Insikter

EU ogiltigförklarar Safe Harbor – olagligt att överföra personuppgifter till USA

EU-domstolen har beslutat att ogiltigförklara USA:s Safe Harbor-reglering vilket innebär att överföringar av personuppgifter till USA som tidigare skett med stöd av EU-kommissionens beslut om Safe Harbor nu anses olagliga. Detta kan få allvarliga konsekvenser för bolag verksamma inom Sverige. För att säkerställa fortsatt förenlighet med personuppgiftslagen måste därför alternativa lösningar implementeras. Fram till den 16 januari 2016 har berörda organisationer möjlighet att se över sina rutiner.

Publicerad: 2015-11-20

Bakgrund

Enligt huvudregeln i 33§ personuppgiftslag (1998:204) får personuppgifter endast överföras till tredjeland om det ifrågavarande landet kan säkerställa adekvat skyddsnivå för dessa personuppgifter. Trots förbudet finns i lagen vissa föreskrivna undantag (34-35§§ personuppgiftslagen), exempelvis vid samtycke från den registrerade, vid användande av bindande företagsinterna regler (så kallade Binding Corporate Rules) eller om det föreligger adekvat skyddsnivå i mottagarlandet i enlighet med beslut från EU-kommissionen.

EU-kommissionen har tidigare bedömt att USA:s så kallade Safe Harbor-regler utgör adekvat skyddsnivå. Safe Harbor är en samling frivilliga regler om personlig integritet och dataskydd som tagits fram av USA:s handelsdepartement. Organisationer i USA har kunnat anmäla att de frivilligt ansluter sig till dessa regler. Baserat på detta undantag har europeiska organisationer genom globala avtal och system kunnat överföra personuppgifter till Safe Harbor-registrerade organisationer.

Den 6 oktober 2015 beslutade EU-domstolen, genom den så kallade Schrems domen (C-36/14), att ogiltigförklara USA:s Safe Harbor-reglering. EU-domstolen påtalade bland annat att den amerikanska lagstiftningen inte ger ett tillräckligt skydd mot att personuppgifter som överförs till USA blir föremål för myndighetsövervakning samt att det saknas domstolsskydd om man som EU-medborgare vill få sina personuppgifter raderade med anledningen av att de inte är korrekta.

Deloittes kommentar

Konsekvenser

Domen bör beaktas av företag som:

  • i egenskap av personuppgiftsansvariga själva överför uppgifter till USA genom användande av amerikanska leverantörer, globala system eller avtal samt vid anlitande av underleverantörer eller molntjänster där leverantörerna kan överföra personuppgifter till USA.
  • i egenskap av personuppgiftsbiträden behandlar personuppgifter, då personuppgiftsbiträdesavtalet ofta innehåller skrivelser om att biträdet ansvarar för att behandling av personuppgifter sker i enlighet med personuppgiftslagen och enligt instruktioner från den personuppgiftsansvarige för såväl biträdet som dess eventuella underleverantörer.

För många organisationer innebär detta att man snarast måste se över sina avtal och system för att kartlägga i vilka system och under vilka avtal som personuppgifter överförs till USA.

Lösning

EU och USA arbetar för närvarande med att ta fram nya Safe Harbor-regler. För att behandling av personuppgifter i USA ska anses tillåtet kommer förmodligen ändå krävas att USA:s lagstiftning ändras för att säkerställa tillräckligt skydd mot att personuppgifter som överförs blir föremål för myndighetsövervakning.

Tillsvidare rekommenderar Datainspektionen att berörda bolag undersöker om överföringar till USA anses nödvändiga eller om det går att lösa behovet på annat sätt. Man rekommenderar vidare att berörda bolag kartlägger vilka risker som är förknippade med överföringarna och om det finns legala och tekniska lösningar som kan minska riskerna, exempelvis genom tillämpning av något av de andra undantag som föreskrivs i personuppgiftslagen.

Hade du nytta av den här informationen?