23.07.20
uppdaterad den 07.04.22
Mario Steinberg
0 Kommentarer
Tabell
Ecj för integritetsskydd

EG-domstolen förklarar Privacy Shield ineffektiv - Vad domen innebär för webbplatsoperatörer

Den 16.07.2020 förklarade EG-domstolen att skölden för skydd av privatlivet var ineffektiv. Denna dom gäller bland annat alla webbplatsoperatörer som använder tjänster som tillhandahålls av amerikanska företag. I den här artikeln ska jag förklara för dig vad domen betyder för dig som en webbplats operatör eller byrå, och vad du behöver göra nu.

Rättsläget

All databehandling kräver en rättslig grund

All behandling av personuppgifter kräver en rättslig grund (Art. PUL ). De viktigaste rättsliga grunderna för webbplatser är:

  • Den berörda personens samtycke (t.ex. för inställning av cookies);
  • uppfyllandet av en avtalsenlig skyldighet (t.ex. när det gäller nätbutiker).
  • den registeransvariges eller webbplatsoperatörens legitima intresse (t.ex. av att svara på förfrågningar om e-post).

Samtycke erhålls traditionellt från webbplatser genom en kryssruta. Det bästa exemplet på detta är Cookie Banner, med hjälp av vilken webbplatsen besökare samtycker till fastställandet av vissa cookies (t.ex. marknadsföring eller spårning cookies). Om du vill veta mer om detta, kommer du att se i mitt inlägg "Cookie Banner - men rätt! Dessa 7 saker du bör uppmärksamma "hitta.

De ovan nämnda rättsliga grunderna berör dock endast den faktiska behandlingen av uppgifter.

Ytterligare rättslig grund som krävs för dataöverföringar till icke-europeiska länder 

Om databehandlingen inte ska ske i EU, utan i icke-europeiska länder – det vill säga i ett så kallat tredjeland – krävs ytterligare en rättslig grund.

Dessa rättsliga grunder för överföringar av personuppgifter till tredje land återfinns i artiklarna 44 t.ex. PUL .

Särskilt så kallade beslut om adekvat skydd är europeiska kommissionens (artikel 45) relevanta för webbplatsoperatörer. PUL ).

Genom ett sådant beslut beslutar kommissionen att ett tredjeland kan tillhandahålla en adekvat nivå av dataskydd och att personuppgifter får överföras till tredjelandet.

Beslut om tillräcklighet har tidigare fattats med ett stort antal länder, som Schweiz, Australien och Nya Zeeland. 

Sekretessskölden

Privacy Shield var ett beslut om adekvat skydd av Europeiska kommissionen för dataöverföringar till USA. Det togs i juli 2016 och bara några månader efter det att EG-domstolen upphävde Safe Harbor-avtalet (det tidigare systemet för sköld för skydd av privatlivet).  

Enligt skölden för skydd av privatlivet har amerikanska företag frivilligt gått med på att följa en viss nivå av dataskydd när de behandlar personuppgifter från EU. Efter denna certifiering skulle personuppgifter från EU kunna överföras till dig.

EG-domstolens dom om skölden för skydd av privatlivet

ECJ:s dom grundade sig på en begäran om förhandsavgörande från Irish High Court till EG-domstolen, som grundade sig på den österrikiska dataskyddsaktivisten Maximilian Schrems handläggning mot Facebook Ireland Ltd.

I sin dom av den 16 juli 2020 förklarade EG-domstolen skölden för skydd av privatlivet ineffektiv. Från och med nu är alla överföringar av personuppgifter från EU till USA, som tidigare har baserats på skölden för skydd av privatlivet som rättslig grund, därför otillåtliga.

Det låter dramatiskt – och det är det.

Konsekvenserna av domen för webbplatsoperatörer

Nästan varje webbplats kommer sannolikt att påverkas av följderna av domen. I regel har nästan varje webbplats integrerat minst en tjänst av ett amerikanskt företag, som tillhandahålls inte bara genom europeiska dotterbolag (såsom Facebook Ireland Ltd. och Google Ireland Ltd.), utan även genom respektive amerikanskt moderbolag (t.ex. Facebook Inc. och Google LLC).

För många av dessa tjänster överförs personuppgifter till USA (eventuellt beroende på standard) som tas. Exempel på sådana tjänster är:

  • Google-tjänster som Google Analytics, Google Maps eller Google Fonts (såvida de inte är lokalt integrerade);
  • Nyhetsbrevstjänster (e.B. Mailchimp);
  • Sociala medier Plugins (Facebook, Instagram, YouTube, Twitter, etc.)
  • Molnsäkerhetskopieringstjänster;
  • Online shop lösningar.

Om en webbplatsoperatör har förberett sin sekretesspolicy på rätt sätt, skulle den vara tvungen att hitta följande information för varje tjänst där dataöverföringar till USA skulle kunna ske:

"Det amerikanska företaget XYZ behandlar även dina personuppgifter i USA och har lämnat in till EU/US Privacy Shield. För mer information om Privacy Shield, se https://www.privacyshield.gov/EU-US-Framework."

Möjliga alternativa rättsliga grunder för dataöverföringar

De dataöverföringar till USA som hittills på grundval av Privacy Shield kommer att tillåtas från och med nu eller tills ett nytt kommissionsbeslut om adekvat skydd är endast tillåtet om de kan baseras på en annan rättslig grund.

Som sådan, överväga:

Den berörda personens samtycke

Den rättsliga grunden för webbplatsoperatörer är framför allt den berörda personens uttryckliga samtycke (art. 49 sek. 1 tände en PUL ). Villkoret är dock att den registrerade har informerats om riskerna med överföring av uppgifter innan han ger sitt samtycke.

Sändning för fullgörande av kontraktet

Det är också tänkbart att överföringen av personuppgifter till USA är nödvändig för uppfyllandet av ett avtal mellan den registrerade (webbplatsen besökare) och den registeransvarige (webbplatsen operatör).

Det räcker dock inte att webbplatsoperatören använder sig av ett amerikanskt företags tjänst för att kontraktet ska kunna verkställas (t.ex. en amerikansk webbshop Plugin ). Vad som behövs är att kontraktet i sig har en usa-anslutning, dvs det beställs från en amerikansk webshop, till exempel.

Eu-kommissionens standardklausuler om dataskydd

Det är inte särskilt troligt att överföringen av personuppgifter till Förenta staterna kommer att baseras på de standardklausuler om uppgiftsskydd som antagits av Europeiska kommissionen (artikel 46.2 tänd.c PUL ) kan stödjas.

Standardklausulerna om uppgiftsskydd är modellavtal som kan ingås mellan en EU-baserad uppgiftsutexportör och en uppgiftsimportör som är etablerad i ett tredjeland. Med dessa garanterar den icke-europeiska dataimportören uppgiftsexportören att de personuppgifter som överförs till honom är en PUL en jämförbar skyddsnivå.

I sin dom om skölden för skydd av privatlivet har EG-domstolen verkligen beslutat att innehållet i standardklausulerna om uppgiftsskydd inte i sig är stötande. Men efterlevnaden av dem måste också effektivt verkställas i tredjelandet.

Huruvida detta är faktiskt möjligheten med dataöverföringar till USA verkar extremt tvivelaktigt. EG-domstolen har bland annat förklarat att skölden för skydd av privatlivet är ineffektiv, eftersom EU-medborgare inte har lämpligt rättsligt skydd mot de amerikanska myndigheternas program för dataövervakning. Och denna situation kommer sannolikt att vara praktiskt taget identisk när det gäller standardklausuler om uppgiftsskydd.

Av denna anledning slog EG-domstolen också fast att tillsynsmyndigheterna för dataskydd är skyldiga att tillfälligt upphäva eller förbjuda överföring av personuppgifter till ett tredjeland baserat på standardklausuler om dataskydd om de anser att standardklausulerna om uppgiftsskydd i tredjelandet inte följs eller inte kan följas. 

Det kan därför förväntas att dataöverföringar till FÖRENTA staterna som bygger på standardklausulerna om uppgiftsskydd kommer att bestridas av dataskyddsmyndigheterna och förklaras otillåtliga.

Vad du behöver göra som en webbplats operatör nu

Eftersom alla överföringar av personuppgifter till USA baserat på Privacy Shield nu är otillåtliga, bör webbplatsoperatörer genomföra följande åtgärder:

#1 utvalda europeiska servrar

Vissa amerikanska företag erbjuder sig att tillhandahålla dina tjänster via europeiska servrar. Om så är fallet bör webbplatsoperatörer välja den europeiska servern.

#2 medgivanden av den berörda personen

Om valet av en europeisk server inte är möjligt, bör uttryckligt samtycke från den registrerade inhämtas för överföring av hans personuppgifter till USA. Detta samtycke skulle kunna ges genom en kryssruta, som i fallet med cookies.

Eftersom varje webbplats som sätter cookies ska ha en kakbanner med lämpliga anslag och checkboxar för inställning av de enskilda cookies, kan detta kompletteras med ytterligare (risk) tips och checkboxar angående de avsedda dataöverföringarna till USA. Som med alla kryssrutan, måste man naturligtvis vara försiktig med att se till att webbplatsen besökaren har att klicka på checkbox själv (opt-in), som föraktiverade checkboxar (opt-out) är otillåtliga enligt rättspraxis i den federala domstolen.

Visserligen är den enda "nackdelen" av denna samtyckeslösning att motsvarande tjänst inte får vara aktiv på webbplatsen om samtycke inte ges.

Vad detta innebär, låt oss kortfattat förklara här exemplet med Google Fonts:

Ibland inkluderas google-teckensnitt inte lokalt på webbplatsen, utan bara när sidan nås av webbläsaren från Googles servrar. Om detta görs med en amerikansk Google Server överförs webbläserdata, dvs personliga data för webbplatsbesökaren, till denna Google Server i USA.

Det är redan tveksamt om omlastning av Google-teckensnitt kan baseras alls på ett legitimt intresse av webbplatsen operatör (jag personligen har stora tvivel om detta), eftersom Google-teckensnitt kan också integreras lokalt. Men även om detta legitima intresse skulle accepteras, skulle en ytterligare rättslig grund behövas för överföring av personliga webbläsare data till den amerikanska Google-servrar. Denna ytterligare rättsliga grund har varit Privacy Shield. Eftersom detta är nu ineffektivt, skulle det nu kräva samtycke av webbplatsen besökare för omlastning av Google typsnitt av amerikanska Google-servrar. Om detta inte beviljas ska Google-teckensnitten inte laddas om.

Det innebär att Google Fonts ska integreras lokalt på webbplatsen senast från och med nu.

anpassa #3 integritetspolicy

Det är viktigt att anpassa uppgiftsskyddsdeklarationen till den nya rättsliga situationen.

Eftersom sekretesspolicyn måste återspegla helt och korrekt den behandling av personuppgifter som äger rum på en webbplats, räcker det inte att bara radera den tidigare informationen på Privacy Shield – åtminstone om motsvarande tjänster fortfarande används.

Faktum är att om dataöverföringen nu bygger på samtycke från webbplatsen besökare, bör detta också nämnas i enlighet därmed. Dessutom skulle det i fråga om samtycke också vara nödvändigt att visa de risker som är förknippade med överföringen av uppgifter till USA, nämligen att de personuppgifter som överförs till USA utvärderas av amerikanska myndigheter inom ramen för förenta staternas program för dataövervakning och att EU-medborgare inte har lämpliga rättsliga skyddsalternativ i detta avseende.

Visa

Efter det att EG-domstolen förklarade safe harbor-avtalet ineffektivt tog det bara några månader för Europeiska kommissionen att förhandla om skölden för skydd av privatlivet med USA.

Med tanke på den viktiga betydelsen av transatlantiskt datautbyte, som inte bör underskattas, kommer det säkerligen inte att ta lång tid innan en ny förordning hittas och Europeiska kommissionen fattar ett nytt beslut om adekvat skydd för överföring av personuppgifter till Förenta staterna.

Och om den tar itu med EG-domstolens oro och skapar mer dataskydd för EU-medborgare i USA är detta också bra för webbplatsoperatörer.

Tyckte du om artikeln?

Med din recension hjälper du oss att förbättra vårt innehåll ytterligare.

Mario Steinberg

Mario Steinberg är advokat och specialistjurist för förvaltningsrätt på advokatbyrån LIEB. Advokater. Hans verksamhet fokuserar på dataskyddsrätt, IT-säkerhetsrätt och IT-rätt.

Skriva en kommentar

Din e-postadress kommer inte att publiceras. Obligatoriska fält är markerade med *.