Dataskyddsmyndigheten i Baden-Württemberg, Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (“LfDI Baden-Württemberg”), har publicerat en vägledning avseende tredjelandsöverföringar och användningen av EU-kommissionens standardavtalsklausuler (“SCC”) efter EU-domstolens beslut att ogiltigförklara Privacy Shield i Schrems II-målet (läs mer om detta här).
Vägledningen innehåller många konkreta förslag på hur företag och andra organisationer inom EU ska gå vidare efter EU-domstolens beslut, särskilt med hänsyn till EU-domstolens uttalande om SCC:s fortsatta giltighet givet att innehållet i SCC kan verkställas i det tredjelandet. Enligt LfDI Baden-Württemberg ska uttalandet tolkas mot bakgrund av EU:s stadga om de grundläggande rättigheterna (2010/C 83/02) och artikel 46.1 i dataskyddsförordningen (“GDPR”). Detta innebär att inte bara avtalsförhållandena mellan den personuppgiftsansvarige och mottagaren i det tredjelandet är relevanta, utan också möjligheten för myndigheterna i tredjelandet att få tillgång till uppgifterna, och det rättsliga systemet i det aktuella land som helhet.
LfDI Baden-Württemberg noterar särskilt i vägledningen att alla företag och andra organisationer som överför personuppgifter till trejeländer omfattas av EU-domstolens beslut, samt ger därutöver en rad exempel på åtgärder som måste vidtas för att en tredjelandsöverföring ska vara fortsatt laglig enligt GDPR.
Enligt LfDI Baden-Württemberg bör företag och andra organisationer därför omedelbart:
- Göra en inventering av samtliga situationer när personuppgifter överförs till tredjeland.
- Kontakta tjänsteleverantörer och avtalspartners etablerade i tredjeländer och informera dem om EU-domstolens beslut och dess konsekvenser.
- Samla in information om den rättsliga situationen i tredjelandet man överför personuppgifter till (landets tillsynsmyndighet för dataskydd, Europeiska dataskyddsstyrelsen (“EDPB”) eller EU-kommissionen bör kunna ge vägledning i frågan).
- Kontrollera om adekvat skyddsnivå gäller för det aktuella tredjelandet i enlighet med artikel 45 i GDPR.
- Kontrollera om SCC kan användas för det aktuella tredjelandet i enlighet med artikel 46.2 c i GDPR.
När det gäller USA menar LfDI Baden-Württemberg att en överföring av personuppgifter med SCC endast är möjlig i mycket begränsade fall och hjälp av ytterligare åtgärder som exempelvis kryptering.
När det gäller ansvarsskyldigheten kräver LfDI Baden-Württemberg, för att visa och dokumentera viljan att agera i enlighet med GDPR, att personuppgiftsansvariga kontaktar respektive mottagare av personuppgifterna och kräver ändringar av några av bestämmelserna i SCC (vilka dessa specifika ändringsförslag är framgår av LfDI:s vägledning).
LfDI Baden-Württemberg meddelar därutöver att myndigheten kommer att fokusera på frågan om det finns rimliga alternativ till tjänsteleverantörer eller avtalspartners som företag eller andra organisationer valt för sin behandling av personuppgifter. Om företag eller andra organisationer inte kan övertyga myndigheten om att tjänsteleverantörer eller avtalspartners som används i icke godkända tredjeländer inte kan ersättas på kort eller medellång sikt, kommer LfDI Baden-Württemberg förbjuda en fortsatt överföring till den aktuella mottagaren i det tredjelandet. LfDI Baden-Württemberg framhåller dock att proportionalitetsprincipen kommer att beaktas vid myndighetens bedömningar.