Komplext att tillämpa Europeiska dataskyddsstyrelsens rekommendationer efter Schrems II

Europeiska dataskyddsstyrelsen har äntligen kommit med rekommendationer på skyddsåtgärder som kan användas efter Schrems II för personuppgiftsansvariga som vill använda standardavtalsklausuler med mera. Rekommendationerna leder dock inte till några stora lättnader för personuppgiftsansvariga. Tvärtom tydliggörs att de har ett stort och tungt ansvar att hantera. I praktiken ska personuppgiftsansvariga hantera komplexa avvägningar av samma svårighetsgrad som de EU-kommissionen har att göra när den fattar beslut enligt artikel 45 GDPR (att detta är svårt visas av att EU-domstolen underkänt både Safe Harbour och Privacy Shield i Schrems I och II). Det positiva med rekommendationen är att den är mer konkret än tidigare kommunikation från olika tillsynsmyndigheter. Till det kommer att EU-kommissionen håller på att ta fram nya standardavtalsklausuler, vilket kan underlätta.

BAKGRUND

Max Schrems har initierat två prövningar till stånd i EU-domstolen rörande rätten för Facebook Ireland Ltd (Facebook) att hantera personuppgifter som överförs till dess moderföretag i USA (enligt GDPR räknas USA som ett ”tredjeland”). I Schrems I (dom den 6 oktober 2015 i mål C-362/14) underkändes kommissionens beslut om ”Safe Harbour”, vilket ledde till ett nytt kommissionsbeslut kallat ”Privacy Shield” (beslut enligt artikel 45 GDPR). I Schrems II (dom den 16 juli 2020 i mål C-311/18) underkänns även ”Privacy Shield”. Detta innebär att det numera inte finns ett artikel 45-beslut i förhållande till USA, vilket har lett till ett stort fokus på de åtgärder som nämns i artikel 46 GDPR, främst kommissionens standardavtalsklausuler. Dessa godtas av domstolen men med ett väsentligt tillägg: Klausulerna måste i det enskilda fallet ge en skyddsnivå som ger en ”väsentligen likvärdig skyddsnivå” för registrerade som den som finns i unionen. De krav som ställs på organisationer som vill överföra personuppgifter till tredje land är därför mycket långtgående även om man använder standardklausuler.

Jag har i två tidigare analyser beskrivit båda. Den 10 november 2020 kom ett utkast till rekommendationer från Europeiska dataskyddsstyrelsen (Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data). Många hade säkert förväntat sig att frågetecken skulle rätas ut och kanske att det skulle finnas enkla vägar att hantera frågorna kring skyddsåtgärder. Så är inte fallet, utan riktlinjen visar att läget fortsätter vara komplext särskilt när det gäller den praktiska hanteringen. Att rekommendationen är så strikt hänger förstås nära ihop med det faktum att de fault-läget för överföringar till tredjeland utan adekvat skyddsnivå är att den är förbjuden.

DEN FÖRESLAGNA ARBETSGÅNGEN

Europeiska dataskyddsstyrelsen föreslår i utkastet att personuppgiftsansvariga ska använda en arbetsgång med sex steg i sin praktiska hantering. Steg 1 innebär att man måste säkerställa att man känner till vilka personuppgiftsöverföringar som sker. Detta är inte alltid så enkelt eftersom personuppgifter ibland, utan att den personuppgiftsansvarige nödvändigt känner till det, kommer att hanteras av utländska myndigheter. Till det kommer att personuppgiftsansvariga behöver ha koll på hur personuppgiftsbiträden och underbiträden använder personuppgifter i situationer som kan leda till tredjelandsöverföringar. Utöver detta behöver man hantera den komplikation som alltid föreligger: att helt förstå den egna organisationens personuppgiftshantering i den uppsjö av appar, molntjänster och andra IT-stöd som idag finns tillgängliga. Europeiska dataskyddsstyrelsen har ett medskick i inventeringsarbetet rörande molntjänsterna:

Keep in mind that remote access from a third country (for example in support situations) and/or storage in a cloud situated outside the EEA, is also considered to be a transfer. More specifically, if you are using an international cloud infrastructure you must assess if your data will be transferred to third countries and where, unless the cloud provider clearly states in its contract that the data will not be processed at all in third countries.

Steg 2 handlar om att säkerställa vilket eller vilka undantag i kapitel V (kallas i utkastet ”transfer tool”) den personuppgiftsansvarige använder. Här behöver den personuppgiftsansvarige bedöma om det föreligger ett kommissionsbeslut enligt artikel 45 GDPR (och i så fall vilken räckvidd det har) eller om man lutar sig mot en åtgärd enligt artikel 46 GDPR (till exempel standardavtalsklausuler). I den delen anför Europeiska dataskyddsstyrelsen:

Article 46 GDPR transfer tools mainly contain appropriate safeguards of a contractual nature that may be applied to transfers to all third countries. The situation in the third country to which you are transferring data may still require that you supplement these transfer tools and the safeguards they contain with additional measures (“supplementary measures”) to ensure an essentially equivalent level of protection.

För vissa mer ovanliga fall kan artikel 49 GDPR vara ett verktyg, men det tydliggörs samtidigt att ”---Article 49 GDPR has an exceptional nature. The derogations it contains must be interpreted restrictively and mainly relate to processing activities that are occasional and non-repetitive”. Artikel 49 GDPR erbjuder därför ingen mirakelkur som magiskt botar alla problem Schrems II pekar på.

Steg 3 tydliggör skyldigheten att bedöma effektiviteten i de artiklar man tänker tillämpa. I det ingår att bedöma rättsläget i andra länder, vilket förstås är mycket besvärligt. I steg 4 ska vid behov kompletterande skyddsåtgärder bedömas och fastställas och i steg 5 ska ytterligare formalia för att genomföra skyddsåtgärderna hanteras. Steg 6 handlar om att följa upp tidigare steg i rimliga intervaller.

Alla sex steg är mycket arbetskrävande. De första två är förväntade och sannolikt har många personuppgiftsansvariga redan börjat med dem. Steg 3–5 innehåller ett antal nya ställningstaganden från Europeiska dataskyddsstyrelsen som kan vara intressanta att notera. Jag fördjupar mig i några sådana aspekter i den fortsatta analysen. Genomför man inte alla steg korrekt kan man inte fortsätta personuppgiftsbehandlingen.

ATT BEDÖMA RÄTTSLÄGET I TREDJELAND SOM INTE HAR EN ADEKVAT SKYDDSNIVÅ

I rekommendationen klargörs att varje personuppgiftsansvarig ska klara av att göra en komplex intresseavvägning där GDPR vägs mot andra länders lagstiftning. I den ska särskilt lagar som medger att myndigheter kan övervaka enskilda beaktas: 

You should …pay specific attention to any relevant laws, in particular laws laying down requirements to disclose personal data to public authorities or granting such public authorities powers of access to personal data (for instance for criminal law enforcement, regulatory supervision and national security purposes). If these requirements or powers are limited to what is necessary and proportionate in a democratic society, they may not impinge on the commitments contained in the Article 46 GDPR transfer tool you are relying on. ---

In carrying out this assessment, different aspects of the legal system of that third country, e.g. the elements listed in Article 45(2) GDPR, are also be relevant. For example, the rule of law situation in a third country may be relevant to assess the effectiveness of available mechanisms for individuals to obtain (judicial) redress against unlawful government access to personal data. The existence of a comprehensive data protection law or an independent data protection authority, as well as adherence to international instruments providing for data protection safeguards, may contribute to ensuring the proportionality of government interference.

För att förstå hur komplext detta kan vara kan man tänka på att EU-kommissionen ska göra en liknande analys när den fattar beslut enligt artikel 45 GDPR att förklara ett land ha adekvat skyddsnivå. Att detta inte är enkelt framgår av utgången av Schrems I och II där kommissionens bedömningar har underkänts. Det kan till exempel noteras att tillsättandet av en ombudsman på det amerikanska utrikesdepartementet inte var en tillräckligt (jämför ”an independent data protection authority” i citatet ovan).

I bedömningen av övervakningsmekanismer i andra länders lagstiftning kan Europeiska dataskyddsstyrelsens rekommendation ”Recommendations 02/2020 on the European Essential Guarantees for surveillance measures”, antagen den 10 november 2020 hjälpa. Enligt denna ska följande beaktas när man gör sin analys:

Following the analysis of the jurisprudence, the EDPB considers that the applicable legal requirements to make the limitations to the data protection and privacy rights recognised by the Charter justifiable can be summarised in four European Essential Guarantees:

A. Processing should be based on clear, precise and accessible rules.

B. Necessity and proportionality with regard to the legitimate objectives pursued need to be demonstrated.

C. An independent oversight mechanism should exist.

D. Effective remedies need to be available to the individual.

GÅR DET ATT BEDÖMA ANDRA LÄNDERS LAGSTIFTNING?

Att arbeta med rättsliga analyser av dataskyddsförordningen är komplext då förordningen är omfattande och rättsläget i många delar oklart. Till denna utmaning tillkommer nu att bedöma rättsläget i andra länder. Det finns många metodproblem rörande sådana analyser: hur hittar man relevanta lagar, hur ska de lagarna tolkas (vilka rättstraditioner gäller i de andra länderna) och hur ska man bedöma hur myndigheter och domstolar i andra länder kommer att agera. Detta är även något som Europeiska dataskyddsstyrelsen inser. I utkastet till rekommendation om skyddsåtgärder säger den:

Your assessment must be based first and foremost on legislation publicly available. However, in some situations this will not suffice because the legislation in the third countries may be lacking. In this case, if you still wish to envisage the transfer, you should look into other relevant and objective factors, and not rely on subjective ones such as the likelihood of public authorities’ access to your data in a manner not in line with EU standards. You should conduct this assessment with due diligence and document it thoroughly, as you will be held accountable to the decision you may take on that basis.

You may complete your assessment with information obtained from other sources, such as:

• Elements demonstrating that a third country authority will seek to access the data with or without the data importer’s knowledge, in light of reported precedents, legislation and practice.
• Elements demonstrating that a third country authority will be able to access the data through the data importer or through direct interception of the communication channel in light of reported precedents, legal powers, and technical, financial, and human resources at its disposal.

Bedömningen av andra länders lagstiftning är en viktig del i bedömningen av adekvata skyddsåtgärder. Styrelsen anger i rekommendationen att den personuppgiftsansvarige“…must assess, where appropriate in collaboration with the importer, if there is anything in the law or practice of the third country that may impinge on the effectiveness of the appropriate safeguards of the Article 46 GDPR transfer tool you are relying on, in the context of your specific transfer”. Vidare förväntas den personuppgiftsansvarige bland annat “…verify if commitments enabling data subjects to exercise their rights in the context of international transfers (such as access, correction and deletion requests for transferred data) can be effectively applied in practice and are not thwarted by law in the third country of destination”.

HUR HITTAR MAN INFORMATION OM ANDRA LÄNDERS RÄTTSSYSTEM?

Jag vet att många advokatbyråer hämtar in utlåtanden från välrenommerade byråer i olika länder för att få en lokal bedömning. Det är förstås en mycket bra metod. Lokalt förankrade kvalificerade jurister, som jobbar inom relevanta juridiska områden, har givetvis lättare att göra korrekta analyser. Men alla personuppgiftsansvariga har inte sådana resurser eller kontaktnät. Här hänvisar Europeiska dataskyddsstyrelsen till vissa källor:

• Case-law of the Court of Justice of the European Union (CJEU) and of the European Court of Human Rights (ECtHR)89 as referred to in the European Essential Guarantees recommendations;
• Adequacy decisions in the country of destination if the transfer relies on a different legal basis;
• Resolutions and reports from intergovernmental organisations, such as the Council of Europe, other regional bodies; and UN bodies and agencies (e.g. UN Human Rights Council, Human Rights Committee);
• National case-law or decisions taken by independent judicial or administrative authorities competent on data privacy and data protection of third countries;
• Reports from academic institutions, and civil society organizations (e.g. NGOs and trade associations).

Att läsa domar hör till vardagsmaten för jurister så några av punkterna ovan kanske inte vållar så mycket huvudbry (av Schrems II är det till exempel klarlagt att USA har lagstiftning som innebär möjlighet till massövervakning). Inte heller att kontrollera vad relevanta tillsynsmyndigheter (till exempel den brittiska myndigheten från 2021) publicerar på sina webbplatser. Det finns även välkända organisationer som Noyb och Privacy International som specialiserat sig på att följa integritetsfrågor, som kan ha mycket matnyttigt.

Men hur hittar man vid sidan av detta andra källor som på djupet analyserar läget i andra länder? Frågan är relevant eftersom man kan behöva väga in hur andra rättigheter och friheter påverkas. I mitt tidigare yrkesliv, bland annat som kammarrättsråd på Migrationsöverdomstolen (Kammarrätten i Stockholm) har jag arbetat mycket med så kallad landinformation. Den prövning som enligt rekommendationen ska göras av personuppgiftsansvariga liknar mycket den bedömning som ansvariga myndigheter gör rörande asylansökningar (det gäller där ofta att utifrån landinformationen skapa sig en bild av hur ett lands lagstiftning fungerar, hur dess myndigheter kommer att agera i förhållande till enskilda och i vilken utsträckning stater övervakar sina medborgare). I det arbetet är olika källor, till exempel landanalyser från Utrikesdepartementet liksom FN-material och material från olika organisationer från civilsamhället, centrala. Migrationsverket publicerar sådan landinformation i sin databas Lifos. Även appen UD Resklar och Utrikespolitiska institutet kan ha intressanta upplysningar om läget i olika länder. Utrikespolitiska institutet har även ett forskningsinriktat arbete (se sista punkten i citatet som hänvisar till akademiska institutioner). Problemet med den här typen av landinformation är förstås att den inte är primärt inriktad på integritetsfrågor så man kan behöva gräva en del för att få en bild. Dessutom beskrivs ofta läget för landets egna invånare, vilket kan men behöver inte alltid ge en bild kopplat till registrerades personuppgifter hos den personuppgiftsansvarige. Det är inte heller säkert att det finns information rörande alla frågor för alla länder (vissa länder är mycket svåra att samla in information om).

BEDÖMNING AV EFFEKTIVITET I ADEKVATA SKYDDSÅTGÄRDER

Efter Schrems II har många frågat sig vilka kompletterande skyddsåtgärder som till exempel kommissionens standardavtalsklausuler kräver. I utkastet till rekommendationen klargörs att den personuppgiftsansvarige behöver säkerställa att det föreligger en adekvat skyddsnivå även när den använder sig av de verktyg som anges i artikel 46 GDPR. Verktygen måste också vara effektiva i praktiken. Inte oväntat fastslår styrelsen även att man inte kan lösa alla problem med avtalsvillkor eller organisatoriska åtgärder utan att tekniska åtgärder behövs:

Contractual and organisational measures alone will generally not overcome access to personal data by public authorities of the third country (where this unjustifiably interferes with the data importer’s obligations to ensure essential equivalence). Indeed there will be situations where only technical measures might impede or render ineffective access by public authorities in third countries to personal data, in particular for surveillance purposes. In such situations, contractual or organisational measures may complement technical measures and strengthen the overall level of protection of data, e.g. by creating obstacles for attempts from public authorities to access data in a manner not compliant with EU standards.

KRYPTERING IBLAND EN MÖJLIG VÄG FRAMÅT

Många som analyserat Schrems II har pekat på att kryptering som en teknisk åtgärd som kan vidtas, eftersom en sådan kan hindra åtkomst för obehöriga. När man läser utkastet är det inte förvånande att råden i stor utsträckning landar i kryptering. Ett exempel på detta är följande beskrivning av hur kryptering kan användas:

A data exporter uses a hosting service provider in a third country to store personal data, e.g., for backup purposes. If

1. the personal data is processed using strong encryption before transmission,
2. the encryption algorithm and its parameterization (e.g., key length, operating mode, if applicable) conform to the state-of-the-art and can be considered robust against cryptanalysis performed by the public authorities in the recipient country taking into account the resources and technical capabilities (e.g., computing power for brute-force attacks) available to them,
3. the strength of the encryption takes into account the specific time period during which the confidentiality of the encrypted personal data must be preserved,
4. the encryption   algorithm   is   flawlessly   implemented   by   properly   maintained software   the conformity of  which  to  the  specification  of  the  algorithm chosen  has  been  verified,  e.g.,  by certification,
5. the keys are reliably managed (generated, administered, stored, if relevant, linked to the identity of an intended recipient, and revoked), and
6. the keys are retained solely under the control of the data exporter, or other entities entrusted with this task which reside in the EEA or a third country, territory or one or more specified sectors within a third country, or at an international organisation for which the Commission has established in accordance with Article 45 GDPR that an adequate level of protection is ensured.

Det handlar både om att säkra att man har en tillräcklig effektiv kryptering och att krypteringsnycklar förvaras på ett sådant sätt att de inte kan kommas åt av myndigheterna i berört tredjeland. I rekommendationen klargörs dock att kryptering inte är en väg framåt om den personuppgiftsansvarige behöver låta någon i mottagarlandet läsa informationen. Detta gör läget svårt för de som behöver samarbeta med andra interna eller externa aktörer som finns i till exempel USA. Det påverkar även möjligheten att använda molntjänster, om myndigheter i tredjelandet kan komma åt data. Kan molnleverantören komma åt krypteringsnyckeln är säkerhetsåtgärden enligt styrelsens bedömning inte tillräcklig. 

STANDARDAVTALSKLAUSULERNA ÄR INTE ENKLA VERKTYG ATT HANTERA

I rekommendationen slås fast att man kan göra tillägg till standardavtalsklausulerna så länge detta inte ändrar skyddsnivån: “additional clauses cannot be construed in any way to restrict the rights and obligations in the SCCs or in any other way to lower the level of data protection”. Man behöver inte stämma av med tillsynsmyndigheten hur klausulerna ändras så länge man följer detta förhållningssätt.

Det finns idag inte en tydlig mall för standardavtalsklausulerna utan de härleds från olika beslut som EU-kommissionen fattade under personuppgiftsdirektivets tidevarv. Detta har gjort det mycket utmanande att arbeta med dem, både eftersom de bygger på ett gammalt regelverk och att de inte existerar i ett fastställt sammanhang. Det är därför positivt att kommissionen nu tagit fram utkast till nya standardavtalsklausuler. I utkastet till beslutet tydliggör EU-kommissionen följande om när klausulerna är tillämpliga vilket stämmer väl överens med utkastet till rekommendationer från styrelsen:

The transfer and processing of personal data under standard contractual clauses should only take place if the laws of the third country of destination do not prevent the data importer from complying with those clauses. In this respect, laws that respect the essence of the fundamental rights and freedoms and do not exceed what is necessary and proportionate in a democratic society… The parties should warrant that, at the time of agreeing to the standard contractual clauses, they have no reason to believe that the laws applicable to the data importer are not in line with these requirements.

To that end, they should in particular take into account the specific circumstances of the transfer (such as the content and duration of the contract, the nature of the data transferred, the type of recipient, the purpose of the processing and any relevant practical experience indicating the existence or absence of prior instances of requests for disclosure from public authorities received by the data importer for the type of data transferred), the laws of the third country of destination relevant in light of the circumstances of the transfer and any additional safeguards (including technical and organisational measures applied during transmission and to the processing of the personal data in the country of destination).

I ett utkast till annex finns föreslagna klausuler listade. Det är intressant att parter som använder dessa ska underteckna att de garanterar att de inte känner till något om lagen i mottagarlandet som hindrar en korrekt tillämpning (jämför citatet ovan). Vidare ska parterna bland annat gå med på att underkasta sig europeisk jurisdiktion och utse en tillsynsmyndighet.

VAD SKA MAN GÖRA OM MAN INTE KLARAR AV ATT GENOMFÖRA ALLA STEG?

Kan man inte fullfölja alla steg korrekt kan man inte fortsätta göra överföringarna, vilket uttrycks så här i rekommendationen:

Where you are not able to find or implement effective supplementary measures that ensure that the transferred personal data enjoys an essentially equivalent level of protection, you must not start transferring personal data to the third country concerned on the basis of the Article 46 GDPR transfer tool you are relying on. If you are already conducting transfers, you are required to suspend or end the transfer of personal data. Pursuant to the safeguards contained in the Article 46 GDPR transfer tool you are relying on, the data that you have already transferred to that third country and the copies thereof should be returned to you or destroyed in their entirety by the importer.

Om så inte sker kan man behöva underrätta tillsynsmyndigheten (i Sverige Datainspektionen). Man riskerar även att myndigheten beslutar om sanktioner eller andra korrigerande åtgärder (till exempel stoppar överföringarna). Situationen är därför minst ut sagt utmanande i förhållande till USA efter Schrems II. Det enda som kan förenkla tillämpningen radikalt är att den amerikanska lagstiftningen justeras. Självklart skulle även GDPR kunna justeras men då EU-domstolens ställningstaganden bygger på bedömningar av rättigheter enligt den europeiska stadgan är detta sannolikt inte möjligt utan att även stora förändringar av EU:s grundläggande regler görs (mycket låg sannolikhet för detta alltså). Ingen av de här åtgärderna kommer heller gå snabbt, ens om politisk vilja fanns. I sammanhanget behöver man dock komma ihåg att EU-domstolen inte prövat alla effekter av amerikansk lagstiftning i Schrems II. Det är därför inte säkert att den skulle bedöma alla fall, som utkastet till rekommendationen omfattar, på det sätt som Europeiska dataskyddsstyrelsen nu gör.   

Av Monika Wendleby, jurist, managementkonsult och författare.
Ursprungligen publicerad i JP Juridiskt bibliotek och JP EUnet. 

Publicerad 2 dec 2020