EU-domstolen underkänner Privacy Shield som laglig grund för behandling av personuppgifter i USA – och klargör att även standardklausulerna kan vara otillräckliga i vissa fall
EU-domstolen meddelade den 16 juli 2020 dom i mål C-311/18 (”Schrems II-målet”), som rörde Facebooks överföring av personuppgifter från servrar på Irland till servrar i USA.
Domstolens slutsats är att personuppgifter inte längre lagligen kan överföras till USA (eller behandlas med åtkomst från USA) med stöd av att mottagaren självcertifierat sig enligt Privacy Shield-ramverket. Detta för att alla företag i USA, också om de är certifierade, omfattas av lagstiftning som ger amerikanska myndigheter mycket långtgående möjligheter att begära åtkomst till personuppgifter.
En alternativ laglig grund för överföring av personuppgifter till USA, och även andra länder utanför EU, är att teckna avtal med mottagaren som innehåller EU kommissionens skyddande standardklausuler. EU-domstolen uttalar sig i Schrems II-målet även om EU kommissionens standardklausuler. Dessa underkänns inte som laglig grund för överföring av personuppgifter utanför EU, men domstolen klargör att de inte med automatik gör en överföring laglig. Om förhållandena i landet är sådana att standardklausulerna inte kan efterlevas av mottagaren, kan de vara otillräckliga för att säkerställa laglig grund för behandling av personuppgifter utanför EU. EU-domstolens uttalanden i domen om den otillräckliga skyddsnivån för personuppgifter i USA, pekar mot att en överföring just till USA med stöd av modellklausulerna också kan anses vara otillåten.
Vilka konsekvenser får domen?
Domen lär leda till intensifierade diskussioner mellan EU och USA om hur personuppgifter ska kunna behandlas i USA med tillräcklig skyddsnivå enligt GDPR.
Domen innebär att alla som idag låter personuppgifter behandlas i USA med stöd av Privacy Shield måste säkra en annan laglig grund.
Eftersom domstolen konstaterar att EU kommissionens standardklausuler kan vara otillräckliga för att överföra personuppgifter till vissa länder, kan alternativ till standardklausulerna behöva övervägas om behandling av personuppgifter fortsatt lagligen ska ske i USA eller i andra länder utanför EU där det finns risk att standardklausulerna inte kan efterlevas.
Om du har några frågor med anledning av domen eller vill utreda närmare vilka konsekvenser detta har för din verksamhet är du välkommen att höra av dig till någon av våra specialister inom integritetsskydd.
