EU-domstolen underkänner Privacy Shield som laglig grund för behandling av personuppgifter i USA – och klargör att även standardklausulerna kan vara otillräckliga i vissa fall

EU-domstolen meddelade den 16 juli 2020 dom i mål C-311/18 (”Schrems II-målet”), som rörde Facebooks överföring av personuppgifter från servrar på Irland till servrar i USA.

Domstolens slutsats är att personuppgifter inte längre lagligen kan överföras till USA (eller behandlas med åtkomst från USA) med stöd av att mottagaren självcertifierat sig enligt Privacy Shield-ramverket. Detta för att alla företag i USA, också om de är certifierade, omfattas av lagstiftning som ger amerikanska myndigheter mycket långtgående möjligheter att begära åtkomst till personuppgifter.

En alternativ laglig grund för överföring av personuppgifter till USA, och även andra länder utanför EU, är att teckna avtal med mottagaren som innehåller EU kommissionens skyddande standardklausuler. EU-domstolen uttalar sig i Schrems II-målet även om EU kommissionens standardklausuler. Dessa underkänns inte som laglig grund för överföring av personuppgifter utanför EU, men domstolen klargör att de inte med automatik gör en överföring laglig. Om förhållandena i landet är sådana att standardklausulerna inte kan efterlevas av mottagaren, kan de vara otillräckliga för att säkerställa laglig grund för behandling av personuppgifter utanför EU. EU-domstolens uttalanden i domen om den otillräckliga skyddsnivån för personuppgifter i USA, pekar mot att en överföring just till USA med stöd av modellklausulerna också kan anses vara otillåten.

 Vilka konsekvenser får domen? 

Domen lär leda till intensifierade diskussioner mellan EU och USA om hur personuppgifter ska kunna behandlas i USA med tillräcklig skyddsnivå enligt GDPR.

Domen innebär att alla som idag låter personuppgifter behandlas i USA med stöd av Privacy Shield måste säkra en annan laglig grund.

Eftersom domstolen konstaterar att EU kommissionens standardklausuler kan vara otillräckliga för att överföra personuppgifter till vissa länder, kan alternativ till standardklausulerna behöva övervägas om behandling av personuppgifter fortsatt lagligen ska ske i USA eller i andra länder utanför EU där det finns risk att standardklausulerna inte kan efterlevas.

Om du har några frågor med anledning av domen eller vill utreda närmare vilka konsekvenser detta har för din verksamhet är du välkommen att höra av dig till någon av våra specialister inom integritetsskydd. 

IT & Telekom

Vi biträder kunder i allt ifrån komplexa IT-affärer till löpande frågor rörande kommersialisering av rättigheter.

Läs mer

Immaterialrätt & Marknadsrätt

Vi bistår våra kunder under den immateriella rättighetens samtliga faser - från skapande till kommersialisering.

Läs mer

Juridisk expertis inom IT och Telekom

Utvecklingen inom IT, teknologi och telekom kallas ofta ”den tredje industriella revolutionen”. Cederquist har gedigen erfarenhet på området och biträder löpande kunder i dessa branscher.

Läs mer