Europeiska dataskyddsstyrelsen – 41:a plenarsessionen: Europeiska dataskyddsstyrelsen antar rekommendationer om kompletterande åtgärder efter Schrems II

11 November 2020

Bryssel den 11 november — Europeiska dataskyddsstyrelsen antog vid sin 41:a plenarsession rekommendationer om åtgärder som kompletterar överföringsverktygen för att säkerställa överensstämmelse med EU:s skyddsnivå för personuppgifter samt rekommendationer om de europeiska grundläggande garantierna för övervakningsåtgärder.

Båda dokumenten antogs som en uppföljning av EU-domstolens dom i målet Schrems II.Till följd av avgörandet av den 16 juli är personuppgiftsansvariga som förlitar sig på standardavtalsklausuler skyldiga att från fall till fall, och i förekommande fall i samarbete med mottagaren av uppgifterna i tredjelandet, kontrollera om tredjelandets lagstiftning garanterar en skyddsnivå för de överförda personuppgifterna som i allt väsentligt är likvärdig med den som garanteras i Europeiska ekonomiska samarbetsområdet (EES). Domstolen godtog att exportörer lägger till åtgärder som kompletterar standardavtalsklausulerna för att säkerställa en effektiv efterlevnad av den skyddsnivån om skyddsåtgärderna i standardavtalsklausulerna inte är tillräckliga.

Rekommendationerna syftar till att hjälpa personuppgiftsansvariga och personuppgiftsbiträden som fungerar som uppgiftsutförare med deras skyldighet att identifiera och genomföra lämpliga kompletterande åtgärder där sådana behövs för att säkerställa en i allt väsentligt likvärdig skyddsnivå för de uppgifter som de överför till tredjeländer. Därigenom eftersträvar Europeiska dataskyddsstyrelsen en enhetlig tillämpning av den allmänna dataskyddsförordningen och domstolens dom i hela EES.

Andrea Jelinek, ordförande för Europeiska dataskyddsstyrelsen, sade: ”Europeiska dataskyddsstyrelsen är mycket medveten om konsekvenserna av Schrems II-domen för tusentals företag i EU och det viktiga ansvar som den lägger på uppgiftsexportörer. Europeiska dataskyddsstyrelsen hoppas att dessa rekommendationer kan hjälpa uppgiftsexportörer att identifiera och genomföra effektiva kompletterande åtgärder där de behövs. Vårt mål är att möjliggöra laglig överföring av personuppgifter till tredjeländer och samtidigt garantera att de överförda uppgifterna ges en skyddsnivå som i allt väsentligt motsvarar den som garanteras inom EES. ”

Rekommendationerna innehåller en färdplan för de åtgärder som uppgiftsexportörer måste vidta för att ta reda på om de behöver införa kompletterande åtgärder för att kunna överföra uppgifter utanför EES i enlighet med EU-lagstiftningen och hjälper dem att identifiera vilka sådana åtgärder som skulle kunna vara effektiva. För att hjälpa uppgiftsexportörer innehåller rekommendationerna också en icke uttömmande förteckning över exempel på kompletterande åtgärder och några av de villkor som de skulle kräva för att vara effektiva.

I slutänden ansvarar dock exportörerna för att göra den konkreta bedömningen utifrån överföringen, tredjelandets lagstiftning och det överföringsverktyg som de förlitar sig på. Uppgiftsexportörer måste gå vidare med tillbörlig aktsamhet och noggrant dokumentera sin process, eftersom de kommer att hållas ansvariga för de beslut som de fattar på grundval av detta, i enlighet med principen om ansvarsskyldighet i den allmänna dataskyddsförordningen. Dessutom bör uppgiftsexportörerna veta att det kanske inte är möjligt att genomföra tillräckliga kompletterande åtgärder i varje enskilt fall.

Rekommendationerna om de kompletterande åtgärderna kommer att läggas fram för offentligt samråd. De kommer att börja gälla omedelbart efter det att de har offentliggjorts.

Dessutom antog Europeiska dataskyddsstyrelsen rekommendationer om de europeiska grundläggande garantierna för övervakningsåtgärder. Rekommendationerna om de europeiska grundläggande garantierna kompletterar rekommendationerna om kompletterande åtgärder. Rekommendationerna om europeiska grundläggande garantier ger uppgiftsexportörer underlag för att avgöra om den rättsliga ram som reglerar offentliga myndigheters tillgång till uppgifter för övervakningsändamål i tredjeländer kan betraktas som ett motiverat ingrepp i rätten till integritet och skydd av personuppgifter, och därmed inte inkräktar på de åtaganden i det överföringsverktyg enligt artikel 46 i den allmänna dataskyddsförordningen som uppgiftsutföraren och uppgiftsinföraren förlitar sig på.

Ordföranden tillade: ”Konsekvenserna av Schrems II-domen omfattar alla överföringar till tredjeländer. Därför finns det inga snabba lösningar eller någon universallösning för alla överföringar, eftersom detta skulle ignorera de många olika situationer som exportörer av uppgifter ställs inför. Uppgiftsexportörer kommer att behöva utvärdera sin uppgiftsbehandling och sina överföringar och vidta effektiva åtgärder med beaktande av rättsordningen i de tredjeländer till vilka de överför eller avser att överföra uppgifter. ”

EES-tillsynsmyndigheterna kommer att fortsätta att samordna sina åtgärder i Europeiska dataskyddsstyrelsen för att säkerställa en enhetlig tillämpning av EU: s dataskyddslagstiftning.

Not till redaktörerna:
observera att alla dokument som antas under EDPB: s plenarsammanträde är föremål för nödvändiga rättsliga, språkliga och formaterande kontroller och kommer att göras tillgängliga på EDPB: s webbplats när dessa har slutförts.

EDPB_Press Release_2020_18