Europeiska dataskyddsstyrelsens rekommendationer - kommentar
Europeiska dataskyddsstyrelsens rekommendationer för överföring av personuppgifter till tredjeland - kommentar
Rekommendationen i fulltext (eng) hittar du här. https://edpb.europa.eu/system/files/2021-06/edpb_recommendations_202001vo.2.0_supplementarymeasurestransferstools_en.pdf
Sammanfattning
Europeiska dataskyddsstyrelsen (EDPB) har den 18 juni 2021 fastställt de rekommendationer som tidigare funnits i utkastform och som skall underlätta tredjelandsöverföringar av personuppgifter. Rekommendationerna skall ses i ljuset av GDPR:s övergripande syfte, att; underlätta det fria flödet av personuppgifter inom EU/EES samtidigt som skyddet för den personliga integriteten i flödet skall stärkas. EDPB:s rekommendationer (”rekommendationerna”) ger en vägledning till hur de mekanismer för överföring som finns i kapitel 5 GDPR skall kunna tillämpas.
Överföringsverktygen i artikel 46 GDPR innehåller fem olika mest förekommande mekanismerna;
- standardiserade dataskyddsbestämmelser.
- bindande företagsbestämmelser (CBR).
- uppförandekoder.
- certifieringsmekanismer.
- avtalsklausuler.
De kan generellt användas för överföringar till tredjeländer men varje mottagarland måste bedömas utifrån flera aspekter som kan påverka styrkan i skyddet för uppgifterna som överförs. Målsättningen med föreliggande regelverk är att säkerställa att skyddsnivån för personuppgifter (från EU/EES) i tredjeland har en väsentligen likvärdighet som inom EU/EES.
Schrems II och rekommendationerna
Från domen den 16 juli 2020 i målet ”Schrems II” lyfter rekommendationerna fram att tredjelandsöverföringar inte får vara en metod att underminera det skydd för personuppgifter som finns inom EU/EES-området. EDPB skriver samtidigt att domen inte föreskriver att skyddet av uppgifterna måste vara identiskt i tredjeland utan att det räcker med att skyddet är ”väsentligen likvärdigt”.
Ur det perspektivet är det intressant att försöka förstå rekommendationerna ihop med standardavtalsklausulerna (SCC). Både SCC och rekommendationerna ger nämligen ett utrymme för en viss subjektiv bedömning av olika förutsättningar inför en överföring. Det gäller såväl om rättsordningen i det mottagande landet ger nationella myndigheter rätt att ta del av förutsättningar för skydd som omständigheter kring den aktuella överföringen.
Exempel på nödvändiga steg inför en ev. tredjelandsöverföring av personuppgifter.
1. Kartlägg överföringarna till tredje land och säkerställ att uppgifterna uppfyller de allmänna kraven i GDPR (laglighet, korrekthet, ändamålsenlighet, minimering etc.).
2. Identifiera med vilken mekanism överföringarna görs (avd. 5 GDPR). Om ett adekvansbeslut saknas skall stödet för överföringarna sökas i art. 46. Enbart i undantagsfall kan bestämmelserna i art. 49 tillämpas.
3. Bedöm om det i mottagarlandet kan finnas nationell lagstiftning (motsv.) som kan undergräva säkerheten i den överföringsmekanism som valts för den specifika överföringen. Bedömningen skall göras utifrån ett legalt perspektiv och för att utröna om nationella myndigheters befogenheter i praktiken kan undergräva uppgifternas skydd. Särskilt gäller det om:
- det är uppenbart att mottagarlandet inte uppfyller den nivå av skydd för uppgifter som finns inom EU/EES.
- om överföringsmekanismens skyddseffekt undergrävs av brister i nationell lagstiftning i mottagarlandet.
- om det finns ”problematisk lagstiftning” i mottagarlandet som antingen undergräver uppgifternas legala skydd vid överföringen och/eller hos dataimportören.
I de två första fallen måste överföringarna antingen avbrytas eller skyddas med ytterligare skyddsåtgärder så att en ”väsentligen likvärdig skyddsnivå” erhålls.
I det senare fallet måste överföringarna antingen avbrytas eller skyddas med ytterligare skyddsåtgärder alternativt genomföras om dataexportören gör en dokumenterad bedömning att det inte finns ”någon anledning att misstänka” att dylik nationell rätt kan komma att tillämpas mot de specifika uppgifterna i överföringen. Det senare skall göras med due diligence och dokumenteras i varje fall.
4. Identifiera vilka ytterligare skyddsåtgärder som kan krävas för att uppnå en väsentligen likvärdig skyddsnivå. Omständigheterna kring överföringen kan kräva att flera åtgärder kombineras för att skyddet skall kunna bedömas som likvärdigt. Är bedömningen att skyddsåtgärderna sannolikt inte räcker för att skydda personuppgifterna under överföring till eller i mottagarlandet skall överföringen inte genomföras. Bedömningen skall dokumenteras och den personuppgiftsansvarige är ansvarig för kvaliteten i alla led.
5. Besluta vilka förfarandeåtgärder överföringen kan komma att kräva mot bakgrund av de verktyg som finns i art. 46 och som avses tillämpas. Vissa kan kräva samråd med Integritetsskyddsmyndigheten (IMY).
6. Utvärdera de bedömningar som gjorts gällande överföringen och ta relevanta omvärldshändelser i beaktande vad avser personuppgifternas skyddsnivå.
Det exemplet ovan visar på är att en tredjelandsöverföring av personuppgifter kan kräva en kombination av mekanismer för att kravet i art. 44 GDPR skall vara uppfyllt. D.v.s. att alla bestämmelser i kapitel 5 GDPR (som reglerar tredjelandsöverföringar) skall tillämpas för att säkerställa att GDPR:s samlade syfte att skydda fysiska personer inte undergrävs.
Det gäller alltså att hitta rätt balans mellan t.ex. standardavtalsklausulerna (SCC) och EDPB:s rekommendationer för ytterligare skyddsåtgärder i ljuset av rättsordningens förutsättningar i det mottagande landet.
Vad gäller bedömningen av hur rättsordningen i tredjeland kan påverka skyddet av personuppgifterna begränsas dataimportörens skyldigheter i alla fall till att bara omfatta den specifika överföringen. Det ger en viss flexibilitet i bedömningen som tangerar en intresseavvägning. Kraven är dock stora generellt och bedömningar skall dokumenteras vilket jag skrivit om ovan.
Jacob Håkansson
Dataskyddsombud
2021-07-26