Allmänna principer vid överföring till tredje land

4 Överföring till tredje land

4.1 Allmänna principer vid överföring till tredje land

I artikel 44 i dataskyddsförordningen stadgas de allmänna principerna för överföring av personuppgifter till tredje land. Artikeln är den första i kapitel V som är namngivet

”[ö]verföring av personuppgifter till tredjeländer eller internationella organisationer”. Den personuppgiftsansvarige och det personuppgiftsbiträdet som vill genomföra en överföring av personuppgifter till tredje land ska uppfylla villkoren i dataskyddsförordningen i allmänhet och kapitel V i synnerhet. Som tidigare nämnts ska varje behandling stödjas på en laglig grund, enligt artikel 6. Dessutom ska de allmänna principerna i artikel 5 följas. EDPB uppmanar av den anledningen ett tvåstegstest vid bedömning om en överföring av personuppgifter till tredje land är förenlig med dataskyddsförordningen. För det första ska varje behandling ske i enlighet med artikel 5 och 6 och för det andra ska kapitel V (artikel 44–49) följas. Kapitel V följs genom att stödja överföringen på någon av de tre mekanismerna – adekvat skyddsnivå, lämpliga skyddsåtgärder eller undantag för speciella situationer.¹⁸²

I artikeln stadgas också en tillämpningsmetod för bestämmelserna i kapitel V. Bestämmelserna ska tillämpas för att säkerställa att den nivå på skyddet av fysiska personer som säkerställs genom förordningen inte undergrävs. EU-domstolen har understrukit att oavsett vilken av de tre mekanismerna som ligger till grund för en överföring till tredje land så ska den skyddsnivå för individer som förordningen säkerställer inte undergrävas.¹⁸³ Genom reglerna i kapitel V har EU genom EU-domstolen blivit en dataskyddspolis världen över, eftersom data inte får hamna hos länder med otillräckligt dataskydd.¹⁸⁴

181 Generaladvokatens förslag till avgörande, mål C-311/18, Schrems II, § 7.

182 EDPB, Riktlinjer 2/2018, s. 3. Se också skäl 101 i dataskyddsförordningen.

183 Mål C-311/18, Schrems II, § 92.

184 Se Lynskey, 2015, s. 43.

40 4.2 Adekvat skyddsnivå

4.2.1 Allmänt

I artikel 45 i dataskyddsförordningen finns bestämmelser om att en överföring till tredje land får ske i det fall kommissionen beslutat att ett land säkerställer en adekvat skyddsnivå. Beslut om adekvat skyddsnivå kan också tas gällande en internationell organisation. Man skulle kunna säga att kommissionen genom sina beslut om adekvat skyddsnivå ”grönflaggar” vissa länder eller organisationer. Företag kan föra över personuppgifter utan något särskilt tillstånd till de

”grönflaggade” länderna. Den som vill föra över personuppgifterna till ett tredje land med adekvat skyddsnivå kan således stödja sig på beslutet som sådant.

I artikel 45.2 stadgas de omständigheter kommissionen särskilt ska beakta när beslutet fattas, omständigheterna är dock inte uttömmande.¹⁸⁵ Artikeln anger att landets relevanta lagstiftning, rättsstatsprincipen, respekten för de mänskliga rättigheterna och de grundläggande friheterna ska beaktas. Dessutom ska faktiska och verkställbara rättigheter för registrerade vars personuppgifter överförts beaktas. Kommissionen ska också fästa avseende vid huruvida det finns en oberoende tillsynsmyndighet som ansvarar för att dataskyddsregler följs. Till sist anges också att landets internationella åtaganden ska beaktas, särskilt rörande skydd av personuppgifter. EU-domstolen har konstaterat att artikel 45 syftar till att säkerställa att den höga skyddsnivå för personuppgifter som föreskrivs i förordningen upprätthållas, när uppgifterna överfors till länder utanför unionen.¹⁸⁶ För att nå upp till en adekvat skyddsnivå krävs det att landet i fråga, genom sin interna lagstiftning eller på grund av de internationella förpliktelser som åligger landet, säkerställer en nivå̊ för skyddet av grundläggande fri- och rättigheter som är väsentligen likvärdig med den skyddsnivå som garanteras inom unionen enligt förordningen, jämförd med stadgan.¹⁸⁷ Om kommissionen finner att landet eller organisationen i fråga säkerställer en adekvat skyddsnivå får de genom en genomförandeakt

”grönflagga” landet enligt artikel 45.3.

185 Mål C-311/18, Schrems II, § 104. Se också skäl 6 i dataskyddsförordningen.

186 Mål C-311/18, Schrems II, § 93.

187 Mål C-311/18, Schrems II, § 94 och 162; Mål C-362/14, Schrems I, § 96.

41 4.2.2 Godkända adekvata skyddsnivåer och tillämpning

I skrivande stund har kommissionen beslutat om adekvat skyddsnivå för Andorra, Argentina, Kanada, Färöarna, Isle of man, Israel, Japan, Jersey, Nya Zeeland, Schweiz och Uruguay.

Dessutom hålls diskussioner med Sydkorea gällande ett beslut.¹⁸⁸

Kommissionen har dessutom vid två tillfällen beslutat att USA säkerställer en adekvat skyddsnivå, men EU-domstolen har efter Schrems klagan underkänt båda besluten. Det första beslutet, så kallat Safe Harbour¹⁸⁹ ogiltigförklarades av EU-domstolen år 2015 genom Schrems I.¹⁹⁰ Ett nytt beslut, kallat Privacy Shield¹⁹¹, antogs av kommissionen till följd av Schrems I,¹⁹² vilkets sedermera också underkändes av EU-domstolen genom Schrems II.¹⁹³I båda domarna konstaterade EU-domstolen att USA:s myndigheter har en alltför långtgående möjlighet att komma åt personuppgifter.¹⁹⁴ Dessutom saknas tillräckligt utrymme att få sina rättigheter prövade.¹⁹⁵ Trots att kommissionen är den aktör som beslutar om ett land säkerställer en adekvat skyddsnivå, enligt artikel 45.3, så har EU-domstolen det slutgiltiga ordet i frågan.

4.2.3 USA:s avsaknad av adekvat skyddsnivå

I Schrems II prövades vissa amerikanska övervakningsprograms förenlighet med kommissionens beslut om adekvat skyddsnivå. Övervakningsprogrammen ger amerikanska myndigheter såsom National Security Agency och Federal Bureau of Investigation åtkomst till personuppgifter, vilket motiveras av USA:s nationella säkerhet.¹⁹⁶ I målet framkom bland annat att det är möjligt för amerikanska myndigheter att få åtkomst till personuppgifter som befinner sig i transit till USA genom massinsamling. Åtgärden saknar dessutom domstolskontroll.¹⁹⁷

188 Kommissionen, [https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en], 2020-12-30.

189 Kommissionens beslut 2000/520/EG av den 26 juli 2000 enligt Europaparlamentets och rådets direktiv 95/46/EG om huruvida ett adekvat skydd säkerställs genom de principer om integritetsskydd (Safe Harbor Privacy Principles).

190 Domstolens dom i mål C-362/14, Schrems I.

191 Kommissionens beslut 2010/87 av den 5 februari 2010 om standardavtalsklausuler för överföring av personuppgifter till registerförare etablerade i tredjeland i enlighet med Europaparlamentets och rådets direktiv 95/46/EG.

192 Generaladvokatens förslag till avgörande, mål C-311/18, Schrems II, § 35.

193 Mål C-311/18, Schrems II, § 201.

194 Mål C-311/18, Schrems II, § 181 ff.; Mål C-362/14, Schrems I, § 89 ff.

195 Mål C-311/18, Schrems II, § 197 ff.; Mål C-362/14, Schrems I, § 99 ff.

196 Mål C-311/18, Schrems II, § 168; Generaladvokatens förslag till avgörande, mål C-311/18, Schrems II, § 40 ff. och § 198.

197 Jfr mål C-311/18, Schrems II, § 183. Se också generaladvokatens förslag till avgörande, mål C-311/18, Schrems II, § 281.

42 Genom Schrems II ogiltigförklarades således kommissionens beslut om att USA säkerställer adekvat skyddsnivå. Effekten av domen är att det inte är möjligt att överföra personuppgifter till USA på grundval av Privacy Shield och artikel 45 är därmed inte tillämplig.

Kommissionen har efter domen genom ett pressmeddelande angett att samarbete med USA har upptagits för att utvärdera möjligheterna för ett förbättrat och uppdaterat ramverk för att följa det nya avgörandet.¹⁹⁸ I skrivande stund har något uppdaterat ramverk inte utfärdats, och det saknas skäl att anta att ett nytt ramverk kommer komma till stånd. För att USA ska tillförsäkra ett väsentligt likvärdigt skydd krävs att de säkerhetslagar som ger amerikanska myndigheterna långtgående åtkomst till personuppgifter ändras.

En effekt av att besluten rivits upp är att företag ställs inför svåra avväganden och stora kostnader. Antingen ska överföringen stoppas, vilket hitintills inte har gjorts av mjukvaruföretagen. Eller så ska överföringen fortgå och både mjukvaruföretagen och dess användare riskerar sanktionsavgifter. Användare av mjukvaruföretagens tjänster kan upphöra med användning av tjänster som innebär en överföring till USA, men medan det är enkelt för vissa företag att stänga av Google Analytics är det svårare för de flesta att sluta använda molnbaserade mailtjänster.¹⁹⁹ En annan lösning är att undersöka nya lagliga sätt att behandla personuppgifter genom överföring till USA. Den senare lösningen är den som troligtvis är mest populär eftersom företag i stort sett är beroende av mjukvaruföretagens tjänster. Därför finns det anledning till att undersöka om en överföring till USA kan ske med stöd av den lämplig skyddsåtgärden SCC.

4.3 Lämpliga skyddsåtgärder

I artikel 46.2 i dataskyddsförordningen finns en katalog av exempel på lämpliga skyddsåtgärder, och SCC är ett av dessa. Innan SCC redogörs för ska gemensamma utgångspunkter för lämpliga skyddsåtgärder i allmänhet redogöras för.

198 Kommissionen och amerikanska handelskammaren, [https://ec.europa.eu/info/news/joint-press-statement- european-commissioner-justice-didier-reynders-and-us-secretary-commerce-wilbur-ross-7-august-2020-2020-aug-07_en], 2020-12-30.

199 Tillhandahållande av användarstatistik bör för de flesta publika företag inte vara lika väsentligt för verksamheten som internt och extern kommunikation. Att byta mailsystem tar tid och kostar pengar.

43 4.3.1 Allmänt

I det fall det saknas beslut om adekvat skyddsnivå får personuppgiftsansvarige eller personuppgiftsbiträdet endast överföra personuppgifter till ett tredje land efter att ha vidtagit lämpliga skyddsåtgärder, och på villkor att de registrerade förfogar över lagstadgade rättigheter och effektiva rättsmedel, enligt artikel 46.1. Artikeln kan alltså endast tillämpas vid avsaknad av ett beslut om adekvat skyddsnivå, vilket i skrivande stund är fallet för överföring av personuppgifter till USA.²⁰⁰

EU-domstolen har uttalat att artikeln syftar till att kompensera för de bristande dataskyddet i tredje landet, på så vis att de krav som förordningen ställer på registrerades rättigheter tillvaratas.²⁰¹ Den skyddsnivå̊ för grundläggande rättigheter som krävs enligt artikel 46.1 i förordningen ska fastställas på grundval av bestämmelserna i dataskyddsförordningen, jämförda med stadgan.²⁰² Domstolen konstaterade också att de registrerade genom lämpliga skyddsåtgärderna ska åtnjuta en skyddsnivå som är väsentligt likvärdig med den som garanteras inom unionen. Därmed kräver domstolen samma lägstanivå av skydd av personuppgifter genom lämpliga skyddsåtgärder som vid beslut om adekvat skyddsnivå.²⁰³ För att bedöma om skyddsnivån är väsentligt likvärdig ska hänsyn tas till de avtalsvillkor som överenskommits mellan den personuppgiftsansvarige eller personuppgiftsbiträdet som är etablerad i unionen samt mottagaren i tredje landet. Dessutom ska relevanta delar av det tredje landets rättssystem beaktas. Av särskild betydelse är de delar som anges i artikel 45.2 samt det tredje landets myndighets eventuella åtkomst till de överförda personuppgifterna. ²⁰⁴ Lämpliga skyddsåtgärder ska alltså bedömas med hjälp av de omständigheter kommissionen ska beakta när den utfärdar beslut om adekvat skyddsnivå.²⁰⁵ Eftersom domstolen konstaterat att USA inte tillförsäkrar ett väsentligt likvärdigt skydd av personuppgifter som inom unionen krävs kraftiga åtgärder för att kunna tillförsäkra en skyddsnivån som är väsentligt likvärdig vid en överföring till landet.

200 Se kapitel 4.2.

201 Mål C-311/18, Schrems II, § 94; Skäl 108 i dataskyddsförordningen.

202 Mål C-311/18, Schrems II, § 101.

203 Se mål C-311/18, Schrems II, § 96. Jfr. kapitel 4.2.

204 Mål C-311/18, Schrems II, § 105.

205 Jfr. kapitel 4.2.

44 Artikelns andra punkt är, som redan nämnts, en katalog av exempel på lämpliga skyddsåtgärder som kan vidtas av de som vill föra över personuppgifter till USA. I det följande kommer domstolens uttalande om SCC att redogöras för.

4.3.2 Standardiserade dataskyddsbestämmelser antagna av kommissionen Ett exempel på lämpliga skyddsåtgärder är så kallade SCC vilka godkänns av kommissionen, enligt artikel 46.2 c. Kommissionen har godkänt vissa SCC, vilket gjordes när direktivet fortfarande var i kraft.²⁰⁶ Genom Schrems II fastslog domstolen att dessa är fortsatt giltiga.²⁰⁷ Efter Schrems II, i november 2020, offentliggjorde kommissionen dock ett nytt utkast till SCC.²⁰⁸ Den aktör som befinner sig inom unionen och vill föra över personuppgifter till en part utanför EU eller Europeiska ekonomiska samarbetsområdet (EES) kan således stödja sig på de äldre standardavtalen fram till att de nya träder i kraft.

I Schrems II tydliggjordes ansvaret hos de parter som för över personuppgifter till USA med stöd av SCC. Domstolen konstaterade inledningsvis att SCC:erna är bindande mellan avtalsparterna²⁰⁹, men inte för tredje landets myndigheter.²¹⁰ Det betyder således att det ankommer på avtalsparterna att säkerställa en tillräcklig skyddsnivå. När lagstiftningen i det tredje landet tillåter myndigheterna i detta tredje land att göra ingrepp i de registrerade personernas rättigheter är SCC inte ensamt ett tillräckligt medel för att säkerställa ett väsentligt likvärdigt skydd.²¹¹ I anslutning till uttalandet angav domstolen att det i vissa fall, beroende på situationen i tredje landet, kan vara nödvändigt att vidta ytterligare skyddsåtgärder som kompletterar SCC:erna för att säkerställa att skyddsnivån iakttas. Personuppgiftsansvariga eller personuppgiftsbiträdet som överför uppgifterna samt mottagaren av uppgifterna måste därvid, innan överföringen sker, kontrollera om lagstiftningen i det tredje landet säkerställer ett lämpligt skydd med hänsyn till unionsrätten för personuppgifter som ska överföras med stöd av SCC.²¹²

206 Se kommissionens beslut 2010/87 av den 5 februari 2010 om standardavtalsklausuler för överföring av personuppgifter till registerförare etablerade i tredje land.

207 Mål C-311/18, Schrems II, § 149.

208 EDPB, [https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12741-Commission-Implementing-Decision-on-standard-contractual-clauses-for-the-transfer-of-personal-data-to-third-countries], 2020-12-30.

209 Överföraren av personuppgifter och mottagaren av personuppgifter.

210 Mål C-311/18, Schrems II, § 125.

211 Mål C-311/18, Schrems II, § 126 och 133.

212 Mål C-311/18, Schrems II, § 132 ff.

45 Vid bedömning av den skyddsnivå som säkerställs i tredje landet ska omständigheterna i artikel 45.2 beaktas. Dessa är, som ovan nämnts, samma omständigheter som kommissionen ska beakta vid ett beslut om adekvat skyddsnivå.²¹³ EDPB har efter domen kommit med ett utkast på rekommendationer för hur en bedömning sker, dessa är dock ännu inte definitiva.²¹⁴

När personuppgiftsansvarige eller personuppgiftsbiträdet inte kan vidta ytterligare åtgärder för att på ett tillräckligt vis säkerställa lämpliga skyddsåtgärder fastslog domstolen följande.

Aktörerna som översänder personuppgifterna har i första hand ansvar över att överföringen avbryts, och i andra hand ankommer ansvaret på den berörda tillsynsmyndigheten.²¹⁵ Den personuppgiftsansvariges ansvar styrks också av bestämmelserna i standardavtalsklausulerna som fastslår att personuppgiftsansvarige och mottagaren av personuppgifterna innan överföringen sker ska kontrollera skyddsnivån i tredje landet för att undersöka om SCC:erna kan följas. För att undersöka skyddsnivån i det mottagande tredje landet och om en skyldighet enligt lagstiftningen i det mottagande tredje landet, går utöver vad som är nödvändigt i ett demokratiskt samhälle, ska beslutet om adekvat skyddsnivå antaget i enlighet med artikel 45.3 beaktas. Domstolen framhöll att undersökningen kan avse huruvida en skyldighet enligt lagstiftningen i det mottagande tredje landet går utöver vad som är nödvändigt i ett demokratiskt samhälle för att skydda nationell säkerhet. Om mottagaren av personuppgifterna finner att så är fallet är denne skyldig att kontakta personuppgiftsansvarige, varvid det åligger den senare att avbryta överföringen.²¹⁶

Det är alltså möjligt att stödja sig på SCC för överföring till tredje land, men när tredje landets myndigheter ges tillåtelse att komma åt personuppgifterna, likt fallet i USA, måste ytterligare åtgärder vidtas för att säkerställa att skyddet för personuppgifter ska bli väsentligt likvärdig med det som garanteras inom unionen. Med hänsyn till de omständigheter som låg till grund för EU-domstolens upphävande av Privacy Shield,²¹⁷, blir ovan omständigheter en bekräftelse på att det krävs ytterligare åtgärder för att säkerställa lämpliga skyddsåtgärder när personuppgifter förs över till USA.

213 Mål C-311/18, Schrems II, § 105; Se kapitel 4.2.

214 EDPB, Recommendations 02/2020.

215 Mål C-311/18, Schrems II, § 135.

216 Mål C-311/18, Schrems II, § 141 f.

217 Bland annat myndigheters möjlighet till massinsamling av och avsaknad av domstolskontroll över detta.

46 För att skyddsåtgärderna ska ge ett väsentligt likvärdigt skydd som inom unionen krävs att de felande delarna i landets rättssystem förintas. I USA:s fall är det en åtgärd som tillförsäkrar att de amerikanska myndigheterna inte kan komma åt personuppgifterna. Med andra ord krävs en åtgärd som trumfar den amerikanska nationella säkerhetslagstiftningen.

4.3.3 Ytterligare åtgärder

För att svara på vilka ytterligare åtgärder som kan vara för handen kan ledning hämtas från artikel 32, vilken ställer upp allmänna krav för säker behandling av personuppgifter och är ett exempel på hur principen om integritet och konfidentialitet ska upprätthållas enligt förordningen.²¹⁸ Här åläggs både personuppgiftsansvarige och personuppgiftsbitrådet att vidta lämpliga tekniska och organisatoriska åtgärder som är nödvändiga i förhållande till risken för att skydda de personuppgifter som behandlas.²¹⁹ Organisatoriska åtgärder i form av avtal mellan aktörerna som utför överföringen kan inte trumfa den amerikanska säkerhetslagstiftningen.

Tekniska åtgärder bör kunna vidtas för att skydda personuppgifterna mot amerikanska myndigheter. Exempel på tekniska åtgärder skulle kunna vara att personuppgifterna skyddas genom kryptering eller pseudonymisering för att tillförsäkra ett tillräckligt skydd av personuppgifter. EDPB uppmärksammar att tredje landets lagstiftning måste undersökas för att tillförsäkra sig om att landets lagar inte förbjuder dessa tekniska åtgärder och därmed kan tvinga företagen att lämna ut krypteringsnyckeln eller tvingar dem att på annat vis tillhandahålla myndigheterna med personuppgifterna. I USA kan exempelvis vissa molntjänstleverantörer tvingas lämna ut personuppgifter, genom Cloud Act.²²⁰

I skrivande stund reviderar EDPB sina rekommendationer till exempel på ytterligare säkerhetsåtgärder för att uppnå nivån av tillräckligt lämpliga skyddsåtgärder enligt artikel 46.²²¹ Dessa är alltså ännu inte definitiva. Även här exemplifieras pseudonymisering och kryptering av personuppgifterna som de ytterligare åtgärder som bör vidtas vid en överföring till ett tredje land, som inte säkerställer en adekvat skyddsnivå.

218 Se kapitel 2.3.6.

219 Se också skäl 76, 78 och 83 i dataskyddsförordningen.

220 EDPB, Recommendations 1/2020, s. 16 ff.; Se också fotnot 151.

221 EDPB, Recommendations 1/2020.

47 I de fall det saknas möjlighet att genom ytterligare åtgärder säkerställa ett väsentligt likvärdigt skydd för personuppgifter som inom unionen är det i första hand personuppgiftsansvariga som ska avbryta överföringen. Om överföringen trots det fortsätter ska tillsynsmyndigheten ingripa för att stoppa förfarandet.

I sammanhanget bör kort nämnas att den tröskel som EU-domstolen fastställer för lämpliga skyddsåtgärder gäller enligt EDPB i allmänhet för alla lämpliga skyddsåtgärder enligt artikel 46.²²² Dessutom gäller den amerikanska säkerhetslagstiftningen i princip all digital överföring av personuppgifter till USA. Av den anledningen bör ytterligare skyddsåtgärder vidtas oavsett vilken av reglerna i artikel 46 en aktör stödjer sig på, förutsatt att aktörerna som vidtar tredjelandsöverföring finner att landet i fråga inte säkerställer ett väsentligt likvärdigt skydd för personuppgifter som inom unionen.²²³ Som nämnts inledningsvis finns det en tredje mekanism för tredjelandsöverföringar – undantag för särskilda situationer. EU-domstolen avslutar domskälen i Schrems II med att uttrycka att ett ogiltigförklarande av Privacy Shield inte skapar ett rättsligt tomrum och hänvisar i sammanhanget till artikel 49. Denna artikel blir aktuell då artikel 45 och 46 inte kan tillämpas och ger möjlighet för överföring av personuppgifter vid särskilda situationer.²²⁴ Att döma av ordalydelsen av artikelns rubrik är utrymmet för att stödja sig på artikel 49 snävt och bör inte användas som huvudregel för återkommande överföringar.

Det saknas rättsfall som tydliggör tillämpningsområdet för artikel 49.²²⁵

4.4 Sammanfattning

Sammanfattningsvis går det i teorin att föra över personuppgifter till USA genom att stödja sig på artikel 46 och SCC. Överföringen är dock endast laglig om tekniska åtgärder kan trumfa den lag som ger amerikanska myndigheter möjlighet till åtkomst av personuppgifter. Om de tekniska åtgärderna inte är tillräckliga för att undslippa att lämna ut personuppgifterna till USA kan personuppgifter ändå föras över till USA, men endast i särskilda situationer enligt artikel 49.

222 Mål C-311/18, Schrems II, § 92 f.

223 Se EDPB FAQ,

[https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_faqs_schrems_ii_202007_adopted_sv.pdf], 2020-12-30.

224 Mål C-311/18, Schrems II, § 202.

225 Däremot har EDPB utfärdat riktlinjer för artikelns tillämpning, se EDPB, Riktlinjer 2/2018.

5 Avslutande diskussion

5.1 Inledning

Genom uppsatsen har hittills de två första frågeställningarna varit i fokus – ansvarsfrågan och det rättsliga utrymmet för att kunna göra en överföring av personuppgifter till tredje land. I detta avslutande kapitel kommer först slutsatser för ansvarsfrågan preciseras och analyseras.

Eftersom både individen och företag har ett intresse av frågan kommer slutsatserna vara intressanta för samtliga parter.²²⁶

Dessutom kommer företagens rättsliga utrymme att göra en överföring av personuppgifter med ursprung inom EU till USA att fastställas. Fastställandet kommer vara utgångspunkten för det efterföljande kapitlet där den tredje frågan kommer besvaras – i vilken mån Schrems II har påverkat balansen mellan å ena sidan skydd av personuppgifter och å andra sidan fri rörlighet av personuppgifter, eller om vikten av dataexport för europeiska företag kan förklara det fortsatta dataflödena till USA. Dessa slutsatser kommer vara intressanta för den med ett företagsperspektiv som upprörts av hur domen påverkar det fria flödet av personuppgifter och

In document Överföring av personuppgifter till USA. (Page 39-60)