EU-standardavtalsklausuler för tredjelandsöverföringar
Nya EU-standardavtalsklausuler för tredjelandsöverföringar av personuppgifter fr.o.m. den 4 juni 2021
Nya SCC i fulltext i svensk översättning hittar du här.
Sammanfattning
De nya standardavtalsklausulerna (SCC) utgår helt från GDPR och inte som de gamla från det tidigare dataskyddsdirektivet[1] (PUL i Sverige). De nya SCC består nu av två dokument[2]:
- genomförandebeslutet med skälen till införandet av de nya standardavtalsklausulerna,
och en,
- bilaga (annex) i fyra delar med 18 klausuler med de egentliga avtalsvillkoren.
De nya SCC (härefter SCC) tillkom som en följd av domen i EU-domstolen den 16 juli 2020 (”Schrems II)[3] rörande Facebooks på Irland behandling av personuppgifter i allmänhet och överföring av personuppgifter till USA i synnerhet. I målet prövades om den självcertifieringsmekanism kallad ”Privacy Shield” och de då gällande SCC kunde användas till stöd för överföringar av personuppgifter till USA.
Domen (Schrems II) ogiltigförklarade Privacy Shield men gav SCC som princip förnyad legitimitet så länge som kraven i artikel 44 kunde uppfyllas. Artikel 44 är en övergripande bestämmelse som innebär att skyddet för personuppgifter, som det kommer till uttryck i GDPR som helhet, inte får undergrävas vid tredjelandsöverföringar av personuppgifter.
I praktiken innebar domen att SCC behövde uppdateras med en ny utformning och delvis nytt innehåll för att bättre svara mot dagens behov av att reglera personuppgiftsbehandling i komplexa digitala internationella affärsrelationer m.m. SCC innehåller villkor för bl.a. ändamål, avtalets omfattning, specificering av överföringar, grundläggande principer för behandling, underbiträden, registrerades rättigheter, skadeståndsansvar, tillsyn, ansvarsskyldighet och dokumentation. Alltså ett väldigt omfattande regelverk.
Parterna, personuppgiftsansvarig (PUA) och personuppgiftsbiträde (PUB) måste efterleva mycket långtgående krav för att kunna tillämpa SCC som medel för tredjelandsöverföringar. I vissa fall kommer det inte att vara möjligt.
Logisk uppbyggnad av SCC
En tanke med de nya SCC är att de skall kunna vara flexibla för olika personuppgiftsansvarsförhållanden. De har därför upprättats med en ”legometod” med fyra statiska byggklossar (moduler) för olika scenarier:
- modul 1 för överföring från personuppgiftsansvarig till personuppgiftsansvarig
- modul 2 för överföring från personuppgiftsansvarig till personuppgiftsbiträde
- modul 3 för överföring från personuppgiftsbiträde till personuppgiftsbiträde
- modul 4 för överföring från personuppgiftsbiträde till personuppgiftsansvarig.
Det finns också tilläggsmoduler om avtalsförhållandet skulle omfatta flera parter.
Utgångspunkten är alltså att parterna först identifierar sig som antingen PUA, PUB eller personuppgiftsunderbiträde (PUUB). Sedan vem som är dataexportör respektive dataimportör. Det här är särskilt viktigt eftersom det styr vilka moduler som skall väljas till avtalet. Det är viktigt att välja rätt klausuler i avtalet för att skyddsnivån skall nå upp till det som krävs i artikel 44 GDPR.
Ett påhittat scenario exemplifierar hur modulerna fungerar. PUA skall överföra uppgifter om hälsa för ett antal deltagare i en medicinsk studie till ett laboratorium i tredje land. Modul 2 (PUA till PUB) skall tillämpas för respektive relevant klausul (18 st.) och eftersom överföringen omfattar känsliga personuppgifter skall även villkoren i bilaga 1 b till SCC uppfyllas. I enbart klausul 8, som reglerar skyddsåtgärder för uppgifter, skall uppgiftsutföraren i modul 2 garantera efterlevnad av innehållet i ett drygt 20-tal bestämmelser av komplex art. Samma sak gäller i olika utsträckning för de resterande 17 klausulerna.
När parterna i exemplet är överens om vilka klausuler som är tillämpliga för den aktuella överföringen och de gör bedömningen att de går att uppfylla kan avtalet undertecknas.
I avvaktan på att de nya SCC har tillämpats några gånger blir det säkert ganska komplicerat att tillämpa SCC:s ”legomodell”. Ett område som kan bli särskilt svårt är att få befintliga personuppgiftsbiträdesavtal (PuBA) att överensstämma med SCC. En annan utmaning är att säkerställa att parterna kan efterleva klausulerna i praktiken. En annan, och säkert större utmaning, är att parterna skall kunna garantera personuppgifternas integritet i förhållande till nationella myndigheters legala krav på tillgång till uppgifter hos dataimportören. Mer om det nedan.
Nationella lagar och förfaranden hos dataimportören
I klausul 14 SCC skall parterna bl.a. garantera att de:
- ”… inte har någon anledning att misstänka att de lagar och förfaranden i det mottagande tredjelandet som är tillämpliga på uppgiftsinförarens behandling av personuppgifter, däribland eventuella krav på att lämna ut personuppgifter eller åtgärder för att bevilja åtkomst för offentliga myndigheter, hindrar uppgiftsinföraren från att fullgöra sina skyldigheter enligt dessa klausuler.”[4].
Att utställa en sådan garanti förutsätter att parterna har en uppfattning om vilka möjligheter mottagarlandets rättsordning skulle kunna ge nationella myndigheter rätt att ta del av uppgifter hos dataimportören. Klausulen säger inget explicit om hur långt parternas ansvar går i att utreda en ev. misstanke om att nationell rätt, t.ex. Foreign Intelligence Surveillance Act i USA[5], skulle kunna hota dataintegritet för registrerade. Den vägledning klausulen däremot ger är att eventuella nationella lagar, för att vara acceptabla, skall vara förenliga med andemeningen i EU-stadgans skydd för mänskliga fri- och rättigheter. Klausulen hänvisar i det sammanhanget till artikel 23 1. GDPR som medger vissa undantag för nationell säkerhet, försvar och allmän säkerhet etc. Parterna skall bedöma om inskränkningar av nämnda rättigheter i så fall skulle vara del i en nödvändig och proportionell åtgärd i ett demokratiskt samhälle.
Av klausulens övriga led kan man sammanfattningsvis bara konstatera att parterna måste ha mycket stor kunskap om samtliga omständigheter rörande överföringen vilket specificeras i led b) i) klausul 14. Led d) i samma klausul stadgar också att parterna skall dokumentera sina bedömningar för att på begäran kunna göra den tillgänglig för tillsynsmyndigheten. De långtgående kraven i klausulen motiveras i skäl nr 16 ff. i genomförandebeslutet.
Det arbete SCC kräver av parterna och den risk som följer med tredjelandsöverföringar torde ställas mot de vinster samarbetet med parten i tredjeland kan ge dataexportören.
Problem och risker
SCC löser inte de problem som konsekvenserna av Schrems II-domen innebär för tredjelandsöverföringar. De tydliggör däremot tillsammans med Europeiska dataskyddsstyrelsens (EDPB) rekommendationer[6] de krav som ställs på dataexportörer och dataimportörer. Man skulle kanske kunna säga att SCC innebär ett paradigmskifte i nyttjandet av överföringsmekanismer för personuppgifter. Fr.o.m. den 4 juni 2021 blev det mycket mer komplicerat.
Hårt sagt kan det tvinga fram strategiska överväganden vid valet av partners i tredjeland inom t.ex. forskningsområdet. Förstahandsvalet vid sådana överväganden torde i så fall vara att välja samarbetspartners inom EU/EES-området.
Att Integritetsskyddsmyndigheten (IMY) initierar ett tillsynsärende vad avser överföring av personuppgifter till tredjeland vid ett lärosäte kan inte uteslutas. Lärosätens omfattande internationella samarbeten och förekomsten av stora datamängder, bl.a. med känsliga personuppgifter talar för det.
En annan konsekvens av Schrems II-domen är att de nationella tillsynsmyndigheterna uppträder mer ”offensivt” inom sitt tillsynsuppdrag. De administrativa sanktionsavgifterna för brott mot reglerna för tredjelandsöverföringar ligger i den övre skalan. För ett lärosäte skulle det innebära upp till 10 MSEK per överföring i sanktionsavgift. Och värre än sanktionsavgiften skulle ett beslut i tillsynsärende mot ett lärosäte bli bindande och sannolikt tvinga fram nya strategiska överväganden inom forskningssamverkan inom hela sektorn.
Jacob Håkansson
Dataskyddsombud
2021-07-21
[1] EU:s Dataskyddsdirektiv 95/46/EG.
[2] “COMMISSION IMPLEMENTING DECISION (EU) 2021/914 of 4.6.2021 on standard contractual clauses for the transfer of personal data to third countries pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council” och “ANNEX to the COMMISSION IMPLEMENTING DECISION on standard contractual clauses for the transfer of personal data to third countries pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council”.
[3] EU-domstolen, dom 2020-07-16 i mål C 311/18).
[4] Klausul 14, a) bilaga till genomförandebeslut (EU) 2021/914.
[5] Section 702 i Foreign Intelligence Surveillance Act (FISA)
[6] EDPB 2021-06-18, Rekommendation 01/2020