Ett nätverk för dig som jobbar med språk och översättning i kommunsektorn
Kommunförbundet samordnar ett nätverk för översättare i kommunsektorn. Nätverket har också ett diskussions- och mötesforum på Teams.
Kommunförbundet har från ett flertal kommuner fått frågor om EU-domstolens dom i målet Schrems II (C-311/18) och Europeiska dataskyddsstyrelsens (härefter EDPB) relaterade anvisning om överföring av personuppgifter till länder utanför Europeiska ekonomiska samarbetsområdet (härefter EES). Det här brevet beskriver kort Schrems II-domen och hur man i kommunerna bör förhålla sig till den.
Det handlar inte om en anvisning, utan snarare om synpunkter som bör beaktas när dataskyddet i molntjänster bedöms.
Den 16 juli 2020 meddelade EU-domstolen en dom i ärendet C-311/18 (den s.k. Schrems II-domen) med den följden att överföringen av personuppgifter till länder utanför EES förutsätter en mer omfattande riskbedömning än tidigare och eventuella tilläggsåtgärder. Enligt domen är det tidigare beslutet (2016/1250) om tillräckligheten i den dataskyddsnivå Privacy Shield-avtalet mellan EU och USA ger ogiltigt.
Beslutet gäller överföring av data till servrar utanför EES samt öppnandet av en teknisk anslutning som möjliggör behandling av data som lagras i Finland eller någon annanstans inom EES från länder utanför EES.
Eftersom EU-kommissionens beslut om likvärdighet för amerikanska företag (Safe Harbor, Privacy Shield) inte längre gäller, kräver överföringen av personuppgifter adekvata skyddsåtgärder av tjänstebeställarna, såsom modellavtalsklausuler. EDPB offentliggjorde den 11 november 2020 sin rekommendation om kompletterande skyddsåtgärder, och under vissa omständigheter förhindras överföringen eller en fortsatt överföring av data helt.
Bakom Schrems II-beslutet ligger den österrikiske dataskyddsaktivisten Max Schrems klagomål till Irlands dataskyddsmyndighet om att Facebook överförde hans personuppgifter till USA, där de överförda personuppgifterna inte har ett tillräckligt skydd mot underrättelseverksamhet som bedrivs där. Bristen på tillräckligt skydd visade sig bl.a. i att EU-medborgare inte hade rättsmedel mot underrättelseverksamhet till skillnad från USA:s medborgare.
För det första slog domstolen fast att EU:s allmänna dataskyddsförordning ska tillämpas när kommersiella aktörer överför personuppgifter till ett tredjeland, oberoende av att myndigheterna i det tredjelandet under eller efter överföringen kan behandla dessa uppgifter för ändamål som avser allmän säkerhet, försvar eller statens säkerhet. Med andra ord står fallet inte utanför dataskyddsförordningens tillämpningsområde med stöd av artikel 2.2 i dataskyddsförordningen.
För det andra slog EU-domstolen fast att artikel 46 i dataskyddsförordningen ska tolkas så att de personer vilkas personuppgifter överförs till ett tredjeland med stöd av de standardklausuler om dataskydd som EU-kommissionen har godkänt i huvudsak ska åtnjuta ett likvärdigt skydd som dataskyddsförordningen ger, jämfört med EU:s stadga om de grundläggande rättigheterna.
För det tredje fastställde domstolen de nationella tillsynsmyndigheternas rätt och skyldighet att avbryta eller förbjuda en överföring av personuppgifter till ett tredjeland med stöd av standardklausuler om myndigheten anser att det inte med andra medel går att säkerställa att nivån på dataskyddet motsvarar EU:s nivå.
Till sist tog domstolen ställning till giltigheten i Privacy Shield-beslutet. Utan att desto mer gå in på detaljer förklarades Privacy Shield-beslutet ogiltigt på två grunder:
Således är problemet att dataskyddsnivån i USA inte motsvarar nivån i EU på det sätt som nämns tidigare. Reglering på EU-nivå av de verkställbara rättigheter och effektiva rättsmedel som är tillgängliga för de registrerade är ett krav för överföring av personuppgifter till ett tredjeland, såsom USA, även när standardklausuler används.
Schrems II-domen har konsekvenser beträffande alla serviceleverantörer utanför EU-/EES-området, som amerikanska och asiatiska serviceleverantörer, när personuppgiftsansvariga, t.ex. en kommun eller samkommun, funderar på riskhanteringen inom dataskyddet. Hur bör man förhålla sig till den nya situationen – hur upprätthålla en verksamhet som kräver behandling av personuppgifter och ibland även anlitandet av stora, internationella system, och samtidigt hantera den juridiska risken i den nya tolkningssituationen? För det första finns det anledning att skilja mellan om man granskar nya avtal och datasystemsanskaffningar eller befintliga datasystem och gällande avtal.
Det är viktigt att beakta att behandling av personuppgifter utanför EU-/EES-området avser dels en situation där uppgifterna har lagrats utanför EU-/EES-området, dels en situation där det finns åtkomst till information som lagrats inom EU-/EES-området via en fjärrförbindelseutanför EU-/EES-området. Med andra ord avser överföringen av personuppgifter till länder utanför EU-/EES-området även situationer där de datacentraler där uppgifterna lagras befinner sig inom EU-/EES-området, men där man kan ansluta till dem utifrån.
I samband med ett nytt avtal eller anskaffning av nytt datasystem förutsätts i princip att helheten uppfyller kraven i den gällande lagstiftningen. Enklast är det om man säkerställer att personuppgifterna under inga omständigheter behandlas utanför EU eller EES, dvs. en naturlig utgångspunkt vid nya avtal och anskaffningar av nya system är att förbjuda all överföring och behandling av personuppgifter utanför dessa områden.
Därtill har kommissionen godkänt en lista över länder, utöver EU-/EES-området, där personuppgifter får behandlas. De är Andorra, Argentina, Färöarna, Guernsey, Israel, Isle of Man, Japan, Jersey, Kanada (för kommersiella organisationer), Nya Zeeland, Schweiz och Uruguay. Listan uppdateras, se länken till kommissionens sidor.
Om detta är omöjligt, måste man ta till den relativt tunga processen enligt dataskyddsförordningen och Schrems II-domen där man i ett avtal via särskilda utredningar och försäkranden säkerställer en adekvat dataskyddsnivå genom hela behandlingen.
Om det är nödvändigt att behandla personuppgifter utanför EU-/EES-området och i de länder som kommissionen har godkänt, ska adekvata skyddsåtgärder, som t.ex. standardklausuler om dataskydd, iakttas enligt artikel 46 i dataskyddsförordningen (https://tietosuoja.fi/sv/standardiserade-dataskyddsbestammelser-godkanda-av-kommissionen ) och länk till kommissionens webbplats . Ett tilläggsvillkor utöver standardklausulerna är att de registrerade även ska ha tillgång till verkställbara rättigheter och effektiva rättsmedel i mållandet dit överföringarna görs och att den personuppgiftsansvarige därför från fall till fall ska utreda huruvida dessa rättigheter och rättsmedel finns i mållandet och deras överenstämmelse med EU:s dataskyddsbestämmelser.
Eventuella brister som upptäcks i dataskyddet vid utredningarna kan korrigeras genom tilläggsåtgärder så att de motsvarar den nivå som förutsätts i EU-lagstiftningen. Europeiska dataskyddsstyrelsen meddelade den 10 november 2020 sin rekommendation om kompletterande skyddsåtgärder länk som ska beaktas när uppgifter överförs till länder utanför EU-/EES-området. I bilaga 2 till rekommendationerna finns en exempelförteckning över kompletterande åtgärder vilkas tillräcklighet ska bedömas från fall till fall. Dessa är bl.a. kryptering och pseudonymisering. Målet med de tekniska åtgärderna är att utesluta myndigheters eventuellt kränkande åtkomst till uppgifterna.
Kommunerna behandlar en stor mängd personuppgifter utifrån gällande avtal och i befintliga system, varför den primära lösningen inte kan vara att skaffa ett nytt system eller häva avtalet och ordna en ny upphandling.
Klarast blir det att i det gällande avtalet entydigt förbjuda att personuppgifter lämnas ut till länder utanför EES och EU. T.ex. avtalsvillkoren för IT-upphandlingar inom offentlig förvaltning (JIT-villkor) från 2015 innehåller en sådan bestämmelse. Om man således i avtalet hänvisar till JIT-villkoren kan man utgå från att behandlingen även uppfyller kraven i den nya tolkningssituationen och att det således inte behövs ändringar.
Men om avtalet tillåter behandling utanför EES och EU, dvs. tekniskt stöd utanför detta område ges möjlighet till åtkomst till personuppgifterna, måste man avgöra om riskhanteringen kräver att avtalet ändras för att säkerställa behandlingen eller om man kanske rentav behöver ordna en ny upphandling om hela systemet.
Om man inte står i beråd att ändra avtalet eller ordna en ny upphandling behöver situationen bedömas ur ett riskhanteringsperspektiv. När risker bedöms ska följande omständigheter beaktas: handlar det om konfidentiella personuppgifter och/eller personuppgifter som gäller särskilda personuppgiftskategorier enligt dataskyddsförordningen och/eller stora mängder ovan nämnda eller andra personuppgifter?
Om det handlar om någon av de ovan nämnda personuppgiftskategorierna ska den nationella tillsynsmyndigheten, dvs. dataombudsmannen, underrättas om att man via standardklausuler har avtalat om dataöverföring med en serviceleverantör från USA och att man avser förlänga avtalet i fråga.
Kommunförbundet samordnar ett nätverk för översättare i kommunsektorn. Nätverket har också ett diskussions- och mötesforum på Teams.
En gång per månad bjuder Ulf Stenman, direktör för Kommunförbundet svenska verksamhet på ett virtuellt, aktuellt och spirituellt morgonkaffe på Teams.
Läs mera: Kaffe med Uffe
Kommunförbundet arrangerar korta sessioner med presentationer och diskussioner om digitalisering på svenska i nätverket för Digifika.