuppgiftsansvariga i EU rätt att avbryta överföringen och/eller att dra sig ur upprättat avtal för att inte bryta mot bestämmelserna i GDPR.

Slutligen meddelade LfDI Rheinland-Pfalz att tillsynsmyndigheterna fortfarande undersöker om EU-domen kommer att påverka andra instrument för överföringar av personuppgifter som anges i kapitel V i GDPR, till exempel bindande företagsbestämmelser (BCR).

Du kan läsa uttalandet här och vanliga frågor här, båda endast tillgängliga på tyska.

Thüringen

Thüringens statskommissionär för dataskydd och informationsfrihet (“TLfDI”) välkomnar EU-domstolens dom. I synnerhet framhållet TLfDI:s dataskyddsombud, att domen är korrekt, särskilt med hänsyn till att överföring av personuppgifter från USA varit oproportionerlig och därmed oförenlig med EU:s dataskyddslagstiftning.

Vidare välkomnade TLfDI EU-domstolens resonemang att Privacy Shield inte uppfyllt EU:s garantier för dataskydd. TLfDI uttryckte emellertid oro över effekterna av Schrems II-målet på SCC och noterade särskilt att även om SCC fortsätter att gälla, så är det tveksamt om de kommer kvarstå som ett hållbart alternativ.

Du kan läsa pressmeddelandet, endast tillgängligt på tyska, här.

Frankrike

Den franska dataskyddsmyndigheten (“CNIL”) noterar att domen ogiltigförklarat Privacy Shield och bekräftade användningen av SCC för överföringar utanför EU. Samtidigt betonar CNIL att myndigheten för närvarande håller på att göra en djupgående analys av Schrems II-domen i samarbete med europeiska dataskyddsmyndigheter under mötet med den europeiska dataskyddsstyrelsen (EDPB), i syfte att fastställa eventuella konsekvenser för överföringar av personuppgifter från EU till USA.

Du kan läsa pressmeddelandet, endast tillgängligt på franska, här.

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

06 OKT

Säkerhet för
icke-tekniker

Få en övergripande introduktion till säkerhet vid behandling av personuppgifter.

13 OKT

Privacy by Design
& Privacy by Default

Öka dina kunskaper om GDPR:s krav på inbyggt dataskydd och dataskydd som standard.

10 NOV

Artificiell intelligens & personuppgifter

Få en genomgång av de viktigaste reglerna för AI ur ett dataskyddsperspektiv.