EU-domstolen fick elva frågor från den irländska High Court. Det stod EU-domstolen fritt att omformulera frågorna och endast besvara vissa av dem. Denna FAQ ger en enkel översikt över domen och de frågor som besvarats. Den tar upp de mest relevanta frågorna som personer och företag kan ha om EU-domstolens dom.
(I) Målets omfattning
Vilka dataöverföringar mellan EU och USA påverkas inte av detta fall?
För att uttrycka det enkelt: "Nödvändiga" överföringar av personuppgifter påverkas inte.
Detta ärende gäller främst frivillig "utkontraktering" av behandling av personuppgifter till Förenta staterna.
Fallet berör inte: (1) uppgifter som inte är "personuppgifter" och (2) "nödvändiga" överföringar av uppgifter till USA (t.ex. e-post till USA, bokningar i USA etc.) - i de flesta fall omfattas dessa överföringar av ett "undantag" enligt artikel 49 i dataskyddsförordningen.
Det här fallet innebär därför inte att man inte kan skicka e-post eller meddelanden från EU till USA. Alla påståenden som antyder detta är helt enkelt felaktiga.
Trots detta kommer många företag i EU fortfarande att behöva se över sina outsourcingrutiner om de har personuppgifter som behandlas av amerikanska leverantörer. Mottagare av dessa uppgifter i USA kommer också att behöva göra en liknande översyn om de omfattas av skyldigheter enligt relevanta amerikanska övervakningslagar, t.ex. FISA 702.
Vad är skillnaden mellan "utkontraktering" av behandling och absolut "nödvändiga" överföringar av uppgifter till USA, t.ex. e-post, hotellbokningar eller affärstransaktioner?
"Nödvändiga" uppgiftsöverföringar: I de flesta fall där uppgifter måste överföras till USA (t.ex. hotellbokning, e-post till någon i USA, vanliga affärstransaktioner mellan EU och USA osv.) gäller undantagen i artikel 49 i dataskyddsförordningen. Dessa typer av dataöverföringar är tillåtna, oberoende av giltigheten hos andra rättsliga instrument som används för dataöverföringar, t.ex. standardavtalsklausuler, Privacy Shield eller bindande företagsregler (BCR).
Utkontraktering: Outsourcing innebär att personuppgifter endast lagras i USA för att det är enklare, billigare eller mer praktiskt att lagra dem hos en amerikansk tjänsteleverantör än i Europa, även om uppgifterna tekniskt sett skulle kunna lagras inom EU/EES. Här finns det vanligtvis inget generellt undantag ("derogation") enligt artikel 49 i GDPR för överföring av uppgifter till USA. Istället måste ett rättsligt instrument som SCC, Privacy Shield eller BCR användas, men dessa instrument kan i vissa situationer ogiltigförklaras eller inte användas av EU-domstolen. Idag förklarades Privacy Shield ogiltigt. Dessutom kan SCC inte användas av Facebook och andra amerikanska företag som står under amerikansk övervakning.
Gäller detta mål dataöverföringar till andra länder än USA?
Målet berör inte direkt några sådana överföringar.
Målet har dock indirekta konsekvenser. Företag kommer att behöva granska den faktiska skyddsnivån i länder utanför EU mycket noggrannare än tidigare. När det gäller SCC är till exempel konflikt med övervakningslagar lika relevant när det gäller lagar i länder som Kina eller Ryssland.
(II) Konsekvenser för konsumenterna
Kan konsumenter i EU/EES fortfarande använda amerikanska (eller andra tredjeländers) tjänster direkt?
Rent praktiskt står det användarna fritt att medvetet skicka sina egna personuppgifter direkt till ett tredjeland, t.ex. när de använder en kinesisk webbplats.
Det är dock inte möjligt att direkt dela uppgifter om andra personer (t.ex. vänner eller kollegor) med en amerikansk leverantör om du inte har fått deras frivilliga, specifika, informerade och otvetydiga samtycke till detta.
Kan konsumenter inom EU/EES fortfarande använda amerikanska tjänster (eller tjänster från andra tredjeländer) indirekt (via ett dotterbolag inom EU)?
I många fall har EU/EES-användare ett avtal med ett EU-dotterbolag till ett amerikanskt företag. Exempel på detta är Google Ireland, Facebook Ireland, Microsoft Luxembourg eller Amazon Luxembourg.
I dessa fall är det EU-företagen som ansvarar för att säkerställa att "företagsinterna" flöden av personuppgifter till USA är förenliga med GDPR. Företag kommer nu att behöva titta närmare på alla sådana dataflöden och om de behöver lagra data i Europa eller i något annat land som ger bättre integritetsskydd, istället för att överföras till USA till ett företag som står under amerikansk övervakning.
(III) Konsekvenser för företag
Kan EU/EES-företag fortfarande utföra "nödvändiga" överföringar av personuppgifter till USA?
I de flesta fall: Ja, i de flesta fall.
Artikel 49 i GDPR innehåller en förteckning över "undantag" som tillåter sådana överföringar av uppgifter. Detta omfattar vanligtvis beställningar från företag i USA, bokningar på hotell i USA, e-postmeddelanden till USA och i allmänhet alla tjänster som logiskt sett kräver en dataöverföring mellan EU och USA. Sådana överföringar är inte en del av målet och påverkas inte av domen.
Kan företag inom EU/EES fortsätta att "outsourca" behandling av personuppgifter till USA?
I de flesta fall: Förmodligen inte.
De vanligaste amerikanska personuppgiftsbiträdena omfattas också av amerikanska övervakningslagar, t.ex. FISA 702, som kräver att de lämnar ut personuppgifter till den amerikanska regeringen utan tillräckligt skydd. Överföring av uppgifter till personuppgiftsbiträden som omfattas av sådana skyldigheter strider mot GDPR, enligt EU-domstolen.
Kan EU/EES-företag fortsätta att lägga ut behandling av personuppgifter i andra länder än USA?
Ja, om det inte finns några motstridiga lagar i det landet.
Fallet ändrar inte GDPR:s regler för dataöverföringar. Precis som tidigare måste varje EU-företag kontrollera om det finns lagar i ett tredjeland som kan åsidosätta EU:s integritetslagar. I sådana fall får personuppgifter inte läggas ut på entreprenad till det tredjelandet.
Om t.ex. behandlingen av personuppgifter läggs ut på entreprenad till land A måste den personuppgiftsansvarige i EU se till att mottagaren har vidtagit nödvändiga åtgärder, men också att det inte finns någon motstridig lag som gäller i land A och som åsidosätter dessa åtgärder.
Är all överföring av uppgifter från EU/EES till USA nu förbjuden?
Nej, inte alls - av två skäl:
- De flesta dataöverföringar innehåller inte "personuppgifter" utan någon annan form av data. Sådana dataöverföringar regleras inte ens av dataskyddsförordningen.
- De flesta "nödvändiga" uppgiftsöverföringar av personuppgifter (t.ex. när man skickar ett e-postmeddelande, ett meddelande eller en hotellbokning) omfattas fortfarande av ett undantag i artikel 49. Dessa överföringar kan fortsätta efter domen och påverkas inte av den.
Gäller målet alla amerikanska mottagare av EU-uppgifter?
Nej, det gör det inte. det är bara relevant för företag som omfattas av amerikanska övervakningslagar eller för företag som använder leverantörer som omfattas av dessa amerikanska övervakningslagar.
FISA 702 gäller t.ex. bara "leverantörer av elektroniska kommunikationstjänster". Branscher som banker, flygbolag, hotell, rederier, varuförsäljning och liknande anses normalt inte omfattas av dessa lagar. Det råder dock viss oklarhet om dessa termer och amerikansk lag. Ett klargörande från den amerikanska regeringens sida förefaller nödvändigt.
I praktiken kan dock en bank (som inte omfattas av FISA) själv använda sig av en "leverantör av elektroniska kommunikationstjänster" (som omfattas av FISA). Detta innebär att bankens uppgifter kan nås via "leverantören av elektroniska kommunikationstjänster". Eller så kan den överföra data som är felaktigt krypterade, vilket t.ex. skulle göra det möjligt att "avlyssna" data när de skickas via undervattenskablar (vilket är tillåtet enligt EO 12.333). Därför måste hela dataflödet bedömas.
Hur kan en dom från EU-domstolen verkställas i praktiken?
Efter domen måste företagen individuellt se över om de behöver ändra sina rutiner. De är skyldiga att stoppa dataöverföringar som är olagliga. Detta är inget nytt. Efter "Safe Harbor"-domen bytte många EU-företag bort amerikanska leverantörer.
Företag som nu olagligen överför uppgifter till amerikanska mottagare måste stoppa alla sådana överföringar så snart som möjligt för att undvika böter på upp till 20 miljoner euro eller 4 % av sin globala omsättning enligt dataskyddsförordningen. De nationella dataskyddsmyndigheterna (DPA) har ansvar för att verkställa dessa påföljder.
Användare av företag i EU kan begära att dessa företag slutar överföra deras personuppgifter till USA. Om företagen inte följer dessa uppmaningar kan användarna lämna in klagomål till en dataskyddsmyndighet eller väcka talan vid sin lokala domstol. Detta kan leda till preliminära förelägganden och/eller emotionella skadestånd. I många EU-länder kan konsumentgrupper, arbetstagarråd och andra organ också lämna in kollektiva stämningsansökningar eller grupptalan om ett företag fortsätter att överföra personuppgifter utan rättslig grund.
Vad kan EU/EES-företag göra?
Företagen måste bedöma om deras behandling av personuppgifter behöver läggas ut på amerikanska personuppgiftsbiträden. Om så är fallet måste de identifiera den rättsliga grunden för överföringen av uppgifter (t.ex. undantag i artikel 49 i GDPR, SCC, Privacy Shield eller BCR).
De flesta amerikanska molntjänstleverantörer kvalificerar sig som "leverantörer av elektroniska kommunikationstjänster" och omfattas därför av relevanta amerikanska övervakningslagar, t.ex. FISA 702.
Även om de flesta andra branscher inte omfattas av dessa lagar kan de använda "leverantörer av elektroniska kommunikationstjänster" som gör det, vilket i själva verket ger indirekt tillgång till uppgifterna. Andra övervakningsinstrument som EO 12.333 måste också beaktas. EO 12.333 tillåter "övervakning i transit", t.ex. åtkomst till uppgifter som inte är korrekt krypterade när de passerar över transatlantiska kablar.
Om de inte kan använda något av de rättsliga instrument som tillåter en överföring enligt artiklarna 44-50 i GDPR, måste företagen överföra alla relevanta personuppgifter tillbaka till EU/EES och hitta ett personuppgiftsbiträde inom EU/EES eller i något annat land där ett adekvat skydd av personuppgifter garanteras.
Vad kan amerikanska företag göra?
Amerikanska företag måste se över om de eller deras underleverantörer omfattas av relevanta amerikanska övervakningslagar och om deras dataöverföringar är krypterade till en nivå som säkerställer att "avlyssning" under överföringen inte är möjlig. Efter en sådan genomgång kommer de att behöva kommunicera till sina kunder inom EU/EES om deras behandling av personuppgifter påverkas av domen.
I förlängningen kan det vara lämpligt att flytta viss behandling från USA eller att prata med förtroendevalda om de konsekvenser som USA:s övervakningslagar får för amerikanska företags möjligheter att göra affärer med utländska kunder. Vi hoppas också att amerikanska företag kommer att tala med den amerikanska lagstiftaren om bristen på skydd för deras internationella kunder.
(IV) POLITISKA KONSEKVENSER
Hur kan konflikten mellan USA:s övervakningslagar och EU:s integritetslagar lösas på lång sikt?
Om USA vill behålla sin ställning som den främsta leverantören av IT-tjänster i världen måste USA:s övervakningslagar reformeras snarast. USA kommer att behöva införa ett grundläggande integritetsskydd som åtminstone motsvarar det som redan gäller för amerikanska medborgare. Annars är det mycket osannolikt att utländska kunder kommer att fortsätta att använda amerikanska tjänsteleverantörer.
Så snart USA:s övervakningslagar har reformerats på detta sätt kommer EU-företag att kunna återuppta dataöverföringar mellan EU och USA igen, och EU-kommissionen kommer att kunna utfärda nya stabila instrument för att möjliggöra detta.
Hur skulle dataöverföringar mellan EU och USA kunna fortsätta i framtiden?
I grund och botten står vi inför en konflikt mellan EU:s integritetslagstiftning och USA:s övervakningslagar: EU:s lagar kräver skydd av personuppgifter, medan USA:s lagar kräver övervakning.
Rätten till privatliv och dataskydd är grundläggande rättigheter i Europa, vilket framgår av artiklarna 7 och 8 i EU:s stadga om de grundläggande rättigheterna. Alla 27 medlemsländer måste enhälligt godkänna varje förändring av dessa grundläggande rättigheter. Europeiska kommissionen har försökt införa undantag som "Safe Harbor" och "Privacy Shield", men utan den nödvändiga reformen av USA:s övervakningslagar uppfyller dessa undantag inte EU:s grundläggande rättigheter. Resultatet är beslut som detta, vilket gör undantagen ogiltiga.
USA införde 2008 långtgående övervakningslagar för personer som inte är medborgare i USA. Om USA skulle återkalla dessa övervakningslagar, eller garantera samma skydd för icke-amerikanska personer som för amerikanska personer, skulle det vara mycket troligt att USA skulle betraktas som ett land som säkerställer ett "adekvat skydd" för personuppgifter enligt EU-rätten om det finns en adekvat möjlighet till gottgörelse.
Kan EU helt enkelt anta ett nytt beslut om skölden för skydd av privatlivet ogiltigförklaras?
I teorin skulle Europeiska kommissionen (medvetet) kunna utfärda ett nytt ogiltigt beslut om EU-domstolen ogiltigförklarar "Privacy Shield". Med tanke på att problemet ligger i amerikansk lagstiftning skulle detta sannolikt leda till en rättslig utmaning som skulle resultera i att det nya beslutet också ogiltigförklaras av EU-domstolen. Det är mycket osannolikt att detta skulle vara politiskt acceptabelt. Företagen är också i behov av en juridiskt stabil lösning.
Både denna dom och den tidigare domen om "Safe Harbor" bygger på stadgan om de grundläggande rättigheterna. Det skulle krävas en enhällig överenskommelse mellan alla 27 EU-medlemsstater för att ändra EU-fördragen så att Europeiska kommissionen kan utfärda ett rättsligt hållbart beslut om dataöverföring för överföringar mellan EU och USA.
Lösningen ligger därför i händerna på den amerikanska lagstiftaren, som måste anpassa eller rulla tillbaka USA:s nuvarande övervakningslagar.
Är inte detta bara protektionism från EU:s sida?
Nej, det är det inte. Det här fallet är faktiskt riktat mot Europeiska kommissionen. EU-lagstiftningen möjliggör många alternativ för internationella dataöverföringar - så länge som grundläggande integritetsskydd iakttas.
I själva verket stöder EU:s politiska gren (Europeiska kommissionen och medlemsstaterna) dataöverföringar mellan EU och USA, men EU-domstolen har tidigare uttryckt tvivel om lagligheten i dessa avtal med USA med tanke på den potentiella kränkningen av EU:s grundläggande rättigheter. På samma sätt har Europaparlamentet också uttryckt tvivel om dessa avtal.
Om man jämför "Privacy Shield", som gäller för amerikanska företag, med EU:s interna GDPR, är det tydligt att amerikanska företag kan få tillgång till EU:s stora marknad genom att följa mycket svagare regler än vad EU-företag måste följa. Detta ger amerikanska företag en konkurrensfördel.
