Den 16 juli kom EU-domstolens kanske mest betydelsefulla avgörande i år. Domen handlar om en central fråga för internationell handel och en av de mer invecklade frågorna under GDPR, nämligen regelverket kring hur personuppgifter om EU-medborgare får föras ut från EU till s.k. tredjeländer.
EU-domstolen ogiltigförklarar Privacy Shield-samarbetet mellan EU och USA och kastar samtidigt en skugga över möjligheten att använda standardavtalsklausuler för att legitimera överföringar av personuppgifter.
Dessa två mekanismer har, tills nu, använts för den stora merparten av alla överföringar av personuppgifter till USA. Efter detta senaste avgörande, blir det ens möjligt att lagligen överföra personuppgifter till USA?
Under GDPR:s föregångare, Dataskyddsdirektivet, överenskom EU-kommissionen och USA:s regering om en lösning för transatlantiska överföringar av personuppgifter som alltså kallades Privacy Shield. Mottagare av personuppgifter i USA kunde välja att certifiera sig mot en uppsättning regler; enkelt uttryckt kunde företag och andra organisationer frivilligt lova att hålla en standard som liknar den som råder i EU. De som var certifierade kunde lagligen motta personuppgifter från EU. En lista över de som var certifierade hölls tillgänglig och sökbar över internet, vilket underlättade internationell handel.
Samarbetet var inte helt okontroversiellt. Framförallt ansåg många att Privacy Shield inte gjorde tillräckligt för att begränsa amerikanska säkerhetstjänsters tillgång till data om EU-medborgare. EU-medborgares grundläggande rätt till skydd för privatlivet och sina personuppgifter äventyrades därför.
EU-domstolen har nu nått samma slutsats, dvs. att Privacy Shield inte omfattade tillräckliga skyddsmekanismer på den amerikanska sidan. EU-domstolen konstaterar också att s.k. standardavtalsklausuler, ett kontraktsbaserat alternativ till Privacy Shield som tecknas mellan överförare och mottagare av personuppgifter, inte kategoriskt kan avfärdas som ett alternativ.
EU-domstolen betonar att om standardavtalsklausuler ska användas för att legitimera överföringar så måste överföraren först bedöma det rättsliga läget i mottagarlandet och huruvida detta är tillräckligt gott för att de överförda personuppgifterna ska vara skyddade.
Är rättsläget i USA sådant att inte ens standardavtalsklausuler är tillräckliga för att skydda personuppgifter som överförs dit, utifrån GDPR? Om detta är åsikterna många, och de spretar brett, särskilt efter vad EU-domstolen beskriver om rättsläget i ogiltigförklarandet av Privacy Shield.
Bara en sak kan sägas kategoriskt. Varje personuppgiftsansvarig måste göra sin egen bedömning, utifrån sina egna överföringar och sina egna syften. Nu är det kanske värt att tänka efter en andra gång om det verkligen är nödvändigt att anlita en tjänst om det betyder att data förs över till USA.
_____