Kontakta oss
Stäng

Kontakta oss

Någon av våra experter tar kontakt inom kort

Aktuellt

Vad EU domstolens utfall i mål C-311/18 betyder, enligt EDPB

Den 23 Juli publicerade EDPB svar på de viktigaste frågorna efter EU domstolens utslag i mål C-311/18. SecureAppbox kunder omfattas inte av denna dom eftersom data som behandlas lagras i Sverige där tjänsterna skyddas av svensk lag och kryptering. SecureAppbox tjänster är alla utvecklade för att följa EU lagar och de hårda krav som finns på "privacy by design".

EU-domstolen slog den 16 juli fast att Privacy Shield-avtalet mellan EU och USA inte ger ett tillräckligt skydd för personuppgifter när dessa förs över till USA. Ogiltigförklarandet av Privacy Shield innebär att det inte längre är tillåtet för personuppgiftsansvariga i EU att med Privacy Shield som grund överföra personuppgifter till mottagare i USA. Domstolen ansåg däremot att Kommissionens beslut om standardiserade avtalsklausuler (SCC) är giltiga, men endast om USA kan garantera samma skyddsnivå för personuppgifter som EU erbjuder genom GDPR!

Du kan läsa hela EDPB:s dokument på engelska här. Domen C-311/18 kan hittas här och domstolens pressmeddelande kan hittas här.

Har domen konsekvenser för andra överföringsverktyg än Privacy Shield?

- Ja, i allmänhet gäller detta för all data överföring till länder utanför EU. Tröskel som fastställts av domstolen är lämpliga skyddsåtgärder enligt artikel 46 GDPR som används för att överföra uppgifter från EES till något tredje land. Exempel på lagar som stör hänvisas till av domstolen (avsnitt 702 FISA och EO 12333) oavsett överföring.

Finns det någon tidsperiod under vilken jag kan fortsätta att överföra data till USA utan att omvärdera min rättsliga grund för överföringen?

- Nej, domstolen domen gäller från 16 Juli eftersom gällande amerikansk lag inte bedöms av domstolen ge likvärdig skyddsnivå för EU medborgare.

Jag överförde data till en amerikansk leverantör med stöd av Privacy Shield, vad ska jag göra nu?

- Överföringar av data är from 16 juli olaglig. Om du vill fortsätta att överföra data till USA måste du kontrollera om du kan göra det under villkoren nedan.

Jag använder SCC:er med leverantörer i USA, vad ska jag göra?

- Domstolen fann att amerikansk lag (dvs. avsnitt 702 FISA och EO 12333) inte kan säkerställa en likvärdig skyddsnivå. 

Om du kommer till slutsatsen att med hänsyn till omständigheterna vid överföringen och eventuella kompletterande åtgärder inte säkerställts, måste du stänga av eller avsluta överföringen av personuppgifter. Men om du tänker fortsätt överföra data trots denna slutsats måste du meddela Datainspektionen.

Jag använder bindande företagsregler (”BCR: er”) med en enhet i USA, vad ska jag göra?

- Med tanke på domstolens dom, som ogiltigförklarade sekretessskyddet på grund av störningar som skapats av USA:s övervakningslagar med de grundläggande rättigheterna för personer vars uppgifter överförs till det tredje landet, och det faktum att sekretessskyddet också var Rättens bedömning är utformad för att säkerställa garantier till data som överförs med andra verktyg som BCR, och även i samband med BCR, eftersom amerikansk lag också kommer att ha företräde framför detta verktyg.

Om du kommer till slutsatsen att med hänsyn till omständigheterna vid överföringen och eventuella kompletterande åtgärder inte säkerställas, måste du stänga av eller avsluta överföringen av personuppgifter. Men om du tänker fortsätt överföra data trots denna slutsats måste du meddela Datainspektionen.

Vad sägs om andra överföringsverktyg enligt artikel 46 GDPR?

- EDPB kommer att bedöma konsekvenserna av domen på andra överföringsverktyg än SCC och BCR. Domen klargör att standarden för lämpliga skyddsåtgärder i artikel 46 GDPR är den av "väsentlig ekvivalens".

Som domstolen underströk bör det noteras att artikel 46 finns i kapitel V GDPR, och följaktligen måste läsas mot bakgrund av artikel 44 GDPR, där det fastställs att ”alla bestämmelser i det kapitlet ska tillämpas i ordning att se till att skyddsnivån för fysiska personer som garanteras genom den förordningen inte undermineras”.

Kan jag lita på ett av undantagen från artikel 49 GDPR för att överföra data till USA?

- Det är fortfarande möjligt att överföra data från EES till USA på grundval av undantag enligt artikel 49 GDPR, under förutsättning att villkoren i denna artikel gäller. EDPB hänvisar till dess tre riktlinjer när överföringar är baserade på den registrerades samtycke:

- uttryckligen,

- specifikt för den specifika dataöverföringen eller uppsättningen av överföringar (vilket innebär att leverantören måste se till att få specifikt medgivande innan överföringen genomförs även om detta sker efter att insamlingen av uppgifterna har gjorts), och

- informerad, särskilt om de eventuella riskerna för överföringen (vilket innebär att den registrerade också bör informeras om de specifika riskerna till följd av att deras uppgifter kommer att överföras till ett land som inte ger tillräckligt skydd och att inga tillräckliga skyddsåtgärder syftar till ge skydd för data implementeras).

När det gäller överföringar som är nödvändiga för genomförandet av ett avtal mellan den registrerade och den registeransvarige bör det komma ihåg att personuppgifter endast får överföras när överföringen är tillfällig. Det måste fastställas från fall till fall huruvida dataöverföringar skulle bestämmas som "tillfällig" eller "icke-tillfällig". I vilket fall som helst kan detta undantag åberopas endast om överföringen är objektivt nödvändig för att kontraktet ska kunna fullgöras.

När det gäller överföringar som är nödvändiga av viktiga skäl av allmänt intresse (som måste erkännas i EU- eller medlemsländernas lag 6) erinrar EDPB om att det väsentliga kravet för tillämpningen av detta undantag är att hitta ett viktigt allmänt intresse och inte organisationens natur, och att även om detta undantag inte är begränsat till dataöverföringar som är "tillfälliga", betyder detta inte att dataöverföringar på grundval av det viktiga undantaget från allmänt intresse kan ske i stor skala och på ett systematiskt sätt.

Kan jag fortsätta använda SCC eller BCR för att överföra data till ett annat tredje land än USA?

- Domstolen har angett att SCC som regel fortfarande kan användas för att överföra data till ett tredje land, men tröskeln som fastställts av domstolen för överföringar till USA gäller för alla tredjeländer. Detsamma gäller för BCR.

Revisionsrätten framhöll att det primära ansvaret att göra denna bedömning och att tillhandahålla nödvändiga kompletterande åtgärder är leverantören (dataexportören/importören).

Vilken typ av kompletterande åtgärder kan jag införa om jag använder SCC eller BCR för att överföra data till tredje land?

- De kompletterande åtgärder som behöver tillhandahållas behöver analyseras från fall till fall, med hänsyn till alla omständigheterna vid överföringen och efter bedömningen av lagen i tredje land för att kontrollera om det säkerställer en adekvat skyddsnivå. Domstolen framhöll att primärt ansvar att göra denna bedömning och att tillhandahålla nödvändiga kompletterande åtgärder är leverantören.

EDPB analyserar för närvarande domstolens dom för att fastställa vilken typ av kompletterande åtgärder som kan vidtas utöver SCC eller BCR, antingen lagliga, tekniska eller organisatoriska åtgärder, för att överföra data till tredje länder där SCC eller BCR inte kommer att tillhandahålla tillräcklig nivå av garantier på egen hand.

Jag använder ett personuppgiftsbiträde som bearbetar data som jag ansvarar för som personuppgiftsansvarig, hur kan jag veta om detta biträde överför data till USA eller till ett annat tredje land?

- Det kontrakt som du har ingått med din processor i enlighet med artikel 28.3 GDPR måste ange om överföringar är godkända eller inte (kom ihåg att även tillhandahållande av tillgång till data från ett tredje land, till exempel för administrationsändamål eller support, också uppgår till en överföring).

- Tillstånd måste också tillhandahållas beträffande personuppgiftsbiträden att anförtro andra biträden att överföra data till tredje länder. Du bör vara uppmärksam och vara försiktig, eftersom ett stort antal datorlösningar kan innebära överföring av personuppgifter till ett tredje land (t.ex. för lagring eller underhåll).

Vad kan jag göra för att fortsätta använda tjänsterna hos ett personuppgiftsbiträde (ex Microsoft, Google mfl) om det kontrakt som undertecknats i enlighet med artikel 28.3 GDPR indikerar att data kan överföras till USA eller till ett annat tredje land?

- Om dina uppgifter överförs till USA och kompletterande åtgärder inte tillhandahållas för att säkerställa att amerikansk lag påverkar en likvärdig skyddsnivån, eller avvikelser enligt artikel 49 GDPR tillämpas, är den enda lösningen är att förhandla om en ändring eller en kompletterande klausul till ditt kontrakt för att förbjuda överföringar till USA. Data ska inte bara lagras utan också administreras på andra håll än i USA.

- Om dina uppgifter kan överföras till ett annat tredje land, bör du också verifiera lagstiftningen i det tredje landet för att kontrollera om det överensstämmer med domstolens krav och med nivå av skydd för förväntade personuppgifter. Om det inte finns någon lämplig grund för överföringar till ett tredje land, bör personuppgifter inte överföras utanför EES-territoriet och all behandling bör ske i EES.

Mer frågor kring detta, kontakta oss


 


  • Vad EU domstolens utfall i mål C-311/18 betyder, enligt EDPB

    2020-07-24

    Den 23 Juli publicerade EDPB svar på de viktigaste frågorna efter EU domstolens utslag i mål C-311/18. SecureAppbox kunder omfattas inte av denna dom eftersom data som behandlas lagras i Sverige där tjänsterna skyddas av svensk lag och kryptering. SecureAppbox tjänster är alla utvecklade för...

    Läs mer
  • SecureAppbox lanserar säkra videomöten, speciellt framtagen för offentlig sektor

    2020-04-24

    STOCKHOLM (24 April 2020) – SecureAppbox lanserar säkra videomöten. Tjänsten möjliggör för kommuner att skapa videomöten där krav på sekretess behöver beaktas. Tjänsten är ett säkert alternativ till Skype, Teams eller Zoom etc. och har utvecklats i nära samarbete med UPH/Sveriges Kommuner och...

    Läs mer
  • Hjälp oss att få en Coronafri värld!

    2020-03-27

    Vi har tagit initiativet till att, med början i Sverige, skapa ett internationellt informationssystem för att effektivt hantera riskbedömning och påvisa immunitet för de medborgare som ur ett riskperspektiv inte längre är smittbärare.

    Läs mer
  • SecureAppbox lanserar funktion för utökad läskvittens, som stödjer eSams vägledning, Digitalisera rätt.

    2020-03-09

    SecureAppbox AB, har nu uppdaterat sin molntjänst med funktionen för utökad läskvittens. Denna funktion ingår nu till alla företagsanvändare samt de som licensierat API-plattformen. Första kund att nyttja funktionen är FamiljehemSverige.se, en nationell e-tjänst som dagligen används av över...

    Läs mer
Se fler nyheter