Överföring av personuppgifter från EU till USA

(1)

Juridiska institutionen Höstterminen 2020

Examensarbete i EU-rätt 30 högskolepoäng

Överföring av personuppgifter från EU till USA

Särskilt i ljuset av Schrems I och II

Transfer of personal data from the EU to the US

Especially in light of Schrems I and II Författare: Henrietta Cahn

Handledare: Professor Anna-Sara Lind

(2)

II

(3)

III

Förord

Inlämnandet av den här uppsatsen sätter punkt för fem års studier vid Uppsala universitet och University of Toronto, och det är med visst vemod men framför allt stor stolthet som jag nu avslutar det kapitlet. Studietiden har ibland varit prövande och jobbig, men för det allra mesta har den varit rolig, lärorik och utvecklande. Jag kommer att se tillbaka på den med värme.

Det finns några personer som jag önskar tacka särskilt för deras hjälp och stöd under den här höstterminen. Jag vill börja med att rikta ett stort tack till min kunniga uppsatshandledare, professor Anna-Sara Lind, för dina uppmuntrande ord och din skarpa blick. Ett varmt tack också till alla medarbetare på Utrikesdepartementets rättssekretariat, där jag har haft det stora nöjet tillbringa höstterminen när jag inte arbetat med examensarbetet. Jag vill särskilt tacka min praktikhandledare, departementssekreteraren Daniel Andersson, för klok och värdefull feedback under hela praktikens gång, och för din humor och entusiasm.

Det finns också en del personer som jag har haft turen att ha med mig under hela eller större delen av studietiden. Mina år i Uppsala hade varit hälften så roliga och dubbelt så svåra om jag inte hade haft fantastiska vänner vid min sida. Tack Astrid, Caroline, Clara, Emma, Matilda och Norea för att ni är ni, och för att jag kunnat dela såväl med- som motgångar med er.

Jag har också min familj – mamma, pappa och Jacob – att tacka. Er villkorslösa kärlek och ert ändlösa stöd i allt jag tar mig för är mitt bränsle. Jag älskar er.

Sist men absolut inte minst vill jag tacka min morfar Tage, som varit en av mina främsta och viktigaste supporters under juristprogrammet och i livet i allmänhet. Det är en stor sorg att du aldrig fick se mig ta examen, men jag vill tro att du ser mig ändå på något sätt och jag hoppas att du är stolt. Det här examensarbetet tillägnar jag dig. Du är odödlig, morfar.

Henrietta Cahn

Uppsala, den 14 januari 2021

(4)

IV

(5)

V

There is a saying that if you get something for free, you should know that you’re the product. It was never more true than in the case of Facebook and Gmail and YouTube. You get free social media services, and you get free funny cat videos. In exchange, you give up the most valuable asset you have, which is your personal data.

Yuval Noah Harari¹

1 Hopper, Time Magazine, 16 februari 2017 (27 december 2020), https://time.com/4672373/yuval-noah- harari-homo-deus-interview/.

(6)

VI

(7)

VII

Abstract

The judgments of the Court of Justice of the European Union (CJEU) in Schrems I and II have raised many questions regarding the circumstances in which personal data can be transferred legally from the EU to the US. Hence, the overarching purpose of this thesis is to examine and analyze these circumstances.

According to article 45 of the General Data Protection Regulation (GDPR), a third country must ensure an adequate level of protection for personal data if it is to be transferred there. A first condition which must be met in order to reach that level is that the EU Commission, when making decisions about whether a third country offers an adequate level of protection, conforms to its competence according to EU law. The level of protection also has a procedural dimension.

Furthermore, in order for an adequate level of protection to be reached, there must be limitations on the third country’s possibilities to conduct foreign intelligence surveillance. One problem with the CJEU’s interpretation of the level of protection in Schrems I and II is that it did not clarify under which circumstances exactly a proportionality analysis must be conducted.

Another problem that the judgments have given rise to is that an adequate level of protection is very hard to reach for third countries, since it must be essentially equivalent to the level that applies within the EU. The extra-territorial application of the GDPR and the EU level of protection for personal data could also have a limiting effect on international trade.

According to article 46 of the GDPR, standard contractual clauses (SCC’s) can be used to transfer personal data to a third country when the EU Commission has not made a decision under article 45. The CJEU’s judgment in Schrems II has clarified that the determining factor when deciding whether SCC’s are lawful is whether they contain effective mechanisms that make it possible to ensure that the EU level of protection is maintained, and whether transfers of personal data using SCC’s will be stopped or forbidden if the clauses are set aside or impossible to abide by.

According to article 47 of the GDPR, binding corporate rules (BCR’s) can also be used to transfer personal data to a third country. The decision of a supervisory authority to approve BCR’s, however, does not take into account transfers to specific third countries. Anyone who transfers personal data to a third country using BCR’s must therefore decide in each individual case whether the use of the rules will provide a level of protection in the receiving country that fulfills the demands of the GDPR. The CJEU’s conclusions regarding the US level of protection for personal data indicates that a transfer there using BCR’s could be illegal.

(8)

VIII

(9)

IX

Innehållsförteckning

FÖRORD ... III ABSTRACT ... VII

1 INLEDNING ... 1

1.1 BAKGRUND ... 1

1.2 SYFTE OCH FRÅGESTÄLLNINGAR ... 2

1.3 AVGRÄNSNINGAR ... 2

1.4 METOD OCH MATERIAL ... 5

1.4.1 Några metodologiska utgångspunkter rörande EU-rätten ... 5

1.4.2 Närmare överväganden kring metod och material ... 6

1.5 DISPOSITION ... 8

2 SCHREMS I OCH II I KORTHET ... 10

2.1 OM DETTA KAPITEL ... 10

2.2 SCHREMS I ... 10

2.2.1 Bakgrund ... 10

2.2.2 EU-domstolens bedömning ... 11

2.3 SCHREMS II ... 13

2.3.1 Bakgrund ... 13

2.3.2 EU-domstolens bedömning ... 16

2.4 SAMMANFATTNING ... 20

3 CENTRALA REGLER I DATASKYDDSFÖRORDNINGEN ... 22

3.2 SYFTE ... 22

3.3 MATERIELLT TILLÄMPNINGSOMRÅDE ... 24

3.3.1 Utgångspunkter för det materiella tillämpningsområdet ... 24

3.3.2 Personuppgifter ... 24

3.3.3 Behandling av personuppgifter ... 27

3.4 SÄRSKILT OM BEHANDLING AV PERSONUPPGIFTER ... 27

3.4.1 Principer för behandling av personuppgifter ... 27

3.4.2 Laglighet, korrekthet och öppenhet ... 28

3.4.3 Ändamålsbegränsning ... 30

3.4.4 Uppgiftsminimering ... 31

3.4.5 Korrekthet ... 32

3.4.6 Lagringsminimering ... 33

3.4.7 Integritet och konfidentialitet ... 34

3.4.8 Laglig grund för behandling ... 34

3.5 TERRITORIELLT TILLÄMPNINGSOMRÅDE ... 35

3.6 PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE ... 38

3.6.1 Personuppgiftsansvarig ... 38

3.6.2 Personuppgiftsbiträde ... 39

3.7 SAMMANFATTNING ... 40

4 EU-STADGANS RÄTTIGHETSSKYDD ... 41

4.2 ALLMÄNT OM EU:S RÄTTIGHETSSKYDD ... 41

4.3 RESPEKT FÖR PRIVATLIVET OCH FAMILJELIVET ... 42

4.4 SKYDD AV PERSONUPPGIFTER ... 43

4.5 RÄTT TILL ETT EFFEKTIVT RÄTTSMEDEL OCH TILL EN OPARTISK DOMSTOL ... 44

4.6 PROPORTIONALITET ... 48

5 ÖVERFÖRING AV PERSONUPPGIFTER TILL TREDJELAND ... 52

5.2 ALLMÄN PRINCIP FÖR ÖVERFÖRING AV UPPGIFTER ... 52

(10)

X

5.3 ÖVERFÖRING PÅ GRUNDVAL AV ETT BESLUT OM ADEKVAT SKYDDSNIVÅ ... 53

5.4 ÖVERFÖRING SOM OMFATTAS AV LÄMPLIGA SKYDDSÅTGÄRDER ... 54

5.5 BINDANDE FÖRETAGSBESTÄMMELSER ... 56

6 BORTOM SCHREMS I OCH II – GÄLLANDE RÄTT IDAG ... 58

6.2 INNEBÖRDEN AV ADEKVAT SKYDDSNIVÅ ... 58

6.2.1 Formell eller materiell bedömning? ... 58

6.2.2 ”Väsentligt innehåll” och proportionalitetsbedömning ... 59

6.2.3 ”Väsentligen likvärdig” skyddsnivå ... 67

6.2.4 Extraterritoriell tillämpning av dataskyddsförordningen ... 72

6.3 STANDARDAVTALSKLAUSULER ... 74

7 AVSLUTANDE KOMMENTARER ... 78

7.1 INNEBÖRDEN AV ADEKVAT SKYDDSNIVÅ ... 78

7.2 STANDARDAVTALSKLAUSULER ... 79

7.4 FRAMTIDSUTSIKTER ... 80

KÄLLFÖRTECKNING ... 81

(11)

XI

Förkortningar

Artikel 29-gruppen Artikel 29 – Arbetsgruppen för skydd av personuppgifter

CIA Central Intelligence Agency

Datalagringsdirektivet Europaparlamentets och rådets direktiv 2006/24/EG av den 15 mars 2006 om lagring av uppgifter som genererats eller behandlats i samband med tillhandahållande av allmänt tillgängliga elektroniska kommunikationstjänster eller allmänna kommunikationsnät och om ändring av direktiv 2002/58/EG

Dataskyddsdirektivet Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter.

Dataskyddsförordningen Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning)

EDPB European Data Protection Board

EES Europeiska ekonomiska samarbetsområdet

EKMR Europeiska konventionen om skydd för de

mänskliga rättigheterna och de grundläggande friheterna

E.O Executive Order

EU Europeiska unionen

(12)

XII

EU-domstolen Europeiska unionens domstol

FBI Federal Bureau of Intelligence

FEU Fördraget om Europeiska unionen

FEUF Fördraget om Europeiska unionens

funktionssätt

FISA Foreign Intelligence Surveillance Act

GATS General Agreement on Trade in Services

HFD Högsta förvaltningsdomstolen

Kommissionen/EU-kommissionen Europeiska kommissionen

NSA National Security Agency

PPD 28 Presidential Policy Directive 28

PuL Personuppgiftslag (1998:204)

RF Regeringsformen

Stadgan Europeiska unionens stadga om de

grundläggande rättigheterna

WTO World Trade Organization

(13)

1

1 Inledning

1.1 Bakgrund

För snart tio år sedan begärde den österrikiske medborgaren Maximilian Schrems att få ut de personuppgifter Facebook hade om honom inför författandet av en uppsats. Han fick då veta att företaget hade tillgång till omkring 1200 sidor med information om honom. Informationen omfattade allt från sidor på nätverket han hade gilla-markerat till varenda privata meddelande han någonsin hade skickat. Schrems menade att Facebook bröt mot den EU-rättsliga dataskyddsregleringen, och att företaget undergrävde den grundläggande rätten till privatliv.²

Tvisten mynnade ut i en rättsprocess mellan Schrems och Facebook Ireland, som avslutades hösten 2015 när EU-domstolen meddelade sin dom. I domen fastslogs det att den grund Facebook Ireland hade förlitat sig på vid överföring av personuppgifter från EU till moderbolaget i USA, nämligen kommissionens beslut om de s.k. Safe Harbor-principerna, var ogiltig.³ Efter ytterligare en rättsprocess i EU-domstolen mellan samma parter står det sedan juli 2020 klart att även kommissionens beslut om Privacy Shield, den grund som efterträdde Safe Harbor, är ogiltigt.⁴ Det innebär att det numera är otillåtet att med Safe Harbor eller Privacy Shield som grund överföra personuppgifter till mottagare i USA.⁵

Domarna, som kommit att kallas Schrems I och II, har väckt många frågor om förutsättningarna för överföring av personuppgifter från EU till USA. Exempelvis är det inte alldeles klart om och i så fall hur USA skulle kunna uppnå den adekvata skyddsnivå som krävs enligt dataskyddsförordningens artikel 45 efter att både Safe Harbor och Privacy Shield

2Kuchler,Financial Times, 5 april 2018 (2 december 2020), https://www.ft.com/content/86d1ce50-3799- 11e8-8eee-e06bde01c544.

3 Se domstolens dom av den 6 oktober 2015, Maximilian Schrems mot Data Protection Commissioner, C- 362/14, ECLI:EU:C:2015:650 (hädanefter Schrems I). Safe Harbor-principerna var dataskyddsregler som gällde i USA vid överföring av EU-medborgares personuppgifter dit, se avsnitt 2.2.

4 Se domstolens dom av den 16 juli 2020, Data Protection Commissioner mot Facebook Ireland Ltd. och Maximilian Schrems, C-311/18, ECLI:EU:C:2020:559 (hädanefter Schrems II).

5Datainspektionen, Så här påverkar Schrems II-domen överföringar till tredje land, 16 november 2020 (2 december 2020), https://www.datainspektionen.se/lagar--

regler/dataskyddsforordningen/tredjelandsoverforing/sa-har-paverkar-schrems-ii-domen-overforingar-till- tredje-land/. Här bör det även noteras att Datainspektionen den 1 januari 2021 byter namn till

Integritetsskyddsmyndigheten. I denna uppsats används dock namnet Datainspektionen eftersom den i stor utsträckning skrevs innan namnbytet.

(14)

2

ogiltigförklarats. Det är vidare osäkert i vilken utsträckning standardavtalsklausuler enligt artikel 46 i förordningen, en annan grund för överföring till tredjeland, påverkas av domen i Schrems II-målet. Dessutom kan ytterligare en grund för överföring, nämligen bindande företagsbestämmelser enligt förordningens artikel 47, komma att påverkas av domen.⁶ Det finns därmed ett stort behov av klargöranden kring rättsläget rörande artiklarna 45–47, och sådana klargöranden är av intresse ur såväl ett teoretiskt som ett praktiskt perspektiv.

1.2 Syfte och frågeställningar

Mot bakgrund av de förändringar som skett på dataskyddsområdet det senaste året är syftet med detta arbete att utreda och analysera under vilka förutsättningar personuppgifter kan överföras från EU till USA sedan EU-domstolens domar i målen Schrems I och II. Uppsatsen tar därmed avstamp i dataskyddsförordningens regler, men berör i huvudsak EU-domstolens tolkning av reglerna i de aktuella målen. Uppsatsen syftar främst till att klargöra gällande rätt på dataskyddsområdet, men i vissa delar problematiseras och kritiseras även rättsläget.

De frågeställningar som ska besvaras i detta arbete är som följer:

1. Med utgångspunkt i EU-domstolens ställningstaganden i Schrems I och II, vad innebär kravet på adekvat skyddsnivå i artikel 45? Finns det några tänkbara problem med domstolens tolkning av kravet, och vilka är de i så fall?

2. Med utgångspunkt i EU-domstolens ställningstaganden i Schrems II, vilka krav ställs på standardavtalsklausuler enligt artikel 46? Vilka ytterligare skyddsåtgärder kan behöva vidtas för att de kraven ska uppfyllas?

3. Hur påverkar eller kan EU-domstolens dom i Schrems II påverka de krav som ställs på bindande företagsbestämmelser enligt artikel 47?

1.3 Avgränsningar

Det framgår redan av syftet och frågeställningarna som beskrivits i avsnitt 1.2 att vissa aspekter av ämnet överföringar av personuppgifter till tredjeland inte berörs inom ramen för den här uppsatsen. I detta avsnitt ska dock vissa ytterligare förtydliganden göras.

6 Datainspektionen, Så här påverkar Schrems II-domen överföringar till tredje land, 16 november 2020 (3 december 2020), https://www.datainspektionen.se/lagar--

regler/dataskyddsforordningen/tredjelandsoverforing/sa-har-paverkar-schrems-ii-domen-overforingar-till- tredje-land/,.

(15)

3

Inledningsvis bör det noteras att amerikansk rätt inte utreds närmare. Uppsatsen har visserligen till syfte att klargöra under vilka förutsättningar personuppgifter kan överföras från EU till USA, men med utgångspunkt i dataskyddsförordningen. Amerikansk rätt behandlas enbart i den mån det är nödvändigt för att förstå domstolens resonemang i Schrems I och II.

Eftersom uppsatsen ämnar besvara frågor som rör överföringar till tredjeland berörs inte överföringar till internationella organisationer enligt artikel 44–50 i dataskyddsförordningen.

Internationella organisationer definieras därför inte närmare. I kapitel 5 beskrivs vidare enbart under vilka förutsättningar överföringar kan ske till tredjeland, trots att de reglerna i och för sig är tillämpliga även på överföringar till internationella organisationer.

Med hänsyn till att uppsatsen behandlar frågor kopplade till beslut om adekvat skyddsnivå enligt artikel 45, standardavtalsklausuler enligt artikel 46 och bindande företagsbestämmelser enligt artikel 47 i dataskyddsförordningen redogörs inte för artiklarna 48–50, som finns i samma kapitel i dataskyddsförordningen. En sådan redogörelse är inte nödvändig för att förstå artiklarna 45–47 eller för att besvara frågeställningarna. Det följer även av frågeställningarna att uppförandekoder och certifieringsmekanismer som grund för överföring inte behandlas i vidare mån än att de omnämns i kapitel 3 och 5.

En redogörelse för EU-rättens rättighetsskydd behövs i viss utsträckning för att förstå vilken skyddsnivå enskilda måste tillförsäkras när deras personuppgifter överförs till och behandlas i tredjeland. Vid en överföring av personuppgifter måste också tredjelandet uppfylla en skyddsnivå som är väsentligen likvärdig den som gäller enligt förordningen.⁷ För att förstå hur EU-domstolen bedömde skyddsnivån för registrerade enligt amerikansk rätt i Schrems I och II och hur den skyddsnivån stod sig i relation till förordningen måste läsaren därför få viss inblick i EU:s rättighetsstadga. I denna del inriktas uppsatsen på artiklarna 7, 8, 47 och 52 i stadgan, eftersom det var de reglerna som tillämpades i Schrems I och II. Uppsatsen innehåller däremot inte någon redogörelse för rättigheterna som tillförsäkras enskilda i förordningens artiklar 12–

22, eftersom det inte är nödvändigt för att besvara de frågor som ställts upp i avsnitt 1.2. De lagliga grunderna för personuppgiftsbehandling i artikel 6 berörs inte heller närmare.

Det finns även ett rättighetsskydd för personuppgifter som följer av EKMR och RF. De grundläggande rättigheter som regleras i EKMR ingår i EU-rätten som allmänna principer fram

7 Schrems I, p. 73-74, och Schrems II, p. 94. Jfr. även domstolens yttrande av den 27 juli 2017, 1/15, ECLI:EU:C:2017:592 (hädanefter PNR-yttrandet), p. 214.

(16)

4

till dess att EU anslutit sig till konventionen.⁸ Stadgan bygger även på EKMR, och hänvisar till den.⁹ Insamling, lagring och utlämnande av information om en individ utgör ett ingrepp i rätten till respekt för privatlivet enligt artikel 8 i EKMR.¹⁰ I vissa fall har en kränkning av artikel 8 ansetts föreligga i sammanhang rörande personuppgifter på grund av att skyddsmekanismerna varit otillräckliga.¹¹ I andra situationer har så varit fallet på grund av att de åtgärder som vidtagits rörande uppgifterna inte ansetts nödvändiga.¹² Utöver det skydd som garanteras genom artikel 8 EKMR har Europarådet även antagit en konvention (nr 108) som rör skydd av personuppgifter specifikt. Både artikel 8 EKMR och konvention 108 har haft betydelse för rättsutvecklingen i Europadomstolen när det gäller skyddet av personuppgifter.¹³ I sin praxis har domstolen också uttryckligen konstaterat att det föreligger ett samband mellan artikel 8 i EKMR och konvention 108.¹⁴ Liksom EU:s rättighetsstadga kan därmed EKMR vara av intresse när det gäller att undersöka vilket rättighetsskydd som tillförsäkras de som enligt dataskyddsförordningen är att anse som registrerade. Den här uppsatsen har dock till syfte att undersöka förutsättningarna för överföring av personuppgifter enligt dataskyddsförordningen, och inte enligt EKMR. Eftersom Schrems I och II, som frågeställningarna inriktas på, inte behandlar det rättighetsskydd som EKMR tillhandahåller berörs det skyddet inte ytterligare i den fortsatta framställningen. Det rättighetsskydd som följer av RF berörs i korthet i avsnitt 3.2, men enbart i syfte att klargöra relationen mellan dataskyddsförordningen och den svenska grundlagen. Det materiella innehållet i det grundlagsenliga rättighetsskyddet på dataskyddsområdet behandlas därmed inte.

8 Se artikel 6.2 och 6.3 FEU.

9 Se artikel 52.3 och 53 i stadgan.

10 Harris m.fl., Harris, O’Boyle and Warbrick: Law of the European Convention on Human Rights, s. 538.

Detta förutsätter dock att åtgärderna kan tillskrivas en stat.

11 Se t.ex. MM mot Storbritannien, nr 24029/07, dom meddelad den 13 november 2012.

12 Se t.ex. Leander mot Sverige, nr 9248/81, dom meddelad den 26 mars 1987.

13 Kranenborg, The EU Charter of Fundamental Rights: A Commentary s. 228.

14 Z mot Finland, nr 22009/93, dom meddelad den 25 februari 1997.

(17)

5 1.4 Metod och material

1.4.1 Några metodologiska utgångspunkter rörande EU-rätten

EU har sina rötter i folkrätten, men är olik andra internationella organisationer. Den utgör en egen rättsordning, vilket EU-domstolen slog fast i målet Van Gend en Loos.¹⁵ Att EU-rätten är en självständig rättsordning får betydelse för hur dess rättskällor ska tolkas. Det finns dock inte en enda EU-rättslig metod, och andra metoder kan kombineras med den EU-rättsliga vid hanteringen av rättskällorna.¹⁶

Ett av EU:s särdrag i förhållande till andra internationella organisationer är att det genom EU:s fördrag har inrättats institutioner med kompetens att anta bindande rättsakter samt en domstolsorganisation som tilldelats exklusiv kompetens att tolka rättsakterna.¹⁷ Exakt vilken effekt rättsakterna ska ha i medlemsstaternas rättsordningar framgår dock inte av FEU. De principer som finns på området har utvecklats i EU-domstolens praxis. Domstolen har slagit fast att EU-rätten kan ha direkt effekt och att den då ska ha företräde framför medlemsstaters nationella regler vid en konflikt.¹⁸ Medlemsstaterna och deras högsta domstolar har i princip accepterat denna rättspraxis, vilket innebär att den kan sägas utgöra gällande rätt.¹⁹ De närmare gränserna för skyldigheten att åsidosätta nationell rätt vid en konflikt med EU-rätten är dock inte helt klarlagda, liksom frågan om vem som slutligen får avgöra hur långt EU-rättens företräde sträcker sig.²⁰

Dataskyddsförordningen, som reglerar de frågor som ska utredas närmare i den här uppsatsen, tillhör EU:s sekundärrätt. Därför ska några klargöranden göras här kring tolkningen av sekundärrättsliga akter. EU-domstolen anser att EU-rätten ska tolkas i ljuset av de syften rättsakten i fråga är tänkt att uppnå. Det är vanligtvis inte svårt att utröna den bakomliggande avsikten med en sekundärrättslig rättsakt, eftersom de tillhörande skälen förklarar och utvecklar avsikten.²¹ Det är däremot också tillåtet att ta hänsyn till objektiva skäl och den rättsliga

15 Domstolens dom av den 5 februari 1963, Van Gend en Loos mot Administratie der Belastingen, C-26/62, ECLI:EU:C:1963:1. Se även Reichel, Juridisk Metodlära, s. 109, och Hettne, Rättsprinciper som styrmedel:

Allmänna rättsprinciper i EU:s domstol, s. 41.

16 Reichel, s. 109.

17 Artikel 19 FEU. Se även Hettne, s. 41.

18 Förordningar, som exempelvis dataskyddsförordningen, har i princip högre dignitet än svensk grundlag eftersom Sverige i grundlag har förbundit sig att följa EU-rätten, se Zetterström, Juridiken och dess arbetssätt: En introduktion, s. 58.

19 Reichel, s. 111 f.

20 Reichel, s. 112. Se även prop. 2017/18:105 s. 27.

21 Riesenhuber, European Legal Methodology, s. 236 f.

(18)

6

systematiken i sin helhet vid tolkningen.²² Jag har haft den här typen av överväganden i åtanke vid tolkning och analys av de EU-rättsakter som aktualiseras inom ramen för den här uppsatsen, och har lagt stor vikt vid att läsa skälen till dataskyddsförordningen.

Eftersom två avgöranden från EU-domstolen agerar utgångspunkt för frågeställningarna som uppställts i avsnitt 1.2, och därmed avgör riktningen för uppsatsen, ska något även sägas här om tolkningen av EU-domstolens domar. Det finns inte någon enhetlig rättsfallstolkningslära för avgöranden från EU-domstolen, och det finns olika åsikter i doktrinen om hur tolkningen ska göras.²³ EU-domstolen har visserligen enligt artikel 267 FEUF möjlighet att meddela förhandsavgöranden som blir bindande för den nationella domstol som efterfrågat det, men i allmänhet antas det att domstolens prejudikat inte är formellt bindande. Domarna kan istället endast övertyga genom tyngden av de skäl som anförts till stöd för avgörandet.²⁴ Domstolen har dock en betydelsefull rättsbildande funktion när den formulerar eller tillämpar allmänna EU-rättsliga principer eller uttalar sig om tolkningen av EU-rättsliga regler.²⁵ Domstolens tolkning i en viss fråga kan betraktas som bindande och i sig utgöra tillräckligt skäl att tolka en bestämmelse på samma sätt i ett senare fall. Tendensen i både nationella domstolar och i EU- domstolen och tribunalen tycks vara att följa EU-domstolens prejudikat.²⁶ Tyngden hos ett prejudikat kan minska om andra avgöranden pekar i en annan riktning, medan den istället ökar om det finns flera avgöranden i samma riktning. En serie avgöranden som avgör en principfråga på samma sätt verkar betraktas som de facto bindande av domstolen i vissa fall.²⁷

1.4.2 Närmare överväganden kring metod och material

I den här uppsatsen kombineras EU-rättslig metod och rättsdogmatisk metod. Det finns ingen entydig definition av den rättsdogmatiska metoden, men den syftar i regel till att klargöra gällande rätt.²⁸ Vid fastställandet av gällande rätt används rättskälleläran som grund.²⁹ Det innebär att lagstiftning, förarbeten, praxis och doktrin används för att utreda hur rättsläget ser ut för närvarande. I det här arbetet är det däremot en EU-rättslig lagstiftningsakt som står i

22 Riesenhuber, s. 237.

23 Lehrberg, Praktisk juridisk metod, s. 199.

24 A. st. Detta brukar kallas persuasive authority eller valeur d’orientation.

25 Lehrberg, s. 200.

26 A. st.

27 A. st.

28 Kleineman, Juridisk Metodlära, s. 23 och 26, samt Sandgren, Är rättsdogmatiken dogmatisk?, TfR, vol.

118, 04-05/2005, s. 649.

29 Sandgren, s. 648 f.

(19)

7

centrum, eftersom det är i dataskyddsförordningen överföring av personuppgifter till tredjeland regleras. Därför frångås den klassiska rättsdogmatiska användningen av rättskällorna.

Rättskällor som exempelvis förarbeten och svensk praxis används endast som komplement till EU-rättsliga källor, för att klargöra den svenska synen på detta EU-rättsligt reglerade område.

De källor som främst används i uppsatsen är reglerna i dataskyddsförordningen samt skälen till förordningen och rättsfall från EU-domstolen. Material från EDPB, en EU-institution som främjar enhetlig tillämpning av dataskyddsregler, används också.³⁰ EDPB utfärdar rekommendationer och riktlinjer som är vägledande för tolkningen av dataskyddsförordningen och EU-domstolens domar på området. Fram till dataskyddsförordningen trädde i kraft den 25 maj 2018 var Artikel 29-gruppen det EU-organ som fungerade vägledande på dataskyddsområdet.³¹ Material som utfärdats av Artikel 29-gruppen används därför också när det gäller exempelvis begrepp och principer som har samma innebörd enligt dataskyddsförordningen som enligt det tidigare gällande dataskyddsdirektivet. Svensk och utländsk doktrin används för att tolka och klargöra dataskyddsförordningens innehåll, och för att bidra med förståelse till den rättsvetenskapliga debatt som ägt rum och som även fortsatt äger rum rörande Schrems I och II. När det gäller det material som används är det alltså främst den EU-rättsliga metoden som präglat de val jag gjort.

Den rättsdogmatiska metoden tillämpas som framgått ovan endast i begränsad utsträckning i fråga om materialval, men den har desto större betydelse när det gäller hur jag har närmat mig ämnet och riktningen för analysen i uppsatsen. Den rättsdogmatiska metoden kan användas för att framställa kritik mot rättsläget och föreslå förändringar, men slutsatsen måste inte nödvändigtvis bli att det finns brister i den undersökta regeln eller regelsystemet.³² Eftersom syftet med den här uppsatsen delvis är att klargöra gällande rätt på området (de lege lata) med ledning av Schrems I och II är den rättsdogmatiska metoden passande att tillämpa som utgångspunkt för en diskussion om målen och deras efterspel.³³ Något som utmärker metoden är nämligen sambandet mellan en konkret tillämpningssituation och en rättsregel.³⁴ Därmed kan den användas för att belysa diskrepansen mellan en regel och den praktiska verkligheten. Den

30 EDPB, About EDPB (21 december 2020), https://edpb.europa.eu/about-edpb/about-edpb_en.

31 EDPB, Article 29 Working Party (21 december 2020), https://edpb.europa.eu/our-work-tools/article-29- working-party_en.

32 Kleineman, s. 24, Lavin, Är den förvaltningsrättsliga forskningen rättsdogmatisk?, FT s. 125.

33 Se Hjertberg, Festskrift till Örjan Edström, s. 167.

34 Kleineman, s. 26.

(20)

8

rättsdogmatiska metoden kan däremot även användas för att diskutera huruvida gällande rätt tillhandahåller tillfredsställande lösningar på det aktuella rättsområdet (de lege ferenda). I den här uppsatsen använder jag den rättsdogmatiska metoden för att dels förtydliga gällande rätt, dels redogöra för i vilka avseenden gällande rätt innehåller brister eller oklarheter. Det tankesätt som ligger till grund för hur det valda materialet presenteras och diskuteras kan alltså sägas vara präglat av rättsdogmatiken.

Slutligen kan en kombination av EU-rättslig metod och rättsdogmatisk metod sägas ta sig uttryck i den valda dispositionen. Uppsatsen behandlar ett antal specifika rättsregler, som i dataskyddsförordningen kategoriserats i olika kapitel. Dessa kategoriseringar fungerar som utgångspunkt för uppsatsens struktur. I varje kapitel i detta arbete presenteras relevanta rättskällor som klargör innehållet i gällande rätt.³⁵ Först efter det framförs eventuella kritiska synpunkter. I vissa delar förespråkas en specifik lösning, efter analys av de tillgängliga alternativen. En sådan rekommendation innefattar visserligen värderingar, men eftersom rättskällorna ger viss riktning rörande vilken lösning som är mest lämplig kan godtycklighet undvikas. Diskussionen blir därmed relativt bunden i de delarna.³⁶

1.5 Disposition

Uppsatsens fortsatta disposition ser ut som följer. Inledningsvis introduceras Schrems I och II i kapitel 2. Där redogörs för såväl bakgrunden till målen som EU-domstolens bedömningar av frågorna i målen. I kapitel 3 klargörs de grundläggande regler och krav för behandling av personuppgifter som framgår av dataskyddsförordningen. En kartläggning av de rättsliga utgångspunkterna på området är nämligen av central betydelse för den efterföljande utredningen och analysen, och för läsarens förståelse av desamma. Den kartläggningen kan sägas fortsätta i kapitel 4, som är inriktat på stadgans rättighetsskydd. Kapitlet är tänkt att tydliggöra vilken nivå av rättighetsskydd ett tredjeland måste uppfylla för att en överföring av personuppgifter dit ska vara tillåten. I kapitel 5 redogörs för dataskyddsförordningens specifika regler kring överföring av personuppgifter till tredjeland. Den redogörelsen ligger till grund för kapitel 6 där jag återkommer till Schrems I och II i syfte att analysera målens rättsliga efterspel.

Det är främst i det kapitlet som de frågeställningar som uppställts ovan i avsnitt 1.2 besvaras.

35 Sandgren, s. 648 f.

36 Lavin, s. 125 f.

(21)

9

Avslutningsvis sammanfattar kapitel 7 vad som framkommit i uppsatsen och vilka slutsatser som dragits. I korthet berörs även framtidsutsikter på området.

(22)

10

2 Schrems I och II i korthet

2.1 Om detta kapitel

I detta kapitel introduceras EU-domstolens domar i Schrems I och II. Bakgrunden till målens uppkomst förklaras, och det klargörs vilka frågor domstolen hade att besvara i respektive mål.

Dessutom redogörs för EU-domstolens bedömningar i de båda målen. Med hänsyn till uppsatsens syfte och de frågeställningar som uppsatsen ämnar besvara behandlas Schrems I och II redan i detta kapitel, innan dataskyddsförordningens regler introduceras närmare. Tanken är att denna ordning ska möjliggöra för läsaren att bekanta sig med domarna och att läsa förordningens och stadgans regler i ljuset av Schrems I och II, samt att säkerställa att domarna genomsyrar uppsatsens innehåll från början till slut.

2.2 Schrems I 2.2.1 Bakgrund

Alla med hemvist inom EU måste i samband med att de registrerar sig på Facebook ingå ett avtal med Facebook Ireland, ett dotterbolag till Facebook Inc., som har sitt säte i USA.

Personuppgifter om Facebook-användare med hemvist inom EU överförs helt eller delvis till servrar tillhörande Facebook Inc., som har sitt säte i USA, där uppgifterna också behandlas.³⁷

Maximilian Schrems gjorde den 25 juni 2013 en anmälan till den irländska tillsynsmyndigheten, eftersom han ansåg att Facebook Ireland borde förbjudas att överföra personuppgifter till USA. Han gjorde i sin anmälan gällande att amerikansk rätt inte garanterade ett tillräckligt skydd för personuppgifter som lagras i USA mot övervakningsverksamhet från amerikanska myndigheters sida. Schrems hänvisade i den delen till Edward Snowdens avslöjanden om framför allt NSA:s verksamhet.³⁸ Den nationella tillsynsmyndigheten ansåg sig inte skyldig att utreda dessa omständigheter och avslog därför Schrems anmälan. Den menade även att det inte fanns någon bevisning till stöd för att NSA faktiskt hade fått åtkomst till Schrems uppgifter.³⁹

37 Schrems I, p. 27.

(23)

11 2.2.2 EU-domstolens bedömning

Frågan i målet rörde ett kommissionsbeslut om adekvat skyddsnivå enligt artikel 25 i det då gällande dataskyddsdirektivet. Domstolen hade att svara på om ett sådant beslut utgjorde hinder för en medlemsstats tillsynsmyndighet att utreda en persons begäran om skydd för sina fri- och rättigheter med avseende på behandling av personuppgifter som överförts till tredjeland.⁴⁰

Domstolen uttalade att medlemsstater och deras organ inte får vidta åtgärder som strider mot ett beslut om adekvat skyddsnivå, så länge beslutet inte har ogiltigförklarats.⁴¹ Det finns dock inte något hinder mot att personer vars personuppgifter överförts till tredjeland vänder sig till nationella tillsynsmyndigheter med en begäran om skydd för sina fri- och rättigheter i fråga om personuppgiftsbehandling i en sådan situation.⁴² Domstolen ansåg därmed att det, även när ett kommissionsbeslut finns, måste vara möjligt för en tillsynsmyndighet att genomföra en utredning av huruvida överföringen skett i enlighet med direktivets krav.⁴³

Domstolen övergick sedan till att pröva om artikel 1 i det beslut om adekvat skyddsnivå som kommissionen hade fattat avseende USA, det s.k. Safe Harbor-beslutet, kunde anses tillförsäkra en adekvat skyddsnivå enligt artikel 25 i dataskyddsdirektivet och därmed var giltig.⁴⁴ Artikel 1 innehöll en lista över dokument som utfärdats av det amerikanska handelsministeriet och villkor som uppställts genom överenskommelse mellan kommissionen och USA. För att Safe Harbor- certifierade verksamheter skulle anses tillförsäkra en adekvat skyddsnivå behövde de agera i enlighet med dessa dokument och uppfylla dessa villkor.⁴⁵ Inledningsvis konstaterade domstolen att det inte kan krävas att ett tredjeland säkerställer en skyddsnivå som är identisk med den som garanteras enligt EU-rätten. Istället ska adekvat skyddsnivå förstås så att det krävs att tredjelandet genom sin rättsordning de facto säkerställer en skyddsnivå för grundläggande fri- och rättigheter som är väsentligen likvärdig den skyddsnivå som garanteras enligt EU- rätten.⁴⁶

Efter dessa inledande anmärkningar gjorde domstolen en bedömning av Safe Harbor- principerna, som hade godkänts genom kommissionsbeslutet. Amerikanska företags anslutning

44 Kommissionens beslut 2000/520 av den 26 juli 2000 enligt Europaparlamentets och rådets direktiv 95/46/EG om huruvida ett adekvat skydd säkerställs genom de principer om integritetsskydd (Safe Harbor Privacy Principles) i kombination med frågor och svar som Förenta staternas handelsministerium utfärdat.

45 Se Schrems I, p. 7 för artikelns ordalydelse.

46 Schrems I, p. 73–74, jfr. PNR-yttrandet, p. 214.

(24)

12

till Safe Harbor skedde genom självcertifiering. Enligt domstolen stred inte det i sig mot direktivets krav, men den konstaterade samtidigt att ett sådant systems tillförlitlighet bygger på att det finns effektiva spårnings- och kontrollmekanismer som gör det möjligt att upptäcka och beivra eventuella överträdelser.⁴⁷ Domstolen framhöll även att Safe Harbor-principerna inte var tillämpliga på amerikanska myndigheter. Det fanns därmed inte tillräckliga ställningstaganden kring vilka åtgärder amerikanska myndigheter vidtog för att säkerställa en adekvat skyddsnivå.⁴⁸ Kommissionens beslut angav överhuvudtaget inte om det fanns något effektivt rättsligt skydd mot ingrepp från amerikanska statliga organs sida.⁴⁹ Vidare kunde Safe Harbor- principernas tillämplighet begränsas till exempelvis vad som är nödvändigt för att uppfylla krav i fråga om nationell säkerhet, allmänintresset och rättsefterlevnaden.⁵⁰ Det innebar att principerna skulle frångås utan inskränkningar när de stod i konflikt med sådana krav.⁵¹

Vid bedömningen av Safe Harbor-beslutet beaktade domstolen artiklarna 7 och 8 i EU:s rättighetsstadga. Domstolen menade att lagstiftning som innebär ett ingrepp i dessa grundläggande rättigheter måste föreskriva tydliga och precisa bestämmelser som reglerar räckvidden och tillämpligheten av lagstiftningen i fråga. Sådan lagstiftning måste även slå fast minimikrav så att de personer vars uppgifter berörs har garantier som möjliggör ett effektivt skydd av uppgifterna.⁵² Undantag från och begränsningar av skyddet för personuppgifter ska därmed inskränkas till vad som är strängt nödvändigt.⁵³ Domstolen ansåg att en lagstiftning inte kan anses begränsad till vad som är strängt nödvändigt när den generellt tillåter lagring av samtliga personuppgifter om alla personer vars uppgifter överförs från EU till USA. Det gäller åtminstone vid sådan lagring när den sker utan åtskillnad, begränsning eller undantag och utan att det finns något objektivt kriterium som gör det möjligt att avgränsa myndigheters åtkomst till uppgifterna och användning av dem.⁵⁴ Domstolen slog fast att en lagstiftning som tillåter myndigheter generell åtkomst till innehållet i elektroniska kommunikationer måste anses kränka det väsentliga innehållet i artikel 7 i stadgan.⁵⁵ Den menade även att en lagstiftning där

47 Schrems I, p. 80-81.

48 Schrems I, p. 82-83 samt 88.

49 Schrems I, p. 88-89.

(25)

13

det inte föreskrivs någon möjlighet för enskilda att använda rättsmedel för att få tillgång till, rätta eller radera uppgifter om dem inte respekterar det väsentliga innehållet i artikel 47 i stadgan.⁵⁶

Domstolen noterade vidare att kommissionen överhuvudtaget inte hade angett att USA de facto säkerställde en adekvat skyddsnivå i Safe Harbor-beslutet. Artikel 1 i beslutet förklarades därmed ogiltig av domstolen, utan att innehållet i Safe Harbor-principerna prövades.⁵⁷ Även artikel 3 i beslutet, som uteslöt möjligheten för nationella tillsynsmyndigheter att vidta åtgärder för att säkerställa efterlevnaden av artikel 25 i dataskyddsdirektivet, förklarades ogiltig.⁵⁸ Eftersom det inte ansågs möjligt att skilja artikel 1 och 3 från artiklarna 2 och 4 eller bilagorna till beslutet, förklarades Safe Harbor-beslutet ogiltigt i sin helhet.⁵⁹

2.3 Schrems II 2.3.1 Bakgrund

Med anledning av domen i Schrems I upphävde den hänskjutande nationella domstolen den irländska tillsynsmyndighetens beslut att avslå Schrems ursprungliga klagomål. Klagomålet återförvisades därmed till tillsynsmyndigheten för ny prövning. Inom ramen för myndighetens nya utredning av ärendet förklarade Facebook Ireland att en stor del av de aktuella personuppgifterna hade överförts till Facebook Inc. med ett kommissionsbeslut om standardavtalsklausuler som grund. Myndigheten uppmanade till följd av detta Schrems att omformulera sitt klagomål.⁶⁰

Något annat som skedde i kölvattnet av Schrems I var att Safe Harbor-beslutet ersattes av ett nytt beslut om adekvat skyddsnivå rörande USA. En ny grund för överföring, Privacy Shield, utarbetades mellan EU och USA med beaktande av EU-domstolens synpunkter på Safe Harbor och kommissionen fattade sedan ett beslut om adekvat skyddsnivå.

I ett nytt klagomål gjorde Schrems gällande att Facebook Inc. enligt amerikansk rätt är skyldigt att ställa överförda personuppgifter till amerikanska myndigheters förfogande.

Eftersom dessa uppgifter används inom ramen för olika övervakningsprogram av bland andra NSA på ett sätt som är oförenligt med artiklarna 7, 8 och 47 i stadgan kunde beslutet om

57 Schrems I, p. 97-98.

58 Schrems I, p. 101-104.

60 Schrems II, p. 54.

(26)

14

standardavtalsklausuler och Privacy Shield-beslutet enligt Schrems mening inte ligga till grund för överföring till USA. Han begärde därför att tillsynsmyndigheten skulle förbjuda eller avbryta överföringen av hans personuppgifter till Facebook Inc.⁶¹

I ett utkast till beslut fann tillsynsmyndigheten att EU-medborgares personuppgifter som överförts till USA riskerade att utnyttjas och behandlas av amerikanska myndigheter på ett sätt som strider mot artiklarna 7 och 8 i stadgan. Amerikansk rätt erbjuder, enligt utkastet, inte heller EU-medborgare rättsmedel av det slag som föreskrivs i artikel 47 i stadgan.⁶² De standardavtalsklausuler som hade beslutats kunde enligt tillsynsmyndigheten inte avhjälpa den bristen, eftersom de inte var bindande för amerikanska myndigheter.⁶³ Den nationella myndigheten ansåg att Schrems klagomål gav upphov till en fråga om giltigheten av beslutet om standardavtalsklausuler och vände sig därför till nationell domstol.⁶⁴ Den vände sig i sin tur till EU-domstolen med en begäran om förhandsavgörande. I sin begäran lade den nationella domstolen fram domen där resultatet av bevisprövningen från det nationella förfarandet redovisades.⁶⁵

Av bevisningen i det nationella målet framgick följande. De amerikanska myndigheternas underrättelseverksamhet grundar sig bland annat på section 702 FISA och på E.O 12333, när det gäller personuppgifter som överförts till USA.⁶⁶ Section 702 FISA gör det möjligt för den amerikanska riksåklagaren och direktören för den nationella underrättelsetjänsten att gemensamt ge tillstånd till övervakning av icke-amerikanska medborgare utanför USA i syfte att inhämta uppgifter från utländsk underrättelseinformation. Regeln i FISA utgör bland annat grund för övervakningsprogrammen Prism och Upstream. Inom ramen för Prism är leverantörer av internettjänster skyldiga att tillhandahålla NSA all kommunikation som skickats och mottagits av en s.k. väljare. En del av dessa meddelanden överförs även till FBI och CIA.⁶⁷ Upstream innebär att de telekommunikationsföretag som driver internets ”stamnät” är skyldiga att låta NSA kopiera och filtrera trafikflödena på internet. Detta görs i syfte att samla in kommunikation som skickas eller mottas av eller rör en icke-amerikansk medborgare som uppmärksammats av en väljare. NSA har inom ramen för programmet åtkomst till både

(27)

15

metadata och innehållet i kommunikationer.⁶⁸ E.O 12333 gör det möjligt för NSA att få åtkomst till uppgifter som befinner sig i transit på väg till USA genom undervattenskablar på Atlantens botten. På det sättet kan NSA samla in och lagra uppgifter innan de anländer till USA, där de omfattas av reglerna i FISA. Verksamhet som grundar sig på E.O 12333 regleras inte i lag.⁶⁹ Icke-amerikaner omfattas dock av PPD 28, vilket innebär att underrättelseverksamheten ska vara så riktad som möjligt.⁷⁰

Den nationella domstolen ansåg att USA behandlar massuppgifter utan att säkerställa ett skydd som är väsentligen likvärdigt det som garanteras genom artiklarna 7 och 8 i stadgan.⁷¹ Vidare har icke-amerikanska medborgare inte tillgång till samma rättsmedel som amerikanska medborgare mot amerikanska myndigheters behandling av personuppgifter. Det beror på att det fjärde tillägget till den amerikanska konstitutionen, som utgör det starkaste skyddet mot olaglig överföring inom amerikansk rätt, inte är tillämpligt på personer som inte är amerikanska medborgare.⁷² De rättsmedel som återstår omgärdas av betydande hinder, framför allt på grund av svårigheter att styrka talerätt. NSA:s verksamhet som utförs med stöd av E.O 12333 omfattas inte heller av domstolarnas tillsyn och kan inte bli föremål för rättsmedel vid domstol.⁷³ Ombudsmannen som inrättats för Privacy Shield-mekanismen, som ersatte Safe Harbor, ansåg den nationella domstolen inte kunde jämföras med en domstol i den mening som avses i artikel 47 i stadgan. Den nationella domstolen menade därför att amerikansk rätt inte heller säkerställer en väsentligen likvärdig skyddsnivå enligt artikel 47 i stadgan.⁷⁴

Parterna var i det nationella målet oense om bland annat huruvida EU-rätten skulle anses tillämplig på överföringar till tredjeland av personuppgifter som myndigheter i det landet kan komma att behandla med hänsyn till exempelvis nationell säkerhet. Det var även stridigt vilka faktorer som ska beaktas vid bedömningen av om ett tredjeland säkerställer en adekvat skyddsnivå.⁷⁵ Facebook Ireland gjorde dessutom gällande att kommissionens beslut om att

(28)

16

Privacy Shield ansågs säkerställa en adekvat skyddsnivå skulle uppfattas som bindande för tillsynsmyndigheterna.⁷⁶

2.3.2 EU-domstolens bedömning

EU-domstolen konstaterade inledningsvis att frågorna i målet skulle besvaras mot bakgrund av dataskyddsförordningen, trots att de hänförde sig till dataskyddsdirektivet. Den bedömningen gjordes mot bakgrund av att den nationella tillsynsmyndigheten ännu inte hade fattat ett slutgiltigt beslut i Schrems ärende när direktivet upphävdes och ersattes av förordningen.⁷⁷

Den första tolkningsfrågan domstolen hade att ta ställning till var om överföringen i målet omfattades av dataskyddsförordningens materiella tillämpningsområde. Domstolen menade att överföringen av personuppgifter från en medlemsstat till ett tredjeland i sig utgör en behandling av personuppgifter.⁷⁸ Att uppgifterna under eller efter överföringen kunde komma att behandlas av myndigheter i tredjelandet för ändamål som allmän säkerhet, försvar och nationell säkerhet förändrade inte den bedömningen.⁷⁹

Domstolen besvarade sedan frågan om vilken skyddsnivå som krävs enligt artikel 46.1 och 46.2 c) vid överföring av personuppgifter till ett tredjeland med stöd av standardavtalsklausuler som antagits av kommissionen. Den tog även ställning till vilka omständigheter som ska beaktas vid bedömningen av huruvida skyddsnivån säkerställs vid en sådan överföring. I denna del menade domstolen att tredjelandet måste säkerställa en adekvat skyddsnivå. Det innebär att tredjelandet de facto ska säkerställa en nivå av skydd för grundläggande fri- och rättigheter som är väsentligen likvärdig den skyddsnivå som gäller enligt EU-rätten.⁸⁰ Omständigheter som ska beaktas vid bedömningen av skyddsnivån är till exempel de avtalsvillkor som överenskommits mellan den part som är etablerad i EU och mottagaren i tredjelandet, samt hur gällande rätt i tredjelandet ser ut.⁸¹

Efter detta bedömde domstolen om en nationell tillsynsmyndighet är skyldig att avbryta eller förbjuda en överföring av personuppgifter till ett tredjeland när den anser att klausulerna som ligger till grund för överföringen inte iakttas eller inte kan iakttas i tredjeland samt att det skydd som krävs enligt EU-rätten inte kan säkerställas. Domstolen menade att en tillsynsmyndighet

77 Schrems II, p. 77 och 79.

(29)

17

som nått slutsatsen att en registrerad vars personuppgifter har överförts inte åtnjuter en adekvat skyddsnivå är skyldig att reagera för att avhjälpa den bristen.⁸² Tillsynsmyndigheten måste därmed avbryta eller förbjuda en överföring av personuppgifter till ett tredjeland om den anser att standardavtalsklausuler inte iakttas eller inte kan iakttas i det landet. Detsamma gäller om myndigheten anser att det skydd för personuppgifter som krävs enligt EU-rätten inte kan säkerställas med andra medel.⁸³ Domstolen framhöll dock även att så länge ett beslut om adekvat skyddsnivå inte har ogiltigförklarats av domstolen kan inte medlemsstaterna eller deras organ vidta åtgärder som strider mot beslutet.⁸⁴ Däremot kan ett sådant beslut inte hindra personer vars personuppgifter har överförts eller kan komma att överföras till ett tredjeland från att vända sig till den nationella tillsynsmyndigheten med klagomål.⁸⁵ I en sådan situation ska tillsynsmyndigheten kunna göra en fullständig och oberoende prövning av huruvida överföringen uppfyller de krav som ställs i förordningen.⁸⁶

Domstolen gick sedan vidare till att besvara frågan om huruvida beslutet om standardavtalsklausuler i det här fallet var giltigt mot bakgrund av artiklarna 7, 8 och 47 i stadgan. Inledningsvis menade domstolen att det av beslutet framgick att standardavtalsklausulerna skulle anses ge tillräckliga garantier för skydd av den personliga integriteten och grundläggande fri- och rättigheter.⁸⁷ Standardavtalsklausuler är dock bara bindande för den part som är etablerad i EU och mottagaren i tredjeland. Klausulerna kan inte binda myndigheter i tredjeland eftersom de inte är parter i avtalet.⁸⁸ Vidare uttalade domstolen att det finns situationer då klausulerna inte är tillräckliga för att säkerställa ett effektivt skydd av personuppgifterna som överförs, exempelvis när lagstiftning i tredjelandet tillåter att myndigheterna där gör ingrepp i de registrerades rättigheter rörande uppgifterna.⁸⁹ För att den skyddsnivå för fysiska personer som säkerställs genom förordningen inte ska undergrävas kan det därför vara nödvändigt att komplettera skyddsåtgärderna i standardavtalsklausulerna med ytterligare skyddsåtgärder.⁹⁰ Vidare ansåg domstolen att giltigheten i ett beslut om

90 Schrems II, p. 132 samt p. 134.

(30)

18

standardavtalsklausuler ytterst är beroende av om beslutet innehåller effektiva mekanismer som i praktiken gör det möjligt att säkerställa att skyddsnivån som krävs enligt EU-rätten iakttas.⁹¹ Den personuppgiftsansvarige som är etablerad i EU och mottagaren av överföringen måste i förväg kontrollera att den skyddsnivån iakttas i tredjelandet. Mottagaren är skyldig att informera den personuppgiftsansvarige om det inte är möjligt för denne att iaktta klausulerna.

Den personuppgiftsansvarige måste då avbryta överföringen av uppgifter eller häva avtalet.⁹² Avslutningsvis menade domstolen att beslutet om standardavtalsklausuler i det här fallet innehöll effektiva mekanismer som i praktiken gjorde det möjligt att säkerställa att överföringen av personuppgifter till ett tredjeland skulle avbrytas eller förbjudas om mottagaren inte iakttog klausulerna.⁹³ Det hade därmed inte framkommit någon omständighet som påverkade giltigheten av beslutet om standardavtalsklausuler i det här fallet.⁹⁴

Slutligen besvarade domstolen frågan om huruvida överföringen av personuppgifter till USA med stöd av kommissionens beslut om Privacy Shield stred mot artiklarna 7, 8 och 47 i stadgan.

Beslutet om Privacy Shield var, liksom beslutet om Safe Harbor-principerna, ett kommissionsbeslut om att USA uppfyllde kravet på adekvat skyddsnivå enligt artikel 45 i dataskyddsförordningen. Privacy Shield-beslutet ersatte beslutet om Safe Harbor-principerna sedan det sistnämnda ogiltigförklarats av domstolen i Schrems I.

Domstolen anmärkte i denna del inledningsvis på att det i kommissionens beslut om Privacy Shield angavs att efterlevnaden av principerna i beslutets bilaga kunde begränsas med hänsyn till krav i fråga om nationell säkerhet, allmänintresset och rättsefterlevnaden. De kraven hade därmed företräde framför Privacy Shield-principerna.⁹⁵ Den skrivningen var av generell karaktär och möjliggjorde därför ingrepp i grundläggande rättigheter för personer vars uppgifter överförs eller kunde komma att överföras från EU till USA. Ingrepp kunde enligt domstolen särskilt följa av åtkomsten till personuppgifterna och av amerikanska myndigheters användning av uppgifterna inom ramen för Prism och Upstream.⁹⁶ Domstolen menade vidare att ett utlämnande av personuppgifter till en tredje part i sig utgör ett ingrepp i de grundläggande rättigheterna i artikel 7 och 8, oavsett hur uppgifterna senare används.⁹⁷

(31)

19

Efter dessa konstateranden gjorde domstolen en närmare bedömning av de amerikanska rättsakter som låg till grund för övervakningsprogrammen. Domstolen ansåg att det av section 702 FISA inte går att utläsa några begränsningar av behörigheten att genomföra övervakningsprogram för att inhämta utländska underrättelseuppgifter. Det framgår inte heller att det finns några garantier för icke-amerikaner som eventuellt omfattas av dessa program. Den regeln kunde därmed inte anses säkerställa en skyddsnivå som är väsentligen likvärdig den som garanteras i stadgan.⁹⁸ Inte heller PPD 28 ger, enligt domstolen, registrerade personer bindande rättigheter som kan göras gällande mot amerikanska myndigheter. Den rättsakten kunde därför inte heller anses säkerställa en skyddsnivå som är väsentligen likvärdig den som följer av stadgan.⁹⁹ Dessutom möjliggör PPD 28 åtkomst till uppgifter som befinner sig i transit till USA utan att åtkomsten är underkastad någon form av domstolskontroll. Möjligheten till sådan insamling fastställs enligt domstolen inte på ett tillräckligt tydligt och precist sätt i rättsakten.¹⁰⁰ E.O 12333 ansågs inte heller ge rättigheter som kan göras gällande mot amerikanska myndigheter vid domstol.¹⁰¹ Vid en sammantagen bedömning av dessa rättsakter ansåg domstolen att de inte är begränsade till vad som är strikt nödvändigt, och att de därför inte uppfyller grundläggande krav på proportionalitet.¹⁰² Det medförde att begränsningarna av skyddet för personuppgifter i Privacy Shield inte var reglerade på ett sådant sätt att de uppfyllde krav som är väsentligen likvärdiga de krav som gäller enligt EU-rätten.¹⁰³

Efter dessa överväganden rörande artikel 7 och 8 i stadgan övergick domstolen till att bedöma de amerikanska rättsakterna i relation till artikel 47 i stadgan. Gällande E.O 12333 påpekade domstolen att den helt saknar rättsmedel, och att ett så bristande domstolsskydd innebär att USA:s lagstiftning inte säkerställer en skyddsnivå som är väsentligen likvärdig den som garanteras genom stadgan.¹⁰⁴ Domstolen betonade vidare att det varken i PPD 28 eller E.O 12333 finns rättigheter som registrerade kan göra gällande mot amerikanska myndigheter i domstol. Följaktligen har inte dessa personer någon rätt till ett effektivt rättsmedel.¹⁰⁵

103 Schrems II, p. 185. Se artikel 52.1 andra meningen i stadgan.

(32)

20

Domstolen bedömde i denna del även om inrättandet av en ombudsman genom Privacy Shield- beslutet var förenligt med artikel 47. Enligt beslutet utses ombudsmannen av och rapporterar direkt till utrikesministern. Ombudsmannen utgör vidare en integrerad del av USA:s utrikesdepartement, och det finns inget i beslutet som tyder på att återkallat förordnande eller en ogiltigförklaring av tillsättningen skulle omfattas av särskilda garantier. Enligt domstolen innebar detta en risk för att oavhängigheten i relation till den verkställande makten äventyras.¹⁰⁶ Det fanns vidare ingen uppgift i Privacy Shield-beslutet om att ombudsmannen skulle vara behörig att fatta bindande beslut i förhållande till underrättelsetjänsterna. Beslutet innehöll inte heller någon hänvisning till rättsliga garantier som registrerade skulle kunna göra gällande i relation till underrättelsetjänsterna för att se till att de åtgärdar överträdelser.¹⁰⁷ Sammantaget ansågs ombudsmannafunktionen inte tillhandahålla något rättsmedel som kan användas inför ett organ som ger personer vars uppgifter överförs till USA garantier som är väsentligen likvärdiga de garantier som krävs enligt artikel 47 i stadgan.¹⁰⁸ Därmed hade kommissionen genom sitt beslut åsidosatt de krav som följer av artikel 45.1 dataskyddsförordningen jämförd med artiklarna 7, 8 och 47 i stadgan, när den i artikel 1.1 i beslutet om Privacy Shield konstaterade att USA säkerställer en adekvat skyddsnivå.¹⁰⁹ Eftersom artikel 1 i beslutet stred mot dessa artiklar var den ogiltig, och på grund av att den enligt domstolen inte kunde skiljas från artiklarna 2-6 och bilagorna ansågs Privacy Shield-beslutet ogiltigt i sin helhet.¹¹⁰

2.4 Sammanfattning

I detta kapitel har EU-domstolens domar i Schrems I och II introducerats. Schrems I och II har haft och har även fortsättningsvis stor betydelse för möjligheterna att överföra personuppgifter från EU till USA. I Schrems I ogiltigförklarades kommissionens beslut om adekvat skyddsnivå rörande Safe Harbor, och i Schrems II ett motsvarande beslut rörande den efterföljande mekanismen Privacy Shield. Domarna har därmed medfört en osäkerhet kring om en ny mekanism återigen kommer att utformas från amerikansk sida, och hur den i så fall kan uppfylla de krav som ställs för att ett tredjeland ska kunna anses ha en adekvat skyddsnivå. I Schrems II prövades även ett beslut om standardavtalsklausuler. Trots att klausulerna inte

110 Schrems II, p. 199-201.

(33)

21

ogiltigförklarades av domstolen i Schrems II har domen lett till frågor kring huruvida även standardavtalsklausuler nu svävar i fara och riskerar att inte uppfylla de EU-rättsliga krav som ställs på tredjeländers dataskydd.

I syfte att främja en djupare förståelse för Schrems I och II ska det i de följande kapitlen klargöras vilka krav den EU-rättsliga dataskyddsregleringen ställer på personuppgiftsbehandling i den här typen av situationer. I kapitel 3 redogörs därför för vissa centrala regler i dataskyddsförordningen rörande exempelvis tillämpningsområdet och vilka principer som gäller vid personuppgiftsbehandling. I kapitel 4 behandlas de relevanta artiklarna i stadgan, och i kapitel 5 undersöks dataskyddsförordningens regler för överföring av personuppgifter till tredjeland. Därigenom blir det möjligt att analysera konsekvenserna av domarna i Schrems I och II närmare i kapitel 6.