Rättsfall | Sverige | C-311/18 | 2020-06-16
Den 16 juli 2020 ogiltigförklarade EU-domstolen (C-311/18 Schrems II) den s.k. ”EU-US Privacy Shield”, kommissionens beslut om adekvat skyddsnivå, men upprätthöll dess beslut om standardavtalsklausuler. Samtidigt slog domstolen fast att en likvärdig skyddsnivå gäller oavsett vilken mekanism som används vid överföring av personuppgifter till tredje land. Domstolen gav också de nationella tillsynsmyndigheterna bakläxa för att de underlåtit att ingripa mot överföring som grundats på ovannämnda standardavtalsklausuler.
EU-domstolen ogiltigförklarar EU-US Privacy Shield
Den 16 juli 2020 ogiltigförklarade EU-domstolen (C-311/18 Schrems II) den s.k. ”EU-US Privacy Shield”, kommissionens beslut om adekvat skyddsnivå, men upprätthöll dess beslut om standardavtalsklausuler. Samtidigt slog domstolen fast att en likvärdig skyddsnivå gäller oavsett vilken mekanism som används vid överföring av personuppgifter till tredje land. Domstolen gav också de nationella tillsynsmyndigheterna bakläxa för att de underlåtit att ingripa mot överföring som grundats på ovannämnda standardavtalsklausuler.
Bakgrunden till målet var att Maximilian Schrems, en österrikisk medborgare som var bosatt i Österrike, den 25 juni 2013 hade lämnat in ett klagomål till den irländska dataskyddstillsynsmyndigheten (”The Data Protection Commission”) och krävde att denna skulle förbjuda Facebook Ireland att överföra hans personuppgifter till Facebook Inc. i USA. Klagomålet hade föranletts av de uppgifter om amerikanska myndigheters massövervakning som avslöjats av visselblåsaren Edward Snowden. Den irländska tillsynsmyndigheten avslog dock klagomålet med motivering att kommissionens beslut 2000/520 (”Safe Harbour”-beslutet) fastställde att USA garanterade en adekvat skyddsnivå. Efter att EU-domstolen i sin dom den 6 oktober 2015 (C-362/14 Schrems I) ogiltigförklarat kommissionens beslut uppmanade den irländska tillsynsmyndigheten honom att omformulera sitt klagomål. Det hade nämligen framkommit att Facebook numera i huvudsak grundade den aktuella överföringen på de standardavtalsklausuler som fanns i bilagan till kommissionens beslut 2010/87.
Den irländska tillsynsmyndigheten väckte den 31 maj 2016 talan i irländsk domstol (”High Court”) för att kunna få ett förhandsavgörande från EU-domstolen. Efter att denna talan väckts antog kommissionen ett nytt beslut om adekvat skyddsnivå avseende USA, beslut 2016/1250 om EU-US Privacy Shield. Det ursprungliga klagomålet avsåg det numera upphävda direktiv 95/46 (dataskyddsdirektivet) och begäran om förhandsavgörande i det aktuella målet hade inkommit till EU-domstolen den 4 maj 2018 innan förordning 2016/679, EU:s dataskyddsförordning (GDPR) hade blivit tillämplig. Det faktum att tillsynsmyndigheten ännu inte fattat ett slutligt beslut när direktivet upphävdes den 25 maj 2018 och ersattes av dataskyddsförordningen gjorde att tolkningsfrågorna skulle besvaras i ljuset av förordningen snarare än direktivet. För att besvara de frågor som ställts av den nationella domstolen prövade EU-domstolen bl.a. frågan om den aktuella överföringen föll utanför förordningens materiella tillämpningsområde, vilken nivå av skydd som krävdes samt de ovannämnda beslutens giltighet.
Dataskyddsförordningens materiella tillämpningsområde
EU-domstolen tog först ställning till om den aktuella överföringen mellan Facebook Ireland och Facebook Inc. skulle anses falla utanför förordningens materiella tillämpningsområde enligt något av undantagen i artikel 2.2 a, b och d i GDPR. Förordningen är inte tillämplig på behandling som utgör ett led i verksamhet som inte omfattas av unionsrätten (bl.a. nationell säkerhet) eller som en medlemsstat utför inom ramen för den gemensamma utrikes- och säkerhetspolitiken. Detsamma gäller polis och rättsväsendets behandling på vilken direktiv 2016/68 blir tillämplig. Domstolen konstaterade att det faktum att en överföring av personuppgifter mellan två kommersiella aktörer i samband med denna eller härefter kunde bli föremål för behandling av en myndighet i tredje land inte gjorde att ovannämnda undantag blev tillämpliga. Eftersom artikel 45.2 a i GDPR uttryckligen anger att kommissionen vid bedömningen av om ett tredje land uppfyller kravet på en adekvat skyddsnivå bl.a. ska beakta dess lagstiftning på området för allmän säkert, försvar, nationell säkerhet och straffrätt kunde förekomsten av en myndighets vidare behandling för dessa ändamål inte innebära att en överföring i kommersiellt syfte mellan två kommersiella aktörer föll utanför förordningens tillämpningsområde.
Standardavtalsklausuler för överföring av personuppgifter
När ett kommissionsbeslut om adekvat skyddsnivå saknas kan överföring till tredje land i stället grundas på någon av de lämpliga skyddsåtgärder som föreskrivs i artikel 46 i GDPR. Eftersom det framkommit att Facebook i huvudsak grundat sin överföring på standardiserade dataskyddsbestämmelser ville den nationella domstolen få svar på vilken skyddsnivå som krävdes för att en överföring skulle vara tillåten enligt artikel 46.1 och 46.2 c i GDPR. EU-domstolen konstaterade att artikel 46 måste tolkas i ljuset av den allmänna principen om överföring till tredje land som föreskrivs i artikel 44 i GDPR. För att en överföring enligt artikel 46.2 c skulle vara tillåten måste den registrerade genom lämpliga skyddsåtgärder, lagstadgade rättigheter och effektiva rättsmedel vara tillförsäkrad ett skydd som är väsentligen likvärdigt med den nivå som säkerställs inom unionen. När det gäller myndigheters tillgång till de överförda uppgifterna ska bedömningen även omfatta relevanta delar av det tredje landets rättsordning, bl.a. de områden som framgår av artikel 45.2 i GDPR. Skyddet och bedömningen ska alltså vara densamma oavsett mekanism för överföring.
Eftersom Facebook förlitat sig på de standardavtalsklausuler som fastställts av kommissionen i beslut 2010/87 ville den nationella domstolen också få klarhet i om detta beslut var giltigt mot bakgrund av artiklarna 7, 8 och 47 i EU-stadgan. Domstolen ville särskilt få klarhet i om beslutet kunde säkerställa en adekvat skyddsnivå med hänsyn till att dessa standardavtalskausler inte var bindande för myndigheter i tredje land. EU-domstolen konstaterade emellertid att det senare saknade betydelse för beslutets giltighet. Standardavtalsklausulerna som sådana syftade inte till att garantera ett heltäckande skydd utan det var upp till den personuppgiftsansvarige att vidta eventuella kompletterande skyddsåtgärder. Det avgörande var i stället om ett sådant beslut innehöll effektiva mekanismer som i praktiken gjorde det möjligt att säkerställa den skyddsnivå som krävdes enligt unionsrätten samt att en överföring av personuppgifter vid behov kunde avbrytas eller förbjudas med stöd av ifrågavarande standardavtalsklausuler. Domstolen fann att så var fallet och upprätthöll kommissionens beslut om standardavtalsklausuler.
EU-domstolen konstaterade också att om ett beslut om adekvat skyddsnivå saknades var den behöriga tillsynsmyndigheten när en sådan likvärdig nivå av skydd inte kan garanteras skyldig att ingripa mot en överföring av personuppgifter till ett tredje land som grundas på standardiserade dataskyddsbestämmelser som antagits av kommissionen. Ett sådant beslut kunde alltså inte hindra en tillsynsmyndighet från att fullt ut utöva sina befogenheter enligt EU:s dataskyddsförordning. Om en tillsynsmyndighet gjorde bedömningen att det i ett tredje land inte var möjligt att uppfylla de avtalsförpliktelser som föreskrivs i beslutet och att en adekvat skyddsnivå inte kan upprätthållas genom andra lämpliga skyddsåtgärder ska en behörig tillsynsmyndighet alltså, om den personuppgiftsansvarige eller ett personuppgiftsbiträde inte självmant upphört med överföringen, enligt artikel 58.2 f och j i GDPR förbjuda eller avbryta den ifrågavarande behandlingen.
Beslut om EU-US Privacy Shield ogiltigförklarat
Domstolen behandlade också frågan om kommissionens beslut 2016/1250 om EU-US Privacy Shield var giltigt i ljuset av EU:s dataskyddsförordning, jämförd med artikel 7, 8 och 47 i EU-stadgan. Frågan uppkom som en följd av att Facebook i det nationella målet gjort gällande att beslutet var bindande för tillsynsmyndigheterna med avseende på huruvida en adekvat skyddsnivå kunde garanteras vid överföring av personuppgifter till USA grundat på standardavtalsklausuler. EU-domstolen delade, som framgått ovan, uppfattningen att ett beslut om adekvat skyddsnivå var bindande, men konstaterade samtidigt att detta inte hindrade att en behörig tillsynsmyndighet i samband med ett klagomål från en registrerad kunde ifrågasätta beslutets överstämmelse med unionsrätten och väcka talan om dess giltighet.
EU-domstolen prövade härefter om kommissionens beslut om en adekvat skyddsnivå överensstämde med unionsrätten. Bedömningen avsåg i första hand vissa program för övervakning och signalspaning som bedrivs av amerikanska myndigheter. Domstolen fann att beslutet i likhet med tidigare Safe Harbour-beslut innehöll ett vidsträckt undantag för nationell säkerhet, allmänna intressen, polis och rättsväsendet, som möjliggjorde kränkning av den registrerades grundläggande fri- och rättigheter. Den amerikanska rättsordningen innehöll enligt domstolen inte tillräckligt tydliga och precisa bestämmelser som begränsade dessa ingrepp i privatlivet till vad som var strikt nödvändigt. Den aktuella lagstiftningen gav heller inte icke-amerikanska medborgare någon möjlighet att angripa dessa åtgärder i domstol. EU-domstolen fann härvid att den ombudsperson som inrättats genom EU-US Privacy Shield inte uppfyllde kravet på opartiskhet och saknade befogenhet att anta beslut som var bindande för amerikanska myndigheter. Kommissionen hade åsidosatt de krav som följde av artikel 45.1 i GDPR och beslutet var härigenom ogiltigt.
Avslutande kommentar
EU-US Privacy Shield omfattar inte all överföring av personuppgifter till USA, utan endast enskilda organisationer som anslutit sig till detta program (en förteckning förs av U.S. Department of Commerce) och torde ha störts betydelse för små och medelstora företag. Att EU-domstolen för andra gången ogiltigförklarat ett kommissionsbeslut om adekvat skyddsnivå med avseende på överföring av personuppgifter till USA väcker naturligtvis trots det många frågor. Samtidigt visar domstolens tidigare ogiltigförklaring av kommissionens Safe Harbour-beslut i Schrems I att varken kommissionen eller de nationella tillsynsmyndigheterna verkar ha någon större aptit för att i praktiken fullt ut verkställa en sådan dom. Det är här värt att lägga märke till att domstolen – efter att ha tagit ställning till huruvida det krävdes för att undvika ett rättsligt tomrum – avstod från att låta beslutet ha fortsatt rättsverkan. Några sådana bestämmelser om vilken rättsverkan ett beslut om adekvat skyddsnivå kan ha under en övergångsperiod finns heller inte i dataskyddsförordningen. Europeiska dataskyddsstyrelsen (EDPB), som nyligen publicerat ett dokument med svar på vanliga frågor om Schrems II, gör dock klart att det inte finns någon skonfrist och att överföringar grundat på det ogiltigförklarade beslutet är olagliga.
Den som vill överföra personuppgifter till USA måste alltså helt och hållet förlita sig på en annan mekanism, såsom lämpliga skyddsåtgärder eller undantag i särskilda situationer. Det verkligt intressanta med Schrems II i detta avseende är att domstolen konstaterat att samma skyddsnivå gäller oavsett vilken mekanism som används. Förutsatt att USA inte ändrar sin lagstiftning eller vidtar motsvarande åtgärder är det nämligen svårt att se hur överföring av personuppgifter från EU/EES till USA i nuläget över huvud taget skulle kunna vara laglig. Rättsligt känns det heller inte troligt att det så att säga skulle vara möjligt att ”måla över skavankerna” genom en ny EU-US Privacy Shield med hänsyn till att domstolens avgörande tar sikte på centrala brister i USA:s skydd av grundläggande fri- och rättigheter.
EDPB har klargjort att domen omedelbart påverkar möjligheten att använda både standardavtalsklausuler och bindande företagsbestämmelser, men har avvaktat med att närmare uttala sig om andra lämpliga skyddsåtgärder enligt artikel 46 i GDPR. Det är heller inte helt klart vad som gäller beträffande de undantag i särskilda situationer som föreskrivs i artikel 49 i GDPR, men enligt ovannämnda dokument verkar EDPB utgå ifrån att sådana överföringar fortfarande är möjliga förutsatt att villkoren i denna bestämmelse iakttas (se även styrelsens riktlinjer 2/2018, antagna den 25 maj 2018). Med hänsyn till att EU-domstolens resonemang kring sambandet mellan artikel 46 och 45 byggde på att den förra var införd i kapitel V är det dock inte uteslutet att Schrems II även påverkar möjligheten att använda undantagen i artikel 49. EDPB har lovat återkomma med ytterligare klargörande och vägledning. Detsamma gäller den irländska dataskyddsmyndigheten.