Vad är egentligen Schrems II och behöver jag bry mig?

Det är väldigt många som undrar över Schrems II. Vad är det egentligen? Hur kan domslutet komma att påverka bibliotekens arbete? Måste vi sluta med Instagram och Facebook? Radera vårt Youtube-konto? Redan nu kan jag dock utlova ett antiklimax och att inga direkta svar på praktiska spörsmål kommer att ges i denna artikel.

Schrems II-domen har gjort det omöjligt att förlita sig på det som kallas för Privacy Shield och det som möjliggjorde överföring av personuppgifter till tredjeland. I bibliotekssammanhang handlar det kanske om att publicera bilder eller namn på personer på Instagram eller Facebook. Också tjänster som överför IP-nummer som analysverktyget Google Analytics kan vara problematiska. Digiteket ger som vanligt inga juridiska råd utan ber er att vända er till er huvudman för konkreta råd om hur ni bör agera. Rättsläget är oklart men Integritetskyddsmyndigheten och relevanta aktörer som SKR bör väl komma med praktiska råd vad det lider. 

Jonas Holm som jobbar på advokatfirman Marlaw men också är flitigt anlitad i bibliotekssammanhang jobbar nästan hela dagarna med frågan och menar att det är det största som hänt på GDPR-området. 

– Det är en komplicerad fråga. Inte för att domen i sig är så komplicerad utan för att konsekvenserna och den praktiska hanteringen av den är komplicerad. Problemet ligger i att domen sätter stora frågetecken på all personuppgiftsöverföring till USA. Vi har byggt in oss i en massa tjänster från företagen som kallas för  “Big 5”, det vill säga techjättarna Amazon, Apple, Google, Facebook och Microsoft. Dessa jättar sitter i grunden på väldigt mycket av vår data. Sen är det också som så att även om man väljer en europeisk leverantör av en tjänst så använder de ofta underleverantörer som till exempel Microsofts molntjänst Azure. Eftersom det är en amerikansk tjänst i grund och botten så anser också amerikanska myndigheter sig ha grund att få tillgång till deras data. Microsofts planer på att koppla alla sina verktyg till sin molntjänst gör att allt användande av Microsofts produkter kommer leda till tredjelandsöverföring. 

– Pandemisituationen har lett till att alla jobbar på distans i amerikanska verktyg och sitter och delar personuppgifter hela dagarna. 

– En av lösningarna är att använda europeiska verktyg, till exempel så använder före detta Dataskyddsmyndigheten ett svenskt videokonferensverktyg. 

Safe Harbour

Huvudproblematiken kretsar kring artikel 44-50 i GDPR-lagstiftningen där en av huvudreglerna är att det är förbjudet att föra ut personuppgifter utanför EU/EES. För att ändå kunna överföra persondata kom principerna för Safe Harbour till, som tillät amerikanska företag att självcertifiera sig, vilket innebar att de lovade juridisk likvärdighet genom att hantera europeisk persondata i enlighet med EU-förordningar. Detta gällde fram till 2015 då dom i målet avgjordes. Domen kom att kallas Schrems 1 efter Max Schrems, en österrikisk internetaktivist, som har kommit att bli frontfigur i dessa sammanhang. I domen konstateras att Safe Harbour inte alls ger ett likvärdigt skydd och då inte längre går att åberopa.

Privacy Shield

Därför tillkom en  ny överenskommelse för att kunna överföra personuppgifter till USA men ändå behålla den europeiska skyddsnivån . Denna kallades Privacy Shield och amerikanska företag kunde självcertifera sig som medlemmar och utlova att de hanterade europeisk persondata utifrån ett antal kriterier. Dessa principer ansågs dock stå i strid med  EU-rätten och ogiltigförklarades med omedelbar verkan 16 juli 2020. Detta innebär att personuppgifter inte lagligt kan överföras till USA med stöd av att mottagaren självcertifierat sig enligt Privacy Shield-ramverket. Skälet till att det är olagligt i EU är att amerikanska myndigheter på olika sätt har tillgång till persondata i form av övervakningsverktyg som PRISM och Upstream som gör att man systematiskt kan övervaka till exempel sociala medier. En annan omständighet som ansågs problematisk i EU är att lagar i form av till exempel Cloud Act tillåter amerikanska myndigheter att begära ut data från techföretag vid misstanke om brott. Så kallad adekvat skyddsnivå för europeiska personuppgifter kan därför inte garanteras då självcertifieringen inte ger något skydd eller inblick i vad amerikanska myndigheter gör med data.

Jonas Holm konstaterar att det också fanns andra problem med Privacy Shield, som att den utlovade årliga översynen inte genomförts samt att den inte går att pröva i domstol utan bara hos en ombudsman som är utsedd av amerikansk regering. 

Rätten till integritetsskydd ingår i EU-fördraget och ingår i de grundläggande rättigheterna.

Joans Holm

Möjliga vägar framåt?

Utifrån vad man nu vet är det troligtvis problematiskt att fortsätta att oreflekterat överföra personuppgifter till tredjeland. Ett av begreppen som figurerar i diskussionerna och som diskuteras som en möjlig väg framåt är det som kallas för standardavtalsklausuler, standards contract clauses, SCC. Jonas förklarar:

– Standardavtalsklausuler är avtalsformuleringar beslutade av EU. Nya avtalsformuleringar är i detta nu ute på konsultation (en form av remiss). Dessa kan man sen använda i avtal och policies och berättar då vilket skydd en registrerad ska få. Dessa kan användas men måste också efterlevas i praktiken. Om man som personuppgiftsansvarig överför data med stöd av dessa måste man göra en bedömning av hur den praktiska efterlevnaden ser ut. Hur ska man egentligen kunna göra det?

Vad gäller de amerikanska tjänsterna så är det problematiskt då man kommer behöva förena användandet av standardavtalsklausulerna med rent tekniska skyddsåtgärder i form av kryptering. Här måste till exempel Facebook berätta vilka tekniska åtgärder som finns och om kraven uppfylls så skulle man kunde fortsätta använda verktygen. 

I kapitel 47 nämns bindande företagsbestämmelser som handlar om att överföra data mellan koncerner, som till exempel Tetra Pak. Detta är inte aktuellt för biblioteken. 

En tredje möjlighet som regleras i artikel 49 handlar om att samtycke till personuppgiftsöverföring kan ges om den registrerade är informerad om riskerna. Överföring kan också regleras av ett kontraktsavtal. Här är det viktigt att varje enskild är införstådd med riskerna. 

Om man till exempel kontrakterar en föredragshållare för en föreläsning som också ska publiceras på Youtube så bör denna informeras om riskerna i form av att hens personuppgifter  som till exempel namn och utseende överförs till tredjeland.  

Jonas Holm menar att det står klart att samtycke kan formuleras och tar också upp att det kan vara värt att titta på artikel 49 1d om man kan bedöma överföringen som viktig ur ett allmänintresse. Finns det stöd i bibliotekslagen?

En möjlig väg skulle vara att man informerar de som potentiellt kommer förekomma i sociala medier med personuppgifter av personalstyrkan och informera dessa om riskerna med överföring till tredjeland (i princip att de kan komma att övervakas och registreras av amerikanska myndigheter) och inhämta samtycke. 

Vad bör huvudmän göra?

Jonas menar att det första som bör göras är att se över behandlingsregistret där kommunens dataskyddsombud registrerar persondata som behandlas. Här bör man märka upp vilka som är tredjelandsöverföringar och gå igenom om det finns rättsligt skydd för dessa. Om de hänvisar till Privacy Shield är svaret nej. Man bör informera de registrerade och uppdatera samtyckesblanketter och så vidare. 

 – Man bör diskutera hur verksamhetskritisk överföringen är. Är det need-to-have eller nice-to-have? Måste man använda personuppgifter? Kanske måste man som kommunikatör tänka om hur man jobbar med och använder sociala medier. När nya leverantörer ska väljas så bör man se om det är möjligt att hitta EU/EES-alternativ så att data lagras i Europa. 

Sammanfattningsvis kan vi konstatera att Schrems II-domslutet kommer fortsätta vara omdiskuterat och aktuellt under överskådlig framtid. Som ofta när det handlar om teknik,  integritet och juridik  är frågan rätteligen komplicerad. Digiteket kommer med största säkerhet ha anledning att återkomma i frågan.