Tredjelandsöverföringar och SOU 2021:1

0
878

Den 15 januari 2021 publicerades delbetänkande SOU 2021:1 av It-driftsutredningen med titeln ”Säker och kostnadseffektiv it-drift – rättsliga förutsättningar för utkontraktering”. Det är många frågor som avhandlas i utredningen men ett av de mer intressanta avsnitten gäller tredjelandsöverföring. Där gör Utredningen ett antal ställningstaganden som har stor praktisk betydelse för frågor om tredjelandsöverföring av personuppgifter.

Syftet med utredningen var enligt direktiven att ”skapa bättre förutsättningar för den offentliga förvaltningen att få tillgång till säker och kostnadseffektiv it-drift genom antingen samordnad statlig it-drift eller genom tydligare rättsliga förutsättningar för att kunna anlita privata leverantörer av it-drift”. Utredningen går av denna anledning igenom vad som gäller tredjelandsöverföring. Detta gäller inte bara myndigheter utan kan likväl appliceras på privata aktörer.

I kapitel sju så redogör utredningen för de rättsliga förutsättningarna för myndigheters utkontraktering av it-drift till privata tjänsteleverantörer utifrån dataskyddsregleringen. Kapitlet innehåller en analys av rättsläget när det gäller överföring av personuppgifter till tredjeland (utanför EES och EU). Utredningen konstaterar att det främst är den personuppgiftsansvarige som ska tolka regelverket och utifrån sin tolkning ta ställning till vilka åtgärder som lagligen kan vidtas med personuppgifter och att denna skyldighet även innefattar tredjelandsöverföringar.

Utredningen landar i flera intressanta ställningstaganden avseende denna fråga. I vissa delar är det relativt självklara saker. Som att dataskyddsförordningen ska tillämpas på behandlingen av personuppgifter inom ramen för den verksamhet som bedrivs av en personuppgiftsansvarig eller ett personuppgiftsbiträde som är etablerat i unionen oavsett om behandlingen utförs i unionen eller inte (jmf. artikel 3.1).

Avseende innebörden av vad som ska förstås som tredjelandsöverföring så redogör Utredningen för EU-domstolens praxis och hänvisar till domen i Schrems I. Utredningen menar att åtgärden att låta överföra personuppgifter från en medlemsstat till ett tredjeland i sig utgör en behandling av personuppgifter. Utredningen refererar även domen i målet Lindqvist som behandlade frågan om vad en överföring skulle anses utgöra.

Utredningen bedömer att det rör sig om en överföring av personuppgifter till tredjeland att en personuppgiftsansvarig eller personuppgiftsbiträde behandlar personuppgifter genom användning av utrustning i tredjeland. Utredningen konstaterar därvid att det saknar betydelse hur lång eller kort tid som utrustningen används och att det inte heller har betydelse i sammanhanget att uppgifterna är krypterade eller pseudonymiserade. Av detta följer enligt Utredningen att det inte krävs – för att det ska vara fråga om en överföring – att uppgifterna lämnas ut till tredje part. Det innebär att även om personuppgifterna hela tiden är under den personuppgiftsansvariges kontroll är det alltså fråga om en överföring när de förs över till tredjeland eller internationell organisation.

Motsatsvis konstaterar Utredningen att det inte är fråga om en tredjelandsöverföring när personuppgifter behandlas uteslutande inom EU, även om den personuppgiftsansvarige eller personuppgiftsbiträdet som behandlar personuppgifterna är bunden av tredjelands lagstiftning som innebär att denna kan åläggas att lämna ut uppgifter direkt till ett tredjelands myndigheter. Tredjelandsöverföringen sker i det fallet först i samband med att uppgifterna överförs till myndigheter eller annan mottagare i tredjeland. Utredningen konstaterar att detta kan ha betydelse vid valet av personuppgiftsbiträde. Det avgörande enligt detta perspektiv tycks alltså vara var servrarna är placerade och inte frågan om huruvida personuppgiftsbiträdet kan komma att omfattas av ett tredje lands jurisdiktion.

För att avgöra vilka skyddsåtgärder som skulle kunna vara tillräckliga vid överföring till tredjeland så gör utredningen en genomgång av de skyddsåtgärder som finns. Vad gäller USA så konstateras det att det inte finns något beslut om adekvat skyddsnivå.

Safe Harbor-principerna ogiltigförklarades ju genom Schrems I och skölden för privatliv genom Schrems II. Utredningen bedömer att standardavtalsklausuler är de skyddsåtgärder som skulle kunna vara en lämplig skyddsåtgärd som kan läggas till grund för överföring av personuppgifter till tredjeland om det i mottagarens land finns ett grundläggande rättighetsskydd och en möjlighet att göra detta skydd gällande inför domstol eller annan oberoende instans (jmf. Artikel 46.2 led c och d).

Härvid gör Utredningen referenser till Bilaga 2 i rekommendationerna från Europeiska dataskyddsstyrelsen (Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data) och fallstudie nummer sex.

Punkten 88 beskriver ett case där en dataexportör använder en molntjänstleverantör eller annan tjänsteleverantör för att behandla dess data i ett tredjeland. Omständigheterna är att en molntjänstleverantör i ett tredjeland behöver tillgång till exporterad data i okrypterad form. Vidare förutsätts att det mottagande landets myndigheters tillgång till exporterad data är mer omfattande än vad som är nödvändigt och proportionellt i ett demokratiskt samhälle.

Utredningen konstaterar (s. 222) att: ”Vi tolkar detta användningsfall som att det är avsett att omfatta alla tjänster som kräver behandling av okrypterade personuppgifter, dvs. inte bara sådana tjänster där mottagarens personal aktivt behöver ta del av personuppgifter (t.ex. vid support) för att kunna utföra sitt uppdrag. Det innebär i så fall att EDPB anser att det inte finns några ytterligare tekniska skyddsåtgärder som kan bidra till ett adekvat skydd vid användning av sådana tjänster som träffas av användningsfallet, när tredjelandets myndigheters rätt till tillgång till uppgifterna som överförs går utöver vad som är nödvändigt och proportionerligt i ett demokratiskt samhälle”.

Utredningen kommenterar också fallstudie nummer tre som behandlar situationen då uppgifter som är destinerade till ett tredjeland som omfattas av ett beslut om adekvat skyddsnivå överförs via internet och dirigeras via tredjeländer som inte omfattas av ett sådant kommissionsbeslut. Utredningen hänvisar till EDPB och menar att under vissa förutsättningar kan kryptering vara en ytterligare skyddsåtgärd som är tillräcklig för att överföringen ska kunna ske i enlighet med dataskyddsförordningen.

Enligt Utredningens tolkning av Schrems II domen så är domstolens konstateranden avseende rättsläget i USA, vad gäller inskränkningar av grundläggande rättigheter och tillgången till rättsmedel och oberoende prövning, även giltiga i förhållande till övriga grunder för överföring av personuppgifter till USA enligt dataskyddsförordningen. Eftersom kravet på skyddsnivå är detsamma oavsett vilken grund som tillämpas. Utredningen menar att det är svårt att se en situation där ytterligare skyddsåtgärder kan vidtas som läker de brister som EU-domstolen bedömt finns i amerikansk lagstiftning (s. 225 ff.).

Sammantaget är det alltså relativt långtgående ställningstaganden. Man konkluderar att USA:s nationella säkerhetsapparat (i enlighet med Schrems II) går utöver vad som är “nödvändigt och proportionerligt i ett demokratiskt samhälle”. Detta måste tolkas som att det inte går att lagligt överföra några personuppgifter till servrar som är lokaliserade i USA. Vidare tycks det som att Utredningen menar att all trafik via USA (och eventuellt på internet) måste krypteras.

Sammanfattningsvis skulle man kunna tolka detta så att de krav som ställs på en personuppgiftsansvarig som vill använda en molntjänst är att denne måste dels säkerställa (1.) att all data lagras på servrar i EU eller EES, (2.) därutöver säkerställa att trafiken till och från servrarna är krypterad och (3.) att molntjänstleverantören lämnar någon slags garanti om att meddela den personuppgiftsansvarige om man skulle bli kontaktad av tredjelands myndigheter.

LEAVE A REPLY

Please enter your comment!
Please enter your name here

*

This site uses Akismet to reduce spam. Learn how your comment data is processed.