Sedan domen C-311/18 – i folkmun mer känt som Schrems II – föll, har riskerna med tredjelandsöverföring av personuppgifter hamnat högt upp på dagordningen. Just nu pågår ett arbete med en ny principöverenskommelse för att möjliggöra transatlantiska affärer kopplat till data.
Riskerna med tredjelandsöverföringar har blivit något av elefanten i rummet när det kommer till efterlevnad av GDPR. Sedan EU-domstolen i den berömda, tillika ökända, domen C-311/18 (Schrems II) underkände Privacy Shield-avtalet gällande överföringar av personuppgifter från EU till USA, blev det över en natt svårare att bedriva verksamhet.
Svårt att garantera skydd för känsliga personuppgifter i nuläget
Rättssäkerhetsbristerna gällande hur amerikansk underrättelsetjänst samlade in bulk-data av EU-medborgares personuppgifter, utan att ens behöva domstolsbeslut om skälig misstanke, kan närmast liknas vid bottentrålning. Det var alltså inte bara de fula fiskarna som fångades in, utan även hederliga människors digitala spår fastnade i nätet.
Efter det vakuum Schrems II orsakade har den Europeiska dataskydsstyrelsen (EDPB) utfärdat rekommendationer (1/2020) för företag som vill vidta åtgärder för att säkerställa regelefterlevnad vid tredjelandsöverföringar. Det är ett 48 sidor långt dokument som beskriver en rigorös sex-stegsprocess vilken ställer minst sagt höga krav på due dilligence och resurser, bl.a. för att utreda rättsförhållanden i tredje land. Denna börda framstår närmast som orimligt betungande för företag, särskilt inom SME-segmentet.
Eftersom amerikanska bolag är marknadsledande inom molntjänster, informationssökningstjänster och kommunikationstjänster får detta givetvis enorma konsekvenser. Under 2022 har exempelvis Stockholms stad avstått från att införa Microsoft 365 eftersom en utredning bedömt att amerikansk underrättelselagstiftning innebär att molntjänstleverantörer inte kan ge tillräckliga garantier för skydd av känsliga personuppgifter. Dessutom har det populära analysverktyget Google Analytics förbjudits i flera EU-medlemsstater, bl.a. Österrike. Ett svenskt beslut är sannolikt att vänta inom kort.
Arbete pågår med ny principöverenskommelse
Att driva företag utan Microsofts, Googles eller Amazons tjänster framstår i det närmaste som praktiskt omöjligt i dagens globala och digitaliserade affärsklimat. Därför har hoppets låga tänts rejält sedan EU-kommissionen och USA nyligen meddelat att en principöverenskommelse nåtts om ett nytt ramverk för skydd av personuppgifter vid överföring från EU till USA.
Klart är att överenskommelsen, i vart fall enligt parterna, ska begränsa omfattningen av underrättelseverksamheten utifrån proportionalitetsprincipen, och att underrättelsen ska kunna granskas, och underkännas, genom domstolsprövning med bindande auktoritet. Överenskommelsens innehåll har dock inte offentliggjorts, och EU-kommissionen har flaggat för att förhandlingar fortsätter. I dagsläget pågår arbetet med att omsätta principöverenskommelsen i ett faktiskt bindande avtal mellan parterna för fullt.
Om parterna vill undvika en snöplig Schrems III-dom, behöver alltså rejäla uppoffringar ske från amerikansk sida gällande omfattningen av dess underrättelseverksamhet. Både EU och USA har flera skäl att ro den här överenskommelsen i hamn, närmare bestämt cirka 9 500 miljarder skäl, eftersom det är så många kronor som den transatlantiska kommersen omsätter årligen.