EU-domstolens dom – Schrems II, GDPR vs. Privacy Shield

EU-domstolens senaste dom, den 16 juli 2020 i mål C-311/18, i frågan om förenligheten mellan reglerna i de europeiska GDPR reglerna och USA’s lagstiftning som möjliggör amerikanska myndigheters åtkomst till information, inte minst Patriot act, sätter på nytt ett stort frågetecken kring molntjänster. Efter den första domen, där EU-domstolen den 6 0ktober 2015 i mål nr C-362/14 dömde ut Safe Harbouravtalet har nu även ersättningsavtalet Privacy Shield underkänts, utifrån samma grundproblem men med en betydligt mer preciserad motivering.

Bakgrunden är densamma, en EU-medborgare (Max Schrems) har ifrågasatt om det finns tillräckliga mekanismer för att skydda integriteten för de personuppgifter som överförs från Europa till USA med stöd av det avtal EU kommissionen har träffat med USA (Privacy Shield). Frågan är central eftersom det får mycket stora konsekvenser för hur det går att arbeta med t.ex. molnbaserade tjänster eller andra typer av digitala tjänster som tillhandahålls av USA-baserade företag och som förutsätter behandling av personuppgifter.

Grundproblemet är USA’s lagstiftning kring terrorism och signalspaning som ger amerikanska myndigheter långtgående rättigheter att bereda sig tillgång till i princip all elektronisk kommunikation, vilket Edward Snowdens avslöjanden visade att man också gjorde i samarbete eller med stöd av IT-företagen. I och med införandet av Cloud Act som explicit utsträcker amerikanska företags skyldigheter att ge myndigheter tillgång till data som behandlas även utanför USA, finns inget som antyder att arbetssättet eller lagstiftningen kommer att förändras. Även om det skulle göra det återstår att kunna utkräva ett ansvar från någon vid åsidosättanden av GDPR eller andra regler med skydd för den personliga integriteten. Just ansvarsfrågan är en av de centrala argumenten för att införa Privacy by design (PBD) vilket GDPR har som mål att göra. EU domstolen har nu som ett av sina ställningstaganden satt fingret på just frågan som uppkommer efter att ange en ansvarig och en jurisdiktion, dvs. var det finns en behörig domstol vars beslut kommer att efterkommas, som ger tillgång till ett effektivt rättsmedel. I vare sig Privacy Shield eller Safe Harbour fanns det någon tvistelösningsmekanism, vilket ju i sig kan uppfattas som att de aldrig var tänkta att utgöra ett verkligt skydd för idividen.

Vad betyder det att Privacy Shield är underkänd?

Det cyniska svaret är att det inte betyder något alls. Det har för många varit tydligt att lagstiftningen i EU och USA är oförenliga när det gäller skydd för behandlingen av personuppgifter. Det som händer är däremot att det ”fikonlöv” som Privacy Shield har varit för att kunna motivera överföringarnas laglighet nu inte längre finns, vilket gör att den som ansvarar för att överföra personinformation från EU till USA nu själv måste visa att säkerhetskraven för överföringen och behandlingen i USA är uppfyllda. Det kommer i praktiken att vara omöjligt för alla som ansvarar för behandlingar enligt GDPR att få på plats bindande företagsbestämmelser, i dagsläget finns bara en sådan på plats i Sverige, och det är möjligt att inte heller den nu håller i ljuset av EU domen. Utan bindande företagsbestämmelser krävs tillstånd från Datainspektionen för varje överföring, vilket inte heller är realistiskt. Detta gör att behandlingsansvariga nu i princip måste välja mellan att helt byta tjänster eller att inrikta sig på riskminimering.

Hur kan en riskminimering åstadkommas?

Givet att i princip all överföring av personuppgifter till USA strider mot GDPR, hur kan riskerna för sanktionsavgifter, skadestånd eller andra konsekvenser minskas? Det första steget är som alltid inom säkerhetsarbete att ha koll på sin inventering av resurser. Om vi vet vilken information som behandlas, i vilket system och med vilka överföringar så är det den utgångspunkt som behövs för att ta beslut kring förändringar. Det är självklart så att den känsligaste och mest värdefulla informationen måste åtgärdas först. För att göra det behöver klassningen av informationen ses över, om uppgifterna är känsliga eller omfattas av särskild sekretess eller tystnadsplikt enligt lag bör man välja andra lösningar än att föra över dem. För att minska riskerna med behandlingen är första steget att ta bort eller pseudonymisera identifierare som personnummer och namn innan uppgifterna överförs. Nästa steg är att överväga dataminimering så att enbart de uppgifter som är absolut nödvändiga överförs samt att de helst anges inom intervall i stället för som specifika uppgifter, eftersom sådana åtgärder minskar riskerna för att uppgifterna lätt kan missbrukas eller användas för andra ändamål än som avsetts. Steget därefter är att kryptera all information innan den överförs och sedan ställa krav på att kontrollen över krypteringen hela tiden ligger utanför molntjänstleverantörens kontroll. Därigenom kommer molntjänstleverantören inte att kunna lämna ut några uppgifter vidare till någon annan, t.ex. amerikanska myndigheter.

Det finns följaktligen sådan information som är så känslig eller omfattas av sådan sekretess eller tystnadsplikt att den inte bör behandlas utanför EU/EES, eller rentav utanför Sverige. Rentav kan informationen i särskilda undantagsfall vara så känslig eller sekretessbehovet så starkt att det inte ens är lämpligt att informationen behandlas genom IT, utan att den fortsätter behandlas i pappersform under långtgående begränsningar och säkerhetsåtgärder. Okänslig eller mindre känslig information, även personuppgifter, skulle möjligen även fortsättningsvis kunna behandlas genom molntjänsterna. Detta förutsätter dock att det gjorts en inventering av informationen med en risk- och sårbarhetsanalys där det kunnat konstateras att behandlingen kan ske utan nämnvärd risk och att kraven enligt GDPR eller annan lagstiftning uppfylls.

Domen innebär att den legala risken ökar, eftersom det i praktiken blir svårt för många organisationer att ställa om sina IT-lösningar till sådana alternativ där t.ex. inte de dominerande molnlösningarna används. Den ökade risken är heller inte något det går att försäkra sig mot, eftersom överträdelser utgör brott och då inte utgör några försäkringsbara skador.

En fråga som inställer sig i sammanhanget är givetvis vad som händer med befintliga avtal med molntjänstleverantörer? Medför domen sådana rättsliga följder som ger beställaren rätt att häva avtalet eller kräva omförhandling? Svaret beror naturligtvis på vad avtalen stipulerar, men då en fortsatt användning innebär ett uppenbart lagbrott är det sannolikt i de flesta fall en saklig grund för hävning. Att omförhandla i försök att överskjuta bördan på leverantören kan bara delvis vara framgångsrikt eftersom ansvaret för behandlingen inte kan delegeras, även om det möjligen skulle gå att bli kompenserad för eventuella sanktionsavgifter och skadestånd.

En möjlig konsekvens som hittills inte visat sig förekomma i någon större utsträckning är att fler privatpersoner kan välja att väcka grupptalan och kräva skadestånd för att de personuppgiftsansvariga inte skyddar deras personuppgifter enligt kraven i GDPR.

Tillsammans kommer den ökade legala risken och mer komplexa administrationen att innebära att affärsrisken ökar beträffande tjänster som innefattar behandling av personuppgifter, vilket i sin tur sannolikt kommer att göra tjänsterna dyrare för konsumenterna. Fördyringen sker, dels genom att det inte längre blir möjligt att använda vissa tjänster eftersom deras affärsmodell bygger på att ha tillgång till individernas uppgifter, dels för att det innebär en större risk att erbjuda dem. Om man jämför priserna före och efter Shrems II-domen kommer det att framkomma ett ”marknadspris” på den personliga integriteten som sannolikt är betydligt högre än vad som idag döms ut i svenska domstolar.

Frågan är därför om GDPR på kortare eller längre sikt kommer att överleva i sin nuvarande form, om domen innebär att Europeiska organisationer och individer inte längre kan använda sådana digitala tjänster som tillhandahålls av leverantörer som omfattas av amerikansk jurisdiktion?