Den 6 oktober upphävde EU-domstolen det 15-år gamla så kallade Safe Harbour-beslutet. Beslutet innebar att det var tillåtet att överföra personuppgifter till organisationer i USA som anslutit sig till de s.k. Safe Harbour-principerna.
Flera stora amerikanska företag har anslutit sig till Safe Harbour-principerna och det finns många svenska företag som har fört över personuppgifter till sådana i företag i USA med stöd av det numera upphävda beslutet. Vi rekommenderar företag som misstänker att de kan beröras av domen att utvärdera sin situation och om nödvändigt vidta åtgärder.
Domen
EU-domstolen har upphävt Safe Harbour-beslutet mot bakgrund av att beslutet inte medgav en tillräcklig skyddsnivå för EU-medborgares personuppgifter. Att beslutet nu ogiltigförklaras har direkta och potentiellt även långtgående konsekvenser för många företag. Utgångspunkten är att överföring av personuppgifter till ett land som inte anses ha en så kallad adekvat skyddsnivå är otillåten. EU-kommissionen har aldrig beslutat att USA har en adekvat skyddsnivå. Däremot har överföring kunnat ske till USA med stöd av Safe Harbour-beslutet.
Konsekvenser
När en överföring av personuppgifter sker till ett land som inte anses ha en adekvat skyddsnivå är överföringen som huvudregel otillåten och i strid med personuppgiftslagen. Över en natt har EU-domstolen alltså väsentligen ändrat förutsättningarna för när en överföring av personuppgifter till USA är tillåten i enlighet med personuppgiftslagen.
För att inte riskera att bryta mot personuppgiftslagen kan företag som behandlar personuppgifter behöva utvärdera om några personuppgifter i dagsläget förs över till företag i USA och om det i så fall sker med stöd av Safe Harbour-beslutet. Det kan exempelvis vara fallet för olika typer av IT-tjänster, där personuppgifter överförs till amerikansk leverantör eller till dess koncernbolag/underleverantörer som är företag i USA som har anslutit sig till Safe Harbour-principerna. Ofta framgår det av avtalet med en sådan leverantör att personuppgifter överförs till USA med stöd av Safe Harbour-principerna.
Risker
Hantering av personuppgifter i strid med personuppgiftslagen kan vara straffbart. Straffet är böter eller fängelse. Datainspektionen har, i egenskap av dataskyddsmyndighet, möjlighet att utfärda vitesförelägganden gentemot företag som enligt myndigheten bryter mot personuppgiftslagen. Slutligen kan den som hanterat personuppgifter i strid med personuppgiftslagen vara skadeståndsskyldig gentemot den vars uppgifter har hanterats i strid med lagen och det kan medföra stor badwill för företaget.
Med tanke på att det finns många företag som hittills har förlitat sig på Safe Harbour-undantaget och att EU-domstolen i ett slag har undanröjt ett vanligt förekommande tillvägagångssätt att föra över personuppgifter till USA, så är antagligen risken för allvarliga sanktioner i dagsläget inte överhängande. Allteftersom tiden går kan risken för sanktioner dock komma att öka.
Berörs ditt företag?
Vi rekommenderar företag som misstänker att de kan beröras av domen att utvärdera sin situation och om nödvändigt vidta åtgärder.
Möjliga åtgärder
Om ett företag konstaterar att det sker en överföring av personuppgifter till USA och att denna ursprungligen har skett med stöd av Safe Harbour-beslutet finns åtgärder som kan vidtas för att förhindra en otillåten överföring av personuppgifter enligt personuppgiftslagen.
Vad händer nu?
Domen påverkar samtliga EU-medlemsstater och flera nationella dataskyddsmyndigheter utvärderar domen. Sannolikt kommer flera dataskyddsmyndigheter att få tillfälle att hantera domen och dess konsekvenser inom ramen för deras tillsyn. Den s.k. Artikel 29-gruppen som inkluderar bland annat samtliga EU-medlemsstaters dataskyddsmyndigheter har också gjort ett principuttalande. I uttalandet konstateras att överföringar till USA på basis av Safe Harbour-beslutet är olagliga men att för tillfället kan överföringar på basis av modellklausuler eller binding corporate rules anses utgöra tillåtna överföringar. En bedömning kommer dock att göras i det enskilda fallet för det fall att dataskyddsmyndigheterna tar emot klagomål.
Det finns god anledning att följa utvecklingen till exempel genom att regelbundet besöka Datainspektionens och EU-kommissionens hemsidor.
Vad kan Vinge hjälpa till med?
Hör gärna av dig till oss om du har frågor om de nya reglerna eller om/hur din verksamhet påverkas av det nu ogiltigförklarade Safe Harbour-avtalet.
Kontaktpersoner
Nicklas Thorgerzon, Stockholm
Jonas Lindblad, Göteborg
Joel Zetterström, Göteborg
Henrik Borna, Malmö & Helsingborg