Överföring av personuppgifter till USA kraftigt försvårat

Published

I ett mål inför EU-domstolen rörande Safe Harbor-principerna, vilka möjliggör för företag att lagenligt överföra personuppgifter från EU till USA, har domstolen förklarat dessa principer ogiltiga. Domen kan föranleda komplikationer för flera tusen företag vid sådana överföringar av personuppgifter.

Överföring av personuppgifter till ett land utanför EU är tillåtet under förutsättning att det mottagande landet har vad som kallas en ”adekvat skyddsnivå”. På grund av att USA tidigare inte ansågs vara ett land med adekvat skyddsnivå tog USA:s handelsdepartement år 2000 fram regler om personlig integritet och dataskydd till vilka amerikanska företag sedan dess kan ansluta sig. EU-kommissionen har bedömt dessa regler som tillräckliga och därmed gjort det möjligt att överföra personuppgifter till USA på ett smidigt sätt.

Med anledning av ett klagomål rörande Facebooks överföring av data från Irland till USA ställde den irländska högsta domstolen två frågor till EU-domstolen avseende om tillsynsmyndigheter är bundna av beslut från EU-kommissionen såsom det ovannämnda och, om de inte är det, tillsynsmyndigheter får eller ska utreda om en adekvat skyddsnivå föreligger i USA.

EU-domstolen konstaterade att beslut från EU-kommissionen inte hindrar en tillsynsmyndighet från att bedöma om ett tredje land säkerställer en adekvat skyddsnivå. EU-domstolen ogiltigförklarade vidare EU-kommissionens beslut avseende Safe Harbor-principerna, bland annat på följande grunder:

• Att amerikanska statliga myndigheter i allt för stor utsträckning har möjlighet att få tillgång till och behandla informationen som överförts till amerikanska företag,

• att det saknas rättsmedel i USA för berörda personer för att få tillgång till, rätta eller radera uppgifter som rör dem, och

• att Safe Harbor-principerna på ett otillåtet sätt begränsar nationella tillsynsmyndigheters befogenheter då en person ifrågasätter om ett beslut från EU-kommissionen avseende ett tredje lands adekvata skyddsnivå är förenligt med skyddet för privatlivet och enskilda personers grundläggande fri- och rättigheter.

Ogiltigförklarandet av Safe Harbor-principerna föranleder att överföringar av personuppgifter till USA blir mer komplicerade. USA och EU har under en lång period försökt komma överens om nya Safe Harbor-principer och förhoppningsvis kan man inom kort nå en ny överenskommelse som säkerställer ett tillräckligt skydd. Fram tills att det sker måste företag som vill överföra personuppgifter till USA förlita sig på de undantag som finns från förbudet mot överföring av personuppgifter till tredje land som saknar adekvat skyddsnivå. Detta förutsätter normalt att samtycke förenligt med gällande regler inhämtas från den registrerade eller att avtalet om överföring av personuppgifter mellan företaget i EU respektive företaget i USA innehåller vissa särskilda standardavtalsklausuler.

På Time Advokatbyrå hanterar vi ständigt frågor som rör behandling av personuppgifter och har redan anpassat vår rådgivning med anledning av såväl EU-domstolens dom som den nya dataskyddsförordningen som förväntas träda i kraft inom några år. Om ni har några frågor eller funderingar avseende personuppgiftsbehandling är ni naturligtvis välkomna att kontakta oss.