EG-domstolen förklarar Privacy Shield ineffektivt - Vad domen innebär för webbplatsoperatörer

Mario Steinberg Senast uppdaterad den 21 oktober 2020
6 Min.
Privacy Shield EG-domstolen
Senast uppdaterad den 21 oktober 2020

Den 16.07.2020 antog EG-domstolen Privacy Shield ogiltigförklaras. Denna dom gäller bland annat alla webbplatsoperatörer som använder tjänster som tillhandahålls av amerikanska företag. I den här artikeln ska jag förklara för dig vad domen betyder för dig som webbplats operatör eller byrå, och vad du behöver göra nu.

Rättslig situation

All databehandling kräver en rättslig grund

All behandling av personuppgifter kräver en rättslig grund (art. PUL ). De viktigaste rättsliga grunderna för webbplatser är:

  • Samtycke från den berörda personen (t.ex. för att ställa in cookies);
  • Fullgörande av en avtalsenlig skyldighet (t.ex. när det gäller nätbutiker).
  • Den registeransvariges eller webbplatsoperatörens berättigade intresse (t.ex. för att svara på e-postförfrågningar).

Samtycke erhålls traditionellt från webbplatser med hjälp av en kryssruta. Det bästa exemplet på detta är Cookie Banner, genom vilken webbplatsbesökaren samtycker till att vissa cookies ställs (t.ex. marknadsföring eller spårningscookies). Om du vill veta mer om detta, kommer du att ta reda på i min artikel "Cookie banner - men höger! Dessa 7 saker du bör tänka på" vad du letar efter.

De ovannämnda rättsliga grunderna gäller dock endast den faktiska behandlingen av uppgifter.

Ytterligare rättslig grund som krävs för dataöverföring till icke-europeiska länder 

Om databehandling inte ska ske i EU, utan i icke-europeiska länder – det vill säga i ett så kallat tredjeland – krävs ytterligare en rättslig grund.

Dessa rättsliga grunder för överföring av personuppgifter till tredjeländer finns i artiklarna 44, t.ex. PUL .

I synnerhet är europeiska kommissionens så kallade beslut om adekvat skydd (artikel 45) relevanta för webbplatsoperatörer. PUL ).

Genom ett sådant beslut beslutar kommissionen att ett tredjeland får tillhandahålla en adekvat nivå av uppgiftsskydd och att personuppgifter får överföras till tredjelandet.

Tidigare har beslut om adekvat skydd har fattats med ett stort antal länder, såsom Schweiz, Australien och Nya Zeeland. 

Sekretessskölden

Det är Sekretess Shield var ett beslut om adekvat skydd av Europeiska kommissionen för dataöverföring till USA. Den lanserades i juli 2016 och bara några månader efter Upphävande av Safe Harbor-avtalet (den tidigare skölden för privatlivet) av EG-domstolen.  

Enligt Privacy Shield har amerikanska företag frivilligt gått med på att följa en viss nivå av dataskydd vid behandling av personuppgifter från EU. Efter denna certifiering kan personuppgifter från EU överföras till dig.

EG-domstolens utslag av Privacy Shield

ECJ-domen grundade sig på en begäran om förhandsavgörande från Irländska högsta domstolen till EG-domstolen, som grundade sig på ett förfarande av den österrikiska dataskyddsaktivisten Maximilian Schrems mot Facebook Ireland Ltd.

I sin dom av den 16 juli 2020 Privacy Shield förklaras ineffektiv. Från och med nu kan därför alla överföringar av personuppgifter från EU till USA, som tidigare har baserats på Skölden för skydd av privatlivet som rättslig grund, avvisas.

Det låter dramatiskt – och det är det.

Konsekvenserna av domen för webbplatsoperatörer

Nästan varje webbplats kommer sannolikt att påverkas av konsekvenserna av domen. Som regel har nästan varje webbplats integrerat minst en tjänst för ett amerikanskt företag, som tillhandahålls inte bara genom europeiska dotterbolag (såsom Facebook Ireland Ltd. och Google Ireland Ltd.), men också genom respektive amerikanskt moderbolag (t.ex.

För många av dessa tjänster överförs personuppgifter till USA (eventuellt beroende på standard) som tas. Exempel på sådana tjänster är:

  • Google-tjänster som Google Analytics, Google Maps eller Google Fonts (såvida de inte är lokalt integrerade).
  • Tjänster för nyhetsbrev (t.ex.
  • Sociala medier Plugins (Facebook, Instagram, YouTube, Twitter, etc.)
  • Molnsäkerhetstjänster för säkerhetskopiering;
  • Lösningar för onlinebutiker.

Om en webbplatsoperatör har utarbetat sin sekretesspolicy korrekt måste den hitta följande information för varje tjänst där dataöverföringar till USA kan ske:

"Det amerikanska företaget XYZ behandlar också dina personuppgifter i USA och har lämnat in till EU/US Privacy Shield. Mer information om Privacy Shield finns i https://www.privacyshield.gov/EU-US-Framework."

Möjliga alternativa rättsliga grunder för dataöverföring

Dataöverföringarna till USA hittills på grundval av Skölden för skydd av privatlivet kommer att tillåtas från och med nu eller tills ett nytt beslut om adekvat skydd av kommissionen endast är tillåtet om de kan baseras på en annan rättslig grund.

Som sådan, överväga:

Samtycke från den berörda personen

Den rättsliga grunden för webbplatsoperatörer är framför allt den berörda personens uttryckliga samtycke (artikel 49 sek. 1 tände en PUL ). Villkoret är dock att den registrerade har informerats om riskerna med överföring av uppgifter innan han ger sitt samtycke.

Överföring för fullgörandet av kontraktet

Det är också tänkbart att överföringen av personuppgifter till USA är nödvändig för att uppfylla ett avtal mellan den registrerade (besökaren på webbplatsen) och den registeransvarige (webbplatsoperatören).

Det räcker dock inte att webbplatsoperatören använder ett amerikanskt företags tjänst för att fullgöra kontraktet (t.ex. en amerikansk nätbutik Plugin ). Vad som behövs är att själva kontraktet har en amerikansk anslutning, det vill säga det beställs från en amerikansk webshop, till exempel.

Europeiska kommissionens standardklausuler om uppgiftsskydd

Det är inte särskilt troligt att överföringen av personuppgifter till Förenta staterna kommer att baseras på de standardklausuler om uppgiftsskydd som antagits av Europeiska kommissionen (artikel 46.2 lyser. PUL ) kan stödjas.

Standardklausulerna om uppgiftsskydd är modellavtal som kan ingås mellan en EU-baserad uppgiftsexportör och en uppgiftsimportör som är etablerad i ett tredjeland. Med dessa garanterar den icke-europeiska uppgiftsimportören uppgiftsförmedaren att de personuppgifter som överförs till honom är en PUL jämförbar skyddsnivå.

I sin dom om skölden för skydd av privatlivet har EG-domstolen beslutat att innehållet i standardklausulerna om uppgiftsskydd inte i sig är stötande. Efterlevnaden av dem måste dock också tillämpas effektivt i tredjelandet.

Huruvida är detta faktiskt möjligheten med dataöverföringar till USA verkar extremt tveksamt. EG-domstolen har förklarat skölden för skydd av privatlivet ineffektiv, bland annat eftersom EU-medborgare inte har lämpligt rättsligt skydd mot de amerikanska myndigheternas program för uppgiftsövervakning. Och denna situation kommer sannolikt att vara praktiskt taget identisk när det gäller standardklausuler om uppgiftsskydd.

Av denna anledning slog EG-domstolen också i sin dom fast att tillsynsmyndigheter för uppgiftsskydd är skyldiga att avbryta eller förbjuda överföring av personuppgifter till ett tredjeland på grundval av standardklausuler om uppgiftsskydd om de anser att standardklausulerna om uppgiftsskydd i tredjelandet inte följs eller inte kan följas. 

Det kan därför förväntas att dataöverföringar till USA på grundval av standardklausulerna om uppgiftsskydd kommer att bestridas av dataskyddsmyndigheterna och förklaras otillåtliga.

Vad du behöver göra som webbplatsoperatör nu

Eftersom alla överföringar av personuppgifter till USA baserat på Privacy Shield nu kan tas upp till prövning, bör webbplatsoperatörer genomföra följande åtgärder:

#1 välja europeiska servrar

Vissa amerikanska företag erbjuder sig att tillhandahålla dina tjänster via europeiska servrar. Om så är fallet bör webbplatsoperatörer välja den europeiska servern.

#2 samtycke från den berörda personen

Om valet av en europeisk server inte är möjligt bör den registrerades uttryckliga samtycke erhållas för överföring av hans personuppgifter till USA. Detta samtycke kan ges med hjälp av en kryssruta, som i fallet med cookies.

Eftersom varje webbplats som ställer in cookies bör ha en cookie banner med lämpliga meddelanden och kryssrutor för att ställa in enskilda cookies, kan detta kompletteras med ytterligare (risk) tips och kryssrutor om de avsedda dataöverföringar till USA. Som med alla kryssrutor, måste man naturligtvis se till att webbplatsen besökaren måste klicka på kryssrutan själv (opt-in), som föraktiverade kryssrutor (opt-out) avvisas enligt rättspraxis från den federala domstolen.

Den enda "nackdelen" med denna samtyckeslösning är visserligen att motsvarande tjänst inte kan vara aktiv på webbplatsen om samtycke inte ges.

Vad detta innebär, låt oss kortfattat förklara här exemplet med Google Teckensnitt:

Ibland google-teckensnitt ingår inte lokalt på webbplatsen, men bara när sidan nås av webbläsaren från Googles servrar. Om detta görs med en amerikansk Google Server överförs webbläsardata, dvs.

Det är redan tveksamt om omlastning av Google-teckensnitt kan baseras alls på ett legitimt intresse för webbplatsoperatören (jag personligen har stora tvivel om detta), eftersom Google-teckensnitten också kan integreras lokalt. Men även om detta berättigade intresse skulle accepteras, skulle ytterligare en rättslig grund behövas för överföring av personliga webbläsardata till de amerikanska Google-servrarna. Denna ytterligare rättsliga grund har varit Privacy Shield. Eftersom detta nu är ineffektivt, skulle det nu kräva samtycke från webbplatsbesökaren för omlastning av Google-teckensnitt av amerikanska Google-servrar. Om detta inte beviljas bör Google-teckensnitten inte laddas om.

Detta innebär att Google Fonts bör integreras lokalt på webbplatsen från och med nu senast.

anpassa #3 sekretesspolicy

Det är viktigt att anpassa dataskyddsdeklarationen till den nya rättsliga situationen.

Eftersom sekretesspolicyn måste återspegla behandlingen av personuppgifter som sker på en webbplats på ett korrekt sätt räcker det inte att bara radera den tidigare informationen på Privacy Shield – åtminstone om motsvarande tjänster fortfarande används.

Faktum är att om dataöverföringen nu baseras på webbplatsbesökarens samtycke, bör detta också nämnas i enlighet med detta. När det gäller samtycke skulle det dessutom vara nödvändigt att visa de risker som är förknippade med överföringen av uppgifter till Förenta staterna, nämligen att de personuppgifter som överförs till Förenta staterna utvärderas av amerikanska myndigheter inom ramen för förenta staternas program för dataövervakning och att EU-medborgare inte har lämpliga alternativ för rättsligt skydd i detta avseende.

Visa

Efter det att EG-domstolen förklarat safe harbor-avtalet ineffektivt tog det bara några månader för Europeiska kommissionen att förhandla om skölden för skydd av privatlivet med USA.

Med tanke på den viktiga betydelsen av det transatlantiska datautbytet, som inte bör underskattas, kommer det säkerligen inte att ta lång tid innan en ny förordning antas och Europeiska kommissionen fattar ett nytt beslut om adekvat skyddsnivå för överföring av personuppgifter till Förenta staterna.

Och om den tar itu med EG-domstolens oro och skapar mer dataskydd för EU-medborgare i USA är detta också bra för webbplatsoperatörer.

Mario Steinberg är jurist och specialistjurist för förvaltningsrätt på affärsjuridiska företaget Kära. Advokater. Hans verksamhet fokuserar på dataskyddsrätt, IT-säkerhetslagstiftning och IT-rätt.

Liknande artiklar

Kommentarer om den här artikeln

Skriv en kommentar

Din e-postadress kommer inte att publiceras. Obligatoriska fält är * Markerade.