I det här intressanta fallet, som vi tidigare skrivit om i det här blogginlägget, gavs det ett förslag till avgörande av generaladvokaten Henrik Saugmandsgaard Øe den 19 december 2019. I det här blogginlägget kommer vi behandla de mest intressanta aspekterna av förslaget. Det kan även ge lite klarhet i hur EU domstolen eventuellt kan komma att döma i fallet. Som vi har nämnt tidigare är generaladvokatens förslag till avgörande inte bindande för domstolen, men det kan vara användbart som vägledning både för dem och för oss.
Inom EU rättens tillämpningsområde?
Generaladvokaten börjar med att stadga att han finner situationen falla inom EU-rättens tillämpningsområde. Detta är i linje med vad Schrems och den irländska dataskyddsmyndigheten (DPC) argumenterade för (stycke 103), till skillnad från Facebook Irland som ansåg att fallet är utanför EU-rättens tillämpningsområde.
Tillsynsmyndigheter har en skyldighet att agera
Generaladvokaten tydliggör att nationella tillsynsmyndigheter har en skyldighet att agera. Vilket såklart är en viktig del av verkställighetsförfarandet baserat på GDPR. De kan därmed inte bestämma sig för att inte agera, exempelvis om det handlar om ett stort inflytelserikt företag som är viktigt för landets ekonomi.
Således säger generaladvokaten att DPC inte kan välja när de vill och inte vill agera: denna och alla andra tillsynsmyndigheter måste alltid agera när grundläggande rättigheter har blivit kränkta! Detta baseras på tillsynsmyndigheters skyldigheter i GDPR, se artikel 58(2) GDPR. DPC argumenterade för att nyss nämnda artikel lämnar viss beslutanderätt till tillsynsmyndigheterna, men generaladvokaten har samma åsikt som Schrems: nämligen att det föreligger en skyldighet för tillsynsmyndigheterna att agera för att säkerställa en korrekt tillämpning av GDPR. Se även artikel 57(1)(a) GDPR angående detta (stycke 144, 145 i förslaget).
I artikel 52 GDPR är det även stadgat att tillsynsmyndigheten måste agera självständigt och därmed inte påverkas av yttre omständigheter när GDPR tillämpas. Detta är såklart en viktig aspekt eftersom myndigheten övervakar alla företag inom sin jurisdiktion och får såklart inte på något sätt påverkas när den gör det.
Privacy Shield
Generaladvokaten påvisar viss tveksamhet angående ifall Privacy Shield faktiskt överensstämmer med artikel 7, 8 samt 47 i Europeiska unionens stadga om de grundläggande rättigheterna (Stadgan) samt artikel 8 i Europeiska konventionen om skydd för de mänskliga rättigheterna (EKMR), då den möjligen inte ger ett tillräckligt skydd. Detta är intressant då Privacy Shield är ett sätt för amerikanska företag att certifiera sig själva till att ha ett adekvat skydd av personuppgifter. Baserat på ett beslut av EU Kommissionen har personuppgiftsansvariga tillåtelse att överföra personuppgifter till företag i USA som är Privacy Shield-certifierade.
Giltigheten av Privacy Shield är baserat på principen om ”väsentligt likvärdigt skydd”, vilket innebär att företag i USA måste ha väsentligt likvärdigt skydd av personuppgifter när dessa förs över från EU till USA. Den här standarden ska alltså vara väsentligt likvärdig med skyddet under GDPR, Stadgan samt när EU-rätt inte gäller: EKMR (se stycke 247 i förslaget).
Generaladvokaten ifrågasätter specifikt ifall USA:s övervakningsåtgärder är klart definierade och precisa nog att inte medföra några risker för överträdelser (se stycke 289). Generaladvokaten ifrågasätter även hur effektiv Ombudspersonsmekanisimen är. Ombudspersonen utses av, och rapporterar till, the Secretary of State och är därför en del av USA:s statliga myndighet (US State Department). Europeiska registrerade har möjligheten att lämna in klagomål till Ombudspersonen när deras personuppgifter överförs från EU till USA. Generaladvokaten ifrågasätter dock om denna mekanism är tillräcklig för att kompensera för bristen på domstolsskydd för personen vars personuppgifter överförs till USA (se stycke 335). Det kan till exempel ifrågasättas hur självständig rollen som Ombudsperson faktiskt är.
Om EU-domstolen följer argumentationen gjord av generaladvokaten kan det ske intressanta förändringar gällande vilken typ av skydd som är nödvändigt när personuppgifter överförs till tredje land.
Europeiska konventionen om skydd för de mänskliga rättigheterna och grundläggande friheterna i förhållande till USA:s övervakning
Generaladvokaten ser till rättsfall baserade på EKMR, inte de som är baserade på Stadgan. Stadgan är en del av EU:s primärrätt. Enligt Schrems är det en mycket mer övervakningsvänlig approach än vad han tror att domstolen kommer ha i fallet. Detta då han anser att domstolen generellt brukar ha en mer privatlivsskyddande approach. Det blir intressant att se hur det kommer bli i det här fallet!
Standardavtalsklausuler
Generaladvokaten menar också att Beslut 2010/87/EU gällande standardavtalsklausuler inte bör bedömas som ogiltigt, även om DPC var av den åsikten. Om där i ett specifikt fall uppstår problem med amerikansk rätt, då har DPC möjligheten att avbryta överföringar av personuppgifter till USA baserat på artikel 4 i standardavtalsklausulerna. DPC skulle på det sättet kunna skydda registrerades personuppgifter och det finns därför ingen anledning att ogiltigförklara hela systemet med standardavtalsklausuler.
För att sammanfatta…
Det kommer bli intressant att se om EU-domstolen bestämmer sig för att följa Generaladvokatens förslag till avgörande. Det kommer även bli intressant att se om denna kommande dom kommer påverka amerikansk rätt på något sätt. Kanske genom att göra den amerikanska lagstiftningen mer långtgående gällande att skydda registrerades personuppgifter. Om så är fallet, kommer USA då avskaffa systemet med Privacy Shield helt eller kommer de hitta ett sätt att förbättra det?
Frågor?
Vi hoppas att ni tyckte om detta blogginlägg! Om ni har några fler frågor gällande GDPR är ni mer än välkomna att kontakta oss på GDPR Hero via e-post eller telefon 046 – 273 17 17. Ni kan också boka en demo här.
