Molntjänster och dataskydd

EU-domstolens Schrems II-dom och EDPB:s anvisningar om data- överföring i offentlig sektor

Kommunförbundet har från ett flertal kommuner fått frågor om EU-domstolens dom i målet Schrems II och Europeiska dataskyddsstyrelsens (härefter EDPB) relaterade anvisning om överföring av personuppgifter till länder utanför Europeiska ekonomiska samarbetsområdet (härefter EES). Det här brevet beskriver kort Schrems II-domen och hur man i kommunerna bör förhålla sig till den.

Det handlar inte om en anvisning, utan snarare om synpunkter som bör beaktas när molntjänsters dataskydd bedöms.

Sammanfattning

  • Behandling av personuppgifter utanför EU/EES innebär att uppgifter har lagrats utanför EU-/EES-området eller att man har fjärråtkomst till dem från länder utanför EU-/EES-området.
  • Enligt EU-domstolens beslut förutsätter överföring av personuppgifter till länder utanför EU/EES en mer täckande riskbedömning än tidigare och eventuella tilläggsåtgärder.
  • Enligt beslutet är Privacy Shield-beslutet mellan EU och USA ogiltigt.
  • Kommissionen har godkänt en lista över länder, utöver EU-/EES-området, där personuppgifter får behandlas.
  • Om landet inte finns med på EU-kommissionens lista ska den personuppgiftsansvarige säkerställa att personuppgifterna under inga omständigheter behandlas utanför EU/EES. Om det inte är möjligt ska den personuppgiftsansvarige
    • via särskilda utredningar och försäkranden säkerställa en adekvat dataskyddsnivå under hela behandlingen
    • säkerställa att landet har en adekvat dataskyddsnivå och iaktta adekvata skyddsåtgärder (t.ex. användningen av standardklausuler) och andra rättsmedel. Europeiska dataskyddsstyrelsen har meddelat en rekommendation om kompletterande skyddsåtgärder.
  • Gällande avtal och system ska ses över för att kontrollera om avtalsvillkoren omfattar t.ex. JIT-villkoren från 2015 där utlämnande av personuppgifter utanför EU/EES förbjuds.

    • Om avtalet inte omfattar villkor motsvarande JIT-villkoren

      • ska en riskbedömning göras om behandlingen av personuppgifter och avtalet eventuellt ändras eller systemet upphandlas på nytt
      • om konfidentiella uppgifter och/eller uppgifter som gäller särskilda personuppgiftskategorier och/eller stora mängder uppgifter behandlas ska den nationella tillsynsmyndigheten underrättas om att man genom standardklausuler har avtalat om överföring av uppgifter med en serviceleverantör från USA och att avtalet förlängs.
Open all

Schrems II-domen

Den 16 juli 2020 meddelade EU-domstolen en dom i ärendet C-311/18 (den s.k. Schrems II-domen) med den följden att överföringen av personuppgifter till länder utanför EES förutsätter en mer omfattande riskbedömning än tidigare och eventuella tilläggsåtgärder. Enligt domen är det tidigare beslutet (2016/1250) om tillräckligheten i den dataskyddsnivå Privacy Shield-avtalet mellan EU och USA ger ogiltigt.

Beslutet gäller överföring av data till servrar utanför EES samt öppnandet av en teknisk anslutning som möjliggör behandling av data som lagras i Finland eller någon annanstans inom EES från länder utanför EES

Eftersom EU-kommissionens beslut om likvärdighet för amerikanska företag (Safe Harbor, Privacy Shield) inte längre gäller, kräver överföringen av personuppgifter adekvata skyddsåtgärder av tjänstebeställarna, såsom modellavtalsklausuler. EDPB offentliggjorde den 11 november 2020 sin rekommendation om kompletterande skyddsåtgärder, och under vissa omständigheter förhindras överföringen eller en fortsatt överföring av data helt.

Bakom Schrems II-beslutet ligger den österrikiske dataskyddsaktivisten Max Schrems klagomål till Irlands dataskyddsmyndighet om att Facebook överförde hans personuppgifter till USA, där de överförda personuppgifterna inte har ett tillräckligt skydd mot underrättelseverksamhet som bedrivs där. Bristen på tillräckligt skydd visade sig bl.a. i att EU-medborgare inte hade rättsmedel mot underrättelseverksamhet till skillnad från USA:s medborgare.

Vad var det egentligen EU-domstolen beslutade i målet?

För det första slog domstolen fast att EU:s allmänna dataskyddsförordning ska tillämpas när kommersiella aktörer överför personuppgifter till ett tredjeland, oberoende av att myndigheterna i det tredjelandet under eller efter överföringen kan behandla dessa uppgifter för ändamål som avser allmän säkerhet, försvar eller statens säkerhet. Med andra ord står fallet inte utanför dataskyddsförordningens tillämpningsområde med stöd av artikel 2.2 i dataskyddsförordningen.

För det andra slog EU-domstolen fast att artikel 46 i dataskyddsförordningen ska tolkas så att de personer vilkas personuppgifter överförs till ett tredjeland med stöd av de standardklausuler om dataskydd som EU-kommissionen har godkänt i huvudsak ska åtnjuta ett likvärdigt skydd som dataskyddsförordningen ger, jämfört med EU:s stadga om de grundläggande rättigheterna.

För det tredje fastställde domstolen de nationella tillsynsmyndigheternas rätt och skyldighet att avbryta eller förbjuda en överföring av personuppgifter till ett tredjeland med stöd av standardklausuler om myndigheten anser att det inte med andra medel går att säkerställa att nivån på dataskyddet motsvarar EU:s nivå.

Till sist tog domstolen ställning till giltigheten i Privacy Shield-beslutet. Utan att desto mer gå in på detaljer förklarades Privacy Shield-beslutet ogiltigt på två grunder:

  • De underrättelseprogram som möjliggörs av USA:s underrättelselagstiftning uppfyllde inte EU-rättens proportionalitetsprincip eftersom de inte tillräckligt tydligt och exakt avgränsar underrättelseverksamhetens omfattning. Således kunde man inte säga att underrättelseprogrammen skulle ha begränsats till endast det absolut nödvändiga enligt skäl 140 i ingressen i Privacy Shield.
  • Privacy Shield garanterade inga effektiva rättsmedel för registrerade som blivit föremål för underrättelseprogram. I Privacy Shield-beslutet konstaterades att USA här tillämpar en ombudsmannamekanism. Eftersom ombudsmannen dock inte hade rätt att fatta beslut som var bindande för underrättelsemyndigheterna kunde detta inte jämföras med att lägga fram ärendet för behandling av en självständig och oberoende domstol.

Således är problemet att dataskyddsnivån i USA inte motsvarar nivån i EU på det sätt som nämns tidigare. Reglering på EU-nivå av de verkställbara rättigheter och effektiva rättsmedel som är tillgängliga för de registrerade är ett krav för överföring av personuppgifter till ett tredjeland, såsom USA, även när standardklausuler används.

Vad ska kommunen göra?

Schrems II-domen har konsekvenser beträffande alla serviceleverantörer utanför EU-/EES-området, som amerikanska och asiatiska serviceleverantörer, när personuppgiftsansvariga, t.ex. en kommun eller samkommun, funderar på riskhanteringen inom dataskyddet. Hur bör man förhålla sig till den nya situationen – hur upprätthålla en verksamhet som kräver behandling av personuppgifter och ibland även anlitandet av stora, internationella system, och samtidigt hantera den juridiska risken i den nya tolkningssituationen? För det första finns det anledning att skilja mellan om man granskar nya avtal och datasystemsanskaffningar eller befintliga datasystem och gällande avtal.

Det är viktigt att beakta att behandling av personuppgifter utanför EU-/EES-området avser dels en situation där uppgifterna har lagrats utanför EU-/EES-området, dels en situation där det finns åtkomst till information som lagrats inom EU-/EES-området via en fjärrförbindelse utanför EU-/EES-området. Med andra ord avser överföringen av personuppgifter till länder utanför EU-/EES-området även situationer där de datacentraler där uppgifterna lagras befinner sig inom EU-/EES-området, men där man kan ansluta till dem utifrån.

Nytt avtal eller anskaffning av nytt datasystem

I samband med ett nytt avtal eller anskaffning av nytt datasystem förutsätts i princip att helheten uppfyller kraven i den gällande lagstiftningen. Enklast är det om man säkerställer att personuppgifterna under inga omständigheter behandlas utanför EU eller EES, dvs. en naturlig utgångspunkt vid nya avtal och anskaffningar av nya system är att förbjuda all överföring och behandling av personuppgifter utanför dessa områden.

Därtill har kommissionen godkänt en lista över länder, utöver EU-/EES-området, där personuppgifter får behandlas. De är Andorra, Argentina, Färöarna, Guernsey, Israel, Isle of Man, Japan, Jersey, Kanada (för kommersiella organisationer), Nya Zeeland, Schweiz och Uruguay. Listan uppdateras, se länken till kommissionens sidor.

Om detta är omöjligt, måste man ta till den relativt tunga processen enligt dataskyddsförordningen och Schrems II-domen där man i ett avtal via särskilda utredningar och försäkranden säkerställer en adekvat dataskyddsnivå genom hela behandlingen.

Om det är nödvändigt att behandla personuppgifter utanför EU-/EES-området och i de länder som kommissionen har godkänt, ska adekvata skyddsåtgärder, som t.ex. standardklausuler om dataskydd, iakttas enligt artikel 46 i dataskyddsförordningen (https://tietosuoja.fi/sv/standardiserade-dataskyddsbestammelser-godkanda-av-kommissionen ) och länk till kommissionens webbplats . Ett tilläggsvillkor utöver standardklausulerna är att de registrerade även ska ha tillgång till verkställbara rättigheter och effektiva rättsmedel i mållandet dit överföringarna görs och att den personuppgiftsansvarige därför från fall till fall ska utreda huruvida dessa rättigheter och rättsmedel finns i mållandet och deras överenstämmelse med EU:s dataskyddsbestämmelser.

Eventuella brister som upptäcks i dataskyddet vid utredningarna kan korrigeras genom tilläggsåtgärder så att de motsvarar den nivå som förutsätts i EU-lagstiftningen. Europeiska dataskyddsstyrelsen meddelade den 10 november 2020 sin rekommendation om kompletterande skyddsåtgärder länk som ska beaktas när uppgifter överförs till länder utanför EU-/EES-området. I bilaga 2 till rekommendationerna finns en exempelförteckning över kompletterande åtgärder vilkas tillräcklighet ska bedömas från fall till fall. Dessa är bl.a. kryptering och pseudonymisering. Målet med de tekniska åtgärderna är att utesluta myndigheters eventuellt kränkande åtkomst till uppgifterna. 

Gällande avtal och befintliga system

Kommunerna behandlar en stor mängd personuppgifter utifrån gällande avtal och i befintliga system, varför den primära lösningen inte kan vara att skaffa ett nytt system eller häva avtalet och ordna en ny upphandling.

Klarast blir det att i det gällande avtalet entydigt förbjuda att personuppgifter lämnas ut till länder utanför EES och EU. T.ex. avtalsvillkoren för IT-upphandlingar inom offentlig förvaltning (JIT-villkor) från 2015 innehåller en sådan bestämmelse. Om man således i avtalet hänvisar till JIT-villkoren kan man utgå från att behandlingen även uppfyller kraven i den nya tolkningssituationen och att det således inte behövs ändringar.

Men om avtalet tillåter behandling utanför EES och EU, dvs. tekniskt stöd utanför detta område ges möjlighet till åtkomst till personuppgifterna, måste man avgöra om riskhanteringen kräver att avtalet ändras för att säkerställa behandlingen eller om man kanske rentav behöver ordna en ny upphandling om hela systemet.

Om man inte står i beråd att ändra avtalet eller ordna en ny upphandling behöver situationen bedömas ur ett riskhanteringsperspektiv. När risker bedöms ska följande omständigheter beaktas: handlar det om konfidentiella personuppgifter och/eller personuppgifter som gäller särskilda personuppgiftskategorier enligt dataskyddsförordningen och/eller stora mängder ovan nämnda eller andra personuppgifter?

Om det handlar om någon av de ovan nämnda personuppgiftskategorierna ska den nationella tillsynsmyndigheten, dvs. dataombudsmannen, underrättas om att man via standardklausuler har avtalat om dataöverföring med en serviceleverantör från USA och att man avser förlänga avtalet i fråga.

Läs mer

tags