Dataskyddsavtal med USA underkänt

Genom en dom som kom i slutet av förra veckan så underkände EU-domstolen det s.k. ”Privacy Shield”, som är den överenskommelse mellan USA och EU-kommissionen som underlättat överföring av personuppgifter till amerikanska företag. Sådana överföringar är annars i grunden inte tillåtna enligt GDPR. Som om detta inte vore nog så skapade domen även osäkerhet kring att istället använda de så kallade ”Standardavtalsklausulerna”, som i praktiken många gånger är det så gott som enda alternativet till ”Privacy Shield” för överföringar av personuppgifter till USA. I korthet så beror denna osäkerhet på domstolens uttalanden om USA:s olika övervakningsprogram och avsaknad av möjlighet till rättslig prövning.

Det innebär alltså att det inte längre går att använda ”Privacy Shield” som stöd för överföringar av personuppgifter till USA samt att det är oklart om överföringar till USA med stöd av ”Standardavtalsklausulerna” är tillåtna. Detta får relativt stor betydelse i och med att det dels i praktiken nästan uteslutande är dessa två mekanismer som används för överföringar av personuppgifter till USA, dels är väldigt vanligt att det inom ramen för molntjänster och andra IT-tjänster finns någon amerikansk aktör i kedjan av olika underleverantörer. Det senare är många gånger aktuellt även när man för egen del endast har avtal med europeiska aktörer eller har avtal som anger att data ska lagras uteslutande inom EU, eftersom den europeiska aktören i många fall har amerikanska underleverantörer för diverse andra tjänster.

Datainspektionen har meddelat att den Europeiska Dataskyddsstyrelsen (EDPB) har haft ett möte i anledning av domen samt att EDPB ska analysera domen närmare för att sedan överväga hur den ska arbeta vidare med information och vägledning. När sådan vägledning kan komma att lämnas är oklart.

Redan nu finns dock anledning för personuppgiftsansvariga att följa upp i vilken utsträckning som personuppgifter överförs till USA, identifiera med vilket stöd som det sker och undersöka vilka rättsliga och praktiska alternativ som finns för sådana överföringar av personuppgifter. Det kan även finnas anledning att diskutera dessa frågor med sina leverantörer av IT-tjänster.

Ta gärna kontakt med ditt lokala Glimstedt-kontor eller någon av våra kontaktpersoner inom IT-rätt och Dataskydd om du vill ha hjälp med detta arbete eller har ytterligare frågor om hur din organisation påverkas av denna dom.