Juridikkolumnen: Underton av handelskrig när avtal om personuppgifter ogiltigförklaras

17.2.2021
Bloggar Ida Sulin

Man kunde tänka sig att något så pass världsfrånvänt som lagstiftningen om personuppgifter och deras användning inte kan ge upphov till politiska konflikter.

Men där går man bet, för om man tittar noga på EU-domstolens avgörande i ärendet C-311/18 från 16.7.2020 (”Schrems-II”) kan man utläsa såväl skicklig juridisk argumentering som en underton av handelskrig.

Ärendet gällde det så kallade Privacy Shield avtalet, som tidigare slutits mellan EU och USA. EU utgår från att överföring av personuppgifter till länder utanför EU eller ETA området måste göras väldigt försiktigt, så att de personuppgiftsansvariga i EU alltid avtalar noga om speciella försiktighetsåtgärder i förhållande till sådana överföringar.

Med överföring skall man här förstå både direkta överföringar av personuppgifter till företag eller myndigheter utanför EU/ETA, och överföring genom användning av molntjänster som har sina servrar utanför det tillåtna området.

Många flugor i en smäll, så att säga.

Dessutom betyder överföring också att uppgifterna själva stannar innanför Europas gränser, men en organisation utanför EU:s eller ETA:s område har tillgång eller har en möjlighet att få tillgång till uppgifterna, exempelvis genom programvarans stödfunktioner.

För att undvika att alla som använder programvaror och produkter med ursprung i USA, och där dessa amerikanska bolag just har antingen servrar eller stödfunktioner som innebär överföringar, gjorde man i tiden alltså ett avtal mellan USA och EU. Avtalet likställde nivån på dataskydd hos de amerikanska bolag som anslutit sig till avtalet med den nivå som EU kräver för att överföringen skall vara lagenlig. Många flugor i en smäll, så att säga.

I ”Schrems-II”-avgörandet ogiltigförklarade domstolen avtalet i fråga och konstaterade att det från EU:s synvinkel finns klara brister i det amerikanska dataskyddet. Domstolen vidhöll dock, att det är möjligt att med enskilda avtalsklausuler kräva en sådan nivå på dataskyddet som gör det möjligt för organisationer att använda amerikanska programvaror.

Alla organisationer i offentliga Finland använder idag olika former av programvaror som härstammar från länder utanför EU och ETA.

I en utredning som Sveriges regering presenterade 15.1.2021 till följd av domstolsavgörandet (SOU 1:2021) konstaterar också svenska myndigheter att inte ens modellavtalsklausuler kan garantera en tillräcklig skyddsnivå i USA, utan att fråga måste vara om individuellt anpassade och förhandlade avtalsbestämmelser för att överföringar skall vara lagliga.

Alla organisationer i offentliga Finland använder idag olika former av programvaror som härstammar från länder utanför EU och ETA. Det säger sig själv att enskilda och individuellt utformade förhandlingar med leverantören angående nivån på dataskyddet i bästa fall är kostsamma och långdragna processer och i värsta fall en omöjlighet.

Orsak till större panik finns hur som helst inte.

EU-domstolens avgörande verkar dock tyda på att det inom en nära framtid kommer att bli aktuellt att å ena sidan fundera på om det finns motsvarande Europeiska lösningar som kan användas och å andra sidan kavla upp ärmarna för att både omförhandla gamla avtal och vara beredd på knepiga förhandlingar när nya avtal skall slutas.

Orsak till större panik finns hur som helst inte, eftersom alla sitter i samma båt och inte heller övervakningsmyndigheten i Finland har tillgripit större åtgärder. 

En gemensam syn på vägen framåt för finska personuppgiftsansvariga saknas ännu, men bollen är i rullning hos såväl stat som Kommunförbundet. Kommunförbundet kommer under våren att presentera vägledning för städer och kommuner.