Den 16 juli kom den efterlängtade domen från EU-domstolen i det intressanta målet C-311/18 Data Protection Commissioner mot Facebook Ireland Ltd (Facebook Ireland) och Maximillian Schrems. I detta blogginlägg kommer vi gå igenom de viktigaste delarna av domen. Om du skulle vara intresserad av att läsa våra tidigare blogginlägg om målet och dess utveckling kan du hitta dem här och här. Vi kommer dock påbörja detta blogginlägg med en kort sammanfattning om vad som hänt tidigare, för att fräscha upp våra minnen lite.
Sammanfattning av tidigare händelser
Maximillian Schrems lämnade år 2013 in ett klagomål till den irländska dataskyddsmyndigheten där han begärde att Facebook Ireland inte skulle få överföra hans personuppgifter till USA, eftersom de där inte kunde garanteras likvärdigt skydd på grund av den amerikanska statens övervakningsverksamhet. Hans begäran avslogs baserat på kommissionens beslut 2000/520, där det stadgades att USA tillhandahåller likvärdigt skydd. Därmed tog han fallet vidare till domstol. Irlands förvaltningsöverdomstol vände sig till EU-domstolen med en begäran om förhandsavgörande i fallet och i mål C-362/14 kom EU-domstolen fram till att beslut 2000/520 var ogiltigt (se stycke 52, 53 i det gällande målet).
Efter att den nyss nämnda domen kom upphävde den hänskjutande domstolen avslaget av Schrems klagomål och målet återförvisades till dataskyddsmyndigheten. Facebook Ireland angav att de överför en stor del personuppgifter från EU till USA baserat på standardavtalsklausuler. I och med detta bads Schrems modifiera sitt klagomål, vilket han också gjorde. Han angav att överföringen av uppgifter inte kunde motiveras baserat på standardavtalsklausuler, i och med att de överförda personuppgifterna gjordes tillgängliga för amerikanska myndigheter såsom FBI och NSA. Sådan övervakning var enligt honom oförenlig med artikel 7, 8 och 47 i EU-stadgan om de grundläggande rättigheterna (stadgan). Dataskyddsmyndigheten ansåg att det omformulerade klagomålet från Schrems resulterade i en fråga om standardavtalsklausulernas giltighet. Dataskyddsmyndigheten vände sig därmed till den irländska förvaltningsöverdomstolen, som begärde ett nytt förhandsavgörande av EU-domstolen (stycke 54 – 57).
EU-domstolens avgörande
GDPR:s tillämplighet
Det finns vissa undantag när GDPR inte tillämpas på överföringar av personuppgifter. EU-domstolen kommer dock fram till att i en situation som den i det aktuella målet, nämligen att överföringen av personuppgifter (från EU till ett tredjeland) sker mellan två näringsidkare i ett kommersiellt syfte, och det finns en möjlighet att personuppgifterna antingen under eller efter överföringen behandlas med hänsyn till säkerhet, försvar eller nationell säkerhet av myndigheterna i det landet, kan överföringen inte undantas från förordningen (stycke 86).
Tillsynsmyndigheternas agerande
Tillsynsmyndigheten avgör vilka åtgärder som är nödvändiga att ta, efter att denne har tittat på alla nödvändiga omständigheter kring överföringen i fråga. Dock, precis som EU-domstolen argumenterar, måste tillsynsmyndigheten agera med erforderlig omsorg när denne får in ett klagomål från en registrerad. Att utöva sitt ansvar att övervaka tillämpningen av GDPR och säkerställa att den följs är, enligt EU-domstolen, av extra vikt när personuppgifter överförs till tredjeland (stycke 108, 109 och 112).
När det finns ett kommissionsbeslut om adekvat skyddsnivå (som Privacy Shield-beslutet) och en registrerad inger ett klagomål gällande överföringen av deras personuppgifter måste fortfarande tillsynsmyndigheten självständigt kunna utreda ifall överföringen är i överensstämmelse med kraven i GDPR. Om inte, måste tillsynsmyndigheten ta fallet vidare till domstol, där det därefter kan hänskjutas till EU-domstolen med en begäran om förhandsavgörande gällande giltigheten av kommissionsbeslutet om adekvat skyddsnivå (stycke 120). Således påpekar EU-domstolen vikten av att tillsynsmyndigheter faktiskt agerar på klagomål från registrerade!
Standardavtalsklausuler
EU-domstolen kommer fram till att beslutet om standardavtalsklausuler är giltigt. Dock kan företag som Facebook inte enbart basera sin överföring av personuppgifter till tredjeland på sådana standardavtalsklausuler. Domstolen påpekar att i skäl 109 till GDPR stadgas det att personuppgiftsansvariga ska uppmuntras att tillhandahålla ytterligare skyddsåtgärder som supplement, när denne använder sig av standardavtalsklausuler. Det är därför främst den personuppgiftsansvarige eller personuppgiftsbiträdets ansvar att från fall till fall analysera om ett tredjelands lag säkerställer ett adekvat skydd för överförda personuppgifter, och om inte, säkerställa ett adekvat skydd genom att tillhandahålla ytterligare skyddsåtgärder. I ett fall som detta, där ett tredjelands lagar tillåter statliga myndigheter att blanda sig i EU-medborgares rättigheter, räcker det inte att använda sig av standardavtalsklausuler. När personuppgiftsansvarig eller personuppgiftsbiträdet misslyckas med att tillhandahålla ytterligare skyddsåtgärder, ligger ansvaret istället på tillsynsmyndigheten, och om denna också misslyckas, ska överföringen av personuppgifter till tredjeland avslutas (stycke 126, 132, 134, 135 och 149).
Privacy shield
Domstolen kommer slutligen fram till att beslutet om skölden för skydd av privatlivet (Privacy Shield) är ogiltigt då kommissionen åsidosatt de krav som följer av artikel 45(1) GDPR, jämfört med artikel 7, 8 och 47 i stadgan, när det bestämdes att USA tillhandahåller adekvat skydd för personuppgifter som överförs från EU till organisationer i USA (inom ramen för Privacy Shield). Amerikanska övervakningsprogram är, baserat på Privacy Shield, inte begränsade i sin maktutövning när det kommer till inhämtande av utländska underrättelseuppgifter eller icke-amerikaner som eventuellt omfattas av dessa program. Proportionalitetsprincipen kan därmed inte anses vara uppfylld (stycke 163, 180, 198 och 201).
Något mer som inte ansågs vara tillräckligt tillhandahållet var rätten till domstolsskydd i artikel 47 i stadgan. Ombudsmannamekanismen under Privacy Shield kan inte likställas med en domstol, då denne exempelvis inte kan bevisas vara självständig. EU-domstolen påtalar detta eftersom ombudsmannen utses av utrikesministern samt är en integrerad del av USA:s utrikesdepartement. Dessutom finns det inget som indikerar att ombudsmannen rent faktiskt kan fatta bindande beslut i förhållande till de tidigare nämnda övervakningsverksamheterna. Ombudsmannen kan därmed inte heller anses utge några rättsliga garantier till de registrerade (stycke 194 – 197).
Vad blir effekterna av domen?
EU-domstolen påpekar att det inte förekommer någon risk att det skapas ett rättsligt tomrum när beslutet om Privacy Shield görs ogiltigt, då artikel 49 i GDPR fastställer under vilka villkor överföring av personuppgifter till tredjeländer får ske när det saknas beslut 
om adekvat skyddsnivå eller lämpliga skyddsåtgärder (stycke 202). Därmed kommer det inte vara några problem att föra över personuppgifter från EU till USA eftersom det fortfarande kan baseras på exempelvis samtycke från den registrerade eller vara tillåtet om det är nödvändigt för fullgörandet av ett avtal. Det kommer därmed föregå på samma sätt som överföring av personuppgifter till de flesta andra tredjeländer.
Den europeiska dataskyddsstyrelsen reagerade på det här målet i ett uttalande. Dataskyddsstyrelsen välkomnade domen då den betonar den grundläggande rätten till privatliv. De påtalade vidare vikten av att upprätta en ny överenskommelse mellan EU och USA för att säkerställa ett adekvat skydd av personuppgifter som överförs till USA. Dataskyddsstyrelsen informerade även att de kommer fortsätta att analysera målet och komma med vidare tydliggöranden för intressenter och vägledning angående överföring av personuppgifter till tredjeländer. Till en början har de upprättat en FAQ, som ni kan kika på här.
Det blir intressant att se om något nytt kommissionsbeslut om adekvat skydd kommer uppstå i relation till överföring av personuppgifter till USA. Ett sådant beslut kan dock först komma på plats när USA tillhandahåller ytterligare skyddsåtgärder för européers personuppgifter! En begränsning av deras statliga övervakningsverksamhet skulle i det hänseendet vara nödvändig.
Frågor?
Vi hoppas att ni tyckte om detta blogginlägg! Om ni har några fler frågor gällande GDPR är ni mer än välkomna att kontakta oss på GDPR Hero via e-post eller telefon 046 – 273 17 17.
Ni kan också boka en demo av GDPR Hero här för att få reda på hur just ni kan uppfylla GDPR:s krav!
