Vi är fullt medvetna om att många personuppgiftsansvariga är överväldigade av EU-domstolens nyligen avkunnade dom om dataöverföringar mellan EU och USA och avsaknaden av en övergångsperiod. Vi har sammanfattat de vanligaste frågorna och svaren nedan. Vi tillhandahåller också två exempel på förfrågningar som du kan skicka till en amerikansk partner eller en EU-partner med anknytning till USA. Att vidta snabba åtgärder kan vara en relevant faktor om en dataskyddsmyndighet överväger böter för bristande efterlevnad av EU-domstolens avgörande. Vi kommer att uppdatera dessa vanliga frågor och publicera särskilda vanliga frågor och modelltexter för användare ("registrerade") under de kommande dagarna. Låt oss veta om du har några synpunkter.
Åtgärder som personuppgiftsansvariga i EU bör vidta
I enlighet med EDPB:s vanliga frågor om "Schrems II"-domen är vår preliminära rekommendation att personuppgiftsansvariga vidtar följande åtgärder:
- Granska alla era externa dataflöden (inklusive till personuppgiftsbiträden eller personuppgiftsansvariga inom EU som i sin tur kan överföra uppgifter till en enhet utanför EU) med avseende på dataflöden till tredje land
- Identifiera den relevanta rättsliga grunden (t.ex. adekvat skyddsnivå, artikel 49, Privacy Shield, SCC osv.)
- När det gäller 50 USC § 1881a (= FISA 702) och EO 12.333, identifiera särskilt alla amerikanska "leverantörer av elektroniska kommunikationstjänster" och alla dataflöden till USA som inte är skyddade mot NSA:s avlyssning (se modellbegäran nedan)
- Stoppa dina dataöverföringar om:
- Du eller någon av våra partners fortfarande använder Privacy Shield
- En relevant amerikansk enhet är en "leverantör av elektroniska kommunikationstjänster" eller
- Du inte kan skydda dina dataflöden från NSA:s avlyssning
- Meddela dataskyddsmyndigheten om du fortsätter att använda SCC, BCR eller något annat instrument trots en negativ bedömning
Modellförfrågningar till amerikanska leverantörer eller leverantörer med anknytning till USA
Du kan använda dessa modellbegäranden för de vanligaste typerna av dataflöden mellan EU och USA som kan påverkas av EU-domstolens dom:
- Modellbegäran till amerikanska dataimportörer om ni fortfarande använder SCC ("case by case"-analys)
- Modellbegäran till leverantörer som behandlar uppgifter i EU/EES men har anknytning till USA ("case by case"-analys)
Vi kommer snart att lägga till ytterligare modellförfrågningar för andra situationer.
Vanliga frågor för EU-företag
- Vilka är konsekvenserna om jag inte vidtar åtgärder?
EU-domstolen har betonat att de personuppgiftsansvariga och (om de personuppgiftsansvariga inte är aktiva) dataskyddsmyndigheterna är skyldiga att agera för att avbryta eller förbjuda överföringar av uppgifter (punkt 134 i domen) när de saknar ett giltigt rättsligt instrument för en överföring. Detta innebär att det inte finns någon möjlighet till en "respitperiod" i detta fall.
Enligt dataskyddsförordningen kan man få böter på 20 miljoner euro eller 4 % av den globala omsättningen om man fortsätter att överföra uppgifter utan ett giltigt rättsligt instrument (artikel 83.5 c i dataskyddsförordningen). Icke-statliga organisationer, arbetstagarråd eller enskilda användare kan lämna in klagomål eller väcka talan, även för känslomässiga skador.
Det är troligt att en dataskyddsmyndighet inte kommer att bötfälla en personuppgiftsansvarig om den personuppgiftsansvarige kan visa att alla åtgärder för att följa EU-domstolens dom vidtogs så snabbt som möjligt. Denna sida är avsedd att göra det möjligt för personuppgiftsansvariga att visa sådana åtgärder.
- Granska om du behöver överföra uppgifter utomlands ur ett affärsperspektiv!
I många fall har externa leverantörer utanför EU/EES valts med liten hänsyn till konsekvenserna. Därför kan du i många fall byta till en EU/EES-leverantör (eller en leverantör från ett "adekvat" land som Schweiz) och därmed helt undvika problem med dataöverföringar.
Även om det kan verka dyrare att använda en EU/EES-leverantör initialt, kan den tid du lägger ner på att göra en överföring utanför EU/EES laglig kosta dig mer än vad du sparar på ett billigare erbjudande från utlandet.
- Vad behöver ni göra om ni fortfarande använder standardavtalsklausulerna för överföringar till en leverantör utanför EU/EES?
Den personuppgiftsansvarige och den berörda leverantören måste göra en analys "från fall till fall" (punkt 134 i domen) för att kontrollera om det finns några nationella lagar som leverantören omfattas av och som strider mot GDPR och stadgan om de grundläggande rättigheterna.
I allmänhet kommer lagar som ger allmän brottsbekämpning tillgång till uppgifter i enskilda fall och efter godkännande av en domare att vara förenliga med EU-lagstiftningen. Former av mindre demokratisk, långtgående tillgång ("massbehandling") eller tillgång utan rättslig prövning kommer inte att vara förenliga med EU-lagstiftningen.
- Vad behöver jag göra om jag specifikt använder SCC för överföringar till en amerikansk leverantör?
De flesta amerikanska molnleverantörer omfattas av FISA 702 och du kommer inte att kunna använda dem längre. Definitionen i 50 USC § 1881(b)(4) för en "leverantör av elektroniska kommunikationstjänster" listar:
- Leverantörer av fjärrdatatjänster,
- Leverantör av elektroniska kommunikationstjänster,
- Telekommunikationsoperatörer,
- Alla andra leverantörer av kommunikationstjänster som har tillgång till trådbunden eller elektronisk kommunikation, antingen när sådan kommunikation överförs eller när sådan kommunikation lagras, och
- varje tjänsteman, anställd eller ombud för någon sådan enhet.
Om du är osäker kan du fråga din leverantör om de själva omfattas av FISA 702 och/eller om de har lämpliga skydd mot tredjepartsövervakning i transit (enligt FISA 702 och/eller EO 12.333). Eftersom alla situationer är olika har vi tagit fram preliminära exempel på frågor som du kan använda kostnadsfritt för att ta reda på mer om huruvida din lösning för behandling i USA är förenlig med domen:
- Om jag använder en leverantör som behandlar uppgifter inom EU/EES, men som är kopplad till (eller använder) ett amerikanskt företag, vad behöver jag göra?
FISA 702 och EO 12.333 har ingen territoriell begränsning. De är också tillämpliga på servrar i EU som drivs av en amerikansk "leverantör av elektroniska kommunikationstjänster" eller där viss verksamhet läggs ut på entreprenad till en amerikansk leverantör. Platsen för hosting är därför irrelevant.
I vissa fall kan leverantörerna ha begränsat den faktiska tillgången ("possession, custody or control") från amerikanska enheter tillräckligt, så att en EU/EES-server i praktiken är utom räckhåll för den amerikanska regeringen. Detta kan t.ex. vara fallet om en enhet inom EU är bunden av GDPR att inte lämna ut uppgifter till det amerikanska moderbolaget och det amerikanska moderbolaget inte har någon faktisk åtkomst.
Eftersom varje situation är unik har vi tagit fram preliminära exempel på frågor som du kan använda kostnadsfritt för att ta reda på mer om huruvida din lösning för personuppgiftsbehandling inom EU är förenlig med domen:
Ladda ner: Exempel på frågor för hosting inom EU, med en länk till USA
- Hur är det med övervakning under transitering?
I punkt 183 i C-311/18 fann EU-domstolen också att amerikansk övervakning "i transit" (som "Upstream" eller avlyssning av undervattenskablar) strider mot EU:s grundläggande rättigheter.
Ur ett GDPR-perspektiv intar vi den preliminära ståndpunkten att sådan extern manipulering av personuppgifter huvudsakligen faller under artikel 32 i GDPR ("säkerhet vid behandling"). Dataexportören och dataimportören måste därför genomföra lämpliga tekniska och organisatoriska åtgärder för att skydda överförda data från NSA/FBI-avlyssning.
Med tanke på att den amerikanska regeringen har stora befogenheter att bryta kryptering är det i varje överföringssituation främst en teknisk fråga om och hur en teknisk lösning är möjlig. Den amerikanska regeringen hävdar att den huvudsakligen använder "väljare" (t.ex. e-postadresser, IP-adresser eller telefonnummer) för program som Upstream. Varje teknisk lösning måste därför säkerställa att sådana "selectors" finns under krypteringslagret från början till slut. I många former av direktkommunikation (t.ex. ett PGP-krypterat e-postmeddelande) är "väljarna" inte själva krypterade.
Du kan använda exempelfrågorna ovan för att fråga din leverantör om åtgärder mot övervakning i transit.
- Finns det en lista över amerikanska leverantörer som omfattas av dessa övervakningslagar?
Det finns ingen fullständig förteckning över alla amerikanska leverantörer som omfattas av 702 FISA (50 USC § 1881a), eftersom alla "leverantörer av elektroniska kommunikationstjänster" omfattas av denna lag. Definitionen av en "leverantör av elektroniska kommunikationstjänster" finns i 50 USC § 1881(b)(4).
Samtidigt har ett antal företag till och med publicerat s.k. "transparensrapporter" som listar åtkomst enligt FISA. Detta gör att vi kan veta att dessa företag definitivt omfattas av en FISA-order.
Du kan hitta några exempel här (många andra företag delar helt enkelt inte med sig av sådan information, trots att de omfattas av FISA 702):
Verizon Media (tidigare Oath & Yahoo)
- Vem är ansvarig för kostnaderna för att genomföra konsekvenserna av C-311/18?
Om du använde SCC:erna tidigare för dina överföringar har lagen inte ändrats. Alla leverantörer utanför EU/EES var skyldiga att informera dig om lagar som FISA 702 och EO 12.333. Om de inte har gjort det är de ansvariga för alla kostnader som uppstår till följd av att SCC:erna sägs upp och uppgifter överförs tillbaka till EU/EES enligt antingen klausul II i bilagan till beslut 2004/915/EG eller klausul 5 b i bilagan till beslut 2010/87.
Privacy Shield-beslutet var ett felaktigt verkställande beslut av Europeiska kommissionen. I teorin kan skadeståndsanspråk väckas mot EU enligt artikel 340 i EUF-fördraget.
- Kan jag helt enkelt använda artikel 49 i GDPR för alla överföringar till USA?
EDPB har intagit ståndpunkten att artikel 49 endast får användas för "tillfälliga och inte repetitiva överföringar", vilket begränsar artikel 49 till enskilda situationer där användare har gett uttryckligt samtycke eller om överföringen är absolut nödvändig för att tillhandahålla ett avtal (t.ex. en hotellbokning utomlands).
I motsats till vad vissa hävdar är outsourcing av behandling inte strikt "nödvändig" för att fullgöra avtalet, om man teoretiskt sett också skulle kunna använda en leverantör inom EU/EES eller behandla uppgifterna internt. Personuppgiftsansvariga bör också vara medvetna om att registrerade när som helst kan återkalla sitt samtycke.
Även om artikel 49 gör det möjligt att hålla "baslinjekommunikation" öppen med alla länder i världen (från Schweiz till Nordkorea) är detta endast ett undantag för ytterst nödvändiga överföringar.
Länk: Riktlinjer 2/2018 om undantag från artikel 49
- Hur kan jag bedöma om tredjelandets lagstiftning är förenlig med EU:s grundläggande rättigheter?
Efter Schrems I-domen 2016 gav artikel 29-gruppen (nu EDPB) tydlig vägledning om vad som kan och vad som inte kan betraktas som ett berättigat ingrepp i de grundläggande rättigheterna i ett demokratiskt samhälle när det gäller dataskyddslagstiftningen (artiklarna 7 och 8 i stadgan). I detta arbetsdokument har dataskyddsmyndigheterna redan identifierat fyra europeiska grundläggande garantier som bör respekteras i de länder dit uppgifter från EU skickas:
A. Behandlingen ska grundas på klara, precisa och tillgängliga regler;
B. Nödvändighet och proportionalitet med avseende på de legitima mål som eftersträvas måste påvisas;
C. Det bör finnas en oberoende övervakningsmekanism;
D. Effektiva rättsmedel måste vara tillgängliga för den enskilde.
Man kan notera att EU-domstolen använde minst två punkter från denna vägledning för att ogiltigförklara Privacy Shield. Därför kan det vara till hjälp för dig att först titta på detta arbetsdokument.
Länk till arbetsdokumentet: Arbetsdokument 237 från Artikel 29-gruppen
