Dataskyddsförordningen förbjuder överföring av personuppgifter till ett land utanför EU/EES (tredjelandsöverföring) om inte landet man vill föra uppgifterna till har har nationella bestämmelser avseende dataskydd som motsvarar EU:s bestämmelser till skydd för den personliga integriteten. Ett enkelt sätt att göra detta är i de fall EU-kommissionen fattat ett beslut om att ett tredjeland har nationella bestämmelser som ger en adekvat skyddsnivå eller att andra lämpliga skyddsåtgärder vidtas.
Förbudet mot s.k. tredjelandsöverföringar av personuppgifter är logiskt. I dagens digitaliserade värld där information flödar fritt över hela världen vore det märkligt och olyckligt om det skydd för personuppgifter som har byggts upp inom EU helt skulle sättas ur spel för personuppgifter som t.ex. samlats in och behandlats inom EU men därefter överförts till ett land utanför EU.
Vad som gör saken relativt komplicerad ur ett dataskyddsperspektiv är att användningen av många it-tjänster de facto kräver en överföring av personuppgifter till tredje land. Dels eftersom att många av de stora it-tjänsterna ägs och drivs av amerikanska företag, dels eftersom dessa företag har ett ekonomiskt intresse av att samla in personuppgifter. Det kan krasst konstateras att verksamheter som använder sig av dylika tjänster betalar med sina användares personuppgifter. Det förklarar varför många av tjänsterna är kostnadsfria trots att de drivs av stora vinstdrivande företag.
I Schrems II-domen bedömde EU-domstolen att Privacy Shield inte ger ett tillräckligt skydd. EU-domstolen påpekade bl.a. att det företräde som avtalet ger för USA:s krav avseende nationell säkerhet möjliggör ingrepp i personers grundläggande rättigheter när deras personuppgifter överförs till USA, eftersom amerikanska interna bestämmelser om åtkomst till personuppgifterna inte är reglerade på ett sådant sätt att de uppfyller krav som är väsentligen likvärdiga med dem som finns inom EU genom proportionalitetsprincipen.
Konsekvenserna av domen har börjat visa sig genom att flera tillsynsmyndigheter inom EU har beslutat att användningen av vissa amerikanska it-tjänster strider mot förbudet mot tredjelandsöverföringar om inte ytterligare säkerhetsåtgärder införs vid behandlingen.
Varför införs då inte ytterligare säkerhetsåtgärder? Det är bl.a. här saken blir komplicerad. Eftersom vissa av de säkerhetsåtgärder som skulle kunna införas (t.ex. användandet av anonymiserade data istället för pseudonymiserade data) i många fall inte ligger i it-företagens intressen. Chansen att USA kompromissar med sina bestämmelser avseende övervakning kopplat till nationell säkerhet får också anses vara tämligen liten.
Att det finns behov att på ett smidigt sätt kunna föra över personuppgifter till vissa aktörer i USA är uppenbart. Det finns också en politisk vilja att lösa upp den gordiska knuten i och med principöverenskommelsen om Trans-Atlantic Data Privacy Framework mellan EU och USA. Exakt vad det nya avtalet mellan EU och USA kommer att innehålla och om det kommer att räcka för att EU-domstolen ska anse att ett skydd för personuppgifter som väsentligen är likvärdigt med det som finns inom EU föreligger genom avtalet är fortfarande ovisst.
Om det ur ett långsiktigt perspektiv skulle visa sig att det nya avtalet inte är tillräckligt uppstår frågan om det finns aptit för att istället ändra i dataskyddsförordningen. Det kan dock finnas vissa utmaningar med att få en ändring avseende bestämmelserna om tredjelandsöverföringar kompatibel med andra grundläggande bestämmelser avseende den personliga integriteten som har ett starkt skydd i den europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna. Inte desto mindre är det spännande tider för den som är intresserad av att följa utvecklingen i den här frågan.
Förhoppningsvis ser vi en ny gryning för transatlantiska överföringar av personuppgifter inom kort. Och kanske kommer det finnas rättsligt stöd för sådana överföringar även efter att solen har gått ned och en ny dag gryr. En ny dag där miljoner personuppgifter på ett säkert sätt kan behandlas i USA i samband med att amerikanska it-tjänster används inom EU.
För ytterligare information se:
Gemensamt uttalande mellan EU-kommissionen och USA
Europeiska dataskyddsstyrelsens uttalande om principöverenskommelsen
Certezza Legal
