Är det äntligen klart vad som är en ”överföring av personuppgifter till tredjeland”? FCG analyserar EDPB:s förslag på definition

European Data Protection Board (”EDPB”) är de europeiska tillsynsmyndigheternas samarbetsorgan och syftar till att verka för en enhetlig tillämning av GDPR inom EU. Mot den bakgrunden publicerar EDPB bland annat riktlinjer och rekommendationer om hur lagen bör tolkas. EDPB:s riktlinjer och rekommendationer är inte rättsligt bindande – de medför med andra ord ingen rättslig förpliktelse – utan tar formen av s.k. ”soft law” och best-practice. Som regel tillämpas principen ”följ eller förklara” för EDPB:s riktlinjer och rekommendationer. Utgångspunkten är med andra ord att denna ska efterlevas, och om den inte efterlevs fordras en bra förklaring.

Att följa EDPB:s riktlinjer och rekommendationer är inte nödvändigtvis enkelt. I flera fall har riktlinjer och rekommendationer kritiserats för att vara teoretiska konstruktioner som inte är lämpade för tillämpning i praktiken. För detta förslag till riktlinje har dock EDPB fokuserat på att ta fram en kort och koncis riktlinje med en tydlig definition som ska vara praktiskt användbar.

Det är vår svenska tillsynsmyndighet Integritetsskyddsmyndigheten (”IMY”) som har hållit i ordförandeklubban vid beredningen av denna nya riktlinje. I den här artikeln siktar vi på att redogöra för fördelarna och nackdelarna med den förslagna definitionen samt sia om hur detta kommer påverka rättsläget framgent.

EDPB:s definition om vad som är en ”överföring av personuppgifter till tredjeland”

EDPB har konstruerat en definition som är uppdelad i tre kriterier för att fastställa vad som utgör en överföring av personuppgifter till ett tredjeland. Förenklat sammanfattas dessa tre kriterier enligt följande:

1. personuppgifterna som behandlas ska omfattas av GDPR,
2. en personuppgiftsansvarig eller ett personuppgiftsbiträde (”dataexportör”) ska överföra personuppgifter genom (a) utlämning genom överföring eller, (b) tillhandahållande på annat sätt till en mottagare (”dataimportören”), och
3. mottagaren ska vara belägen i ett tredjeland.

Notera således att dataimportören ska vara etablerad i ett tredjeland; det finns inget motsvarande krav på att dataexportören ska vara etablerad i EU/EES. Formellt tar denna definition med andra ord sikte på att överföringen är till ett tredjeland – och inte från EU/EES. Det kan beskrivas som ett riktningsrekvisit i den bemärkelsen att det är riktningen till ett tredjeland, och inte nödvändigtvis personuppgifternas ursprung, som är av avgörande betydelse. Vad vi kan identifiera finns det i huvudsak två skäl till denna ordning.

För det första är GDPR en extraterritoriell lag. GDPR är med andra ord en lag som inte är knuten till Sveriges eller EU/EES geografiska territorium. En aktör i USA, Kina, Indien eller annat tredjeland kan med andra ord omfattas av GDPR för viss behandling av personuppgifter, t.ex. när digitala tjänster erbjuds från tredjeland eller när internetbeteenden övervakas. En aktör i USA som omfattas av GDPR behöver med andra ord efterleva reglerna om överföring av personuppgifter till tredjeland.

För det andra behöver definitionen omfatta det som benämns för vidarebefordran alternativt vidare överföring av personuppgifter till ett tredjeland (härefter ”vidarebefordran”). Med vidarebefordran avses när en dataimportör i ett tredjeland i sin tur överför personuppgifter till en mottagare i samma tredjeland eller ett annat tredjeland.

För att ge ett konkret exempel: en svensk personuppgiftsansvarig bank överför personuppgifter till ett personuppgiftsbiträde i USA. Personuppgiftsbiträdet anlitar i sin tur, efter den personuppgiftsansvariges godkännande genom avtal, ett annat personuppgiftsbiträde som i sin tur även behandlar personuppgifter i USA. Därigenom vidarebefordras personuppgifter inom USA men det är likväl en överföring av personuppgifter till ett tredjeland.

Överföring av personuppgifter till ett tredjeland kan med andra ord ske i ett eller flera led. Det är alltid den personuppgiftsansvarige för behandling av personuppgifter som är ansvarig för överföring av personuppgifter i samtliga led, till exempel i hela leverantörskedjan. Med det följer att den personuppgiftsansvarige ska kunna visa på regelefterlevnad för samtliga led av överföring.

Fördelarna med EDPB:s definition

EDPB:s definition av vad som är en överföring av personuppgifter till tredjeland får betraktas som pragmatisk i den bemärkelsen att överföring ges en konkret definition och anknyter till en etablerad begreppsapparat.

Framför allt medför kravet på en dataimportör i EU/EES att en aktör i ett tredjeland som samlar in personuppgifter direkt utan ”mellanhand” i EU/EES inte omfattas av reglerna kring överföring av personuppgifter till tredjeland. Till exempel en tjänsteleverantör i USA som insamlar personuppgifter om fysiska personer i EU/EES direkt genom sin egen hemsida eller applikation överför med andra ord inte personuppgifter till tredjeland (USA) i formell mening. Det är en välkommet klargörande eftersom detta har varit en beaktansvärd osäkerhet i rättsläget under lång tid (även från tiden innan GDPR).

EDPB:s definition innebär även att en juridisk person inte kan överföra personuppgifter till sig själv; med andra ord kan inte dataexportören och dataimportören vara samma juridiska person. Med det sagt går det självklart att överföra personuppgifter mellan olika juridiska personer till exempel inom samma koncernstruktur. Fördelen är i denna del att gränsen för vad som är en överföring blir tydligare eftersom personuppgifter behöver överföras mellan minst två juridiska personer.

Nackdelarna med EDPB:s definition

För det första är rättsläget oklart om vad som avses med att överföring till tredjeland sker genom (a) utlämning genom överföring eller (b) tillhandahållande på annat sätt.

EDPB har tidigare, genom rekommendation 01/2020 och genom FAQ mot bakgrund av Schrems II, lämnat vägledning i detta led, dock utan att anknyta till begreppen ”utlämning genom överföring” eller ”tillhandahållande på annat sätt”.

Det medför en nivå av osäkerhet: varför har inte EDPB samlat tidigare vägledning (från 2020 och 2021) i den nya riktlinjen för att läsaren ska få en samlad bild av vilka rekommendationer som lämnas och hur EDPB ser på rättsläget? Den tidigare rekommendationen och FAQ är fortsatt formellt giltiga och det finns därför inget somt tyder på att EDPB avsett att göra avsteg får tidigare ställningstaganden. Denna nivå av osäkerhet är beklagansvärd eftersom den lätt hade kunnat undvikas genom att inte göra det nödvändigt för läsaren att lägga pussel med tidigare vägledning.

EDPB har i sin rekommendation 01/2020 om lämpliga skyddsåtgärder vid överföring av personuppgifter till tredjeland preciserat att tillgänglighet genom fjärråtkomst ska betraktas som överföring. Det är med andra ord inte nödvändigt att personuppgifter lagras i ett tredjeland; det är tillräckligt att en mottagare har åtkomst till personuppgifter. Det medför även att inga personuppgifter de facto behöver ha överförts för att en överföring rent juridiskt ska ha genomförts.

Det kan framstå som ett teoretiskt problem; om en aktör har ”öppnat dörren” så får denne kallt räkna med att personuppgifter färdas genom denna bildliga dörr. Det går dock inte att frångå den principiella frågan att det är en utvidgning av begreppet ”överföring” utifrån dess sedvanliga betydelse. EDPB:s utvidgning har därtill skett utan en närmare redovisning av dess skäl. EDPB:s källhänvisning i rekommendation 01/2020 är till FAQ mot bakgrund av Schrems II. Nota bene att Schrems II utgick från ett antagande om att överföring av personuppgifter till tredjeland; EU-domstolen lämnade ingen direkt vägledning om hur överföringsbegreppet ska tolkas.

Genom begreppen ”utlämning genom överföring” och ”tillhandahållande på annat sätt” kopplar EDPB direkt samman vad som är en överföring till GDPR:s legaldefinition av vad som utgör en behandling av personuppgifter. EDPB har utan tvekan en god poäng i att koppla samman definitionen av överföring av personuppgifter till tredjeland med legaldefinitionen av behandling av personuppgifter. EU-domstolen har vid tre tillfällen, senast genom Schrems II, preciserat att en överföring sker genom en ”åtgärd” eller en ”kombination av åtgärder” beträffande personuppgifter eller uppsättningar (data sets) av personuppgifter; det första ledet i legaldefinitionen av en behandling av personuppgifter. En ”överföring” sker med andra ord inom ramen för en behandling eller utgör i sig en behandling – vilket medför krav på, bland annat, en rättslig grund.

Det som blir konsekvensen av att begreppet ”möjlig åtkomst” betraktas som en överföring är att ”möjlig åtkomst” även bör betraktas som en behandling av personuppgifter. EDPB:s definition kan med andra ord indirekt leda till en utvidgning av vad som utgör en behandling av personuppgifter. Vi vill poängtera att detta är en möjlig tolkning och inte en tolkning som vi nödvändigtvis förespråkar eller avfärdar.

Vår slutsats blir i stället att det hade varit önskvärt med en närmare analys som bakgrund till denna tolkning. Med tanke på frågans storlek (dataflödet mellan EU/EES och resten av världen) och ansvarsnivån (upp till fyra procent av den totala globala årsomsättningen eller 20 miljoner euro) kan vi konstatera att det är anmärkningsvärt att det saknas.

För det andra finns det iögonfallande hål i den rättsliga argumentationen som faktiskt redovisas.

EDPB hänvisar som skäl för definitionen till EU-domstolens dom i det s.k. Lindqvist-målet från 2001. Lindqvist-målet är det enda mål där EU-domstolen har tolkat vad som utgör överföring av personuppgifter till tredjeland. Lindqvist-målet tog, något förenklat, sikte på om publicering av personuppgifter på ett sätt att dessa uppgifter finns allmänt tillgängliga på en webbplats innebar att personuppgifter överförts till tredjeland (eftersom en användare i tredjeland hade möjlighet att ta del av uppgifterna). Utan att gå in på närmare detaljer besvarade EU-domstolen att en sådan webbpublicering utgör en behandling av personuppgifter, och omfattas därmed av GDPR, men utgör inte en överföring av personuppgifter till tredjeland.

Problemet är att EDPB:s tre kriterier inte finns att finna i Lindqvist-målet. Det närmaste finns i EU-kommissionen och den svenska regeringens yttranden till EU-domstolen mot bakgrund av de tolkningsfrågor som var uppe för prövning (se punkt 53 för referens), framför allt om tillgänglighet i sig medför en överföring. Dessa yttranden är dock inte en del av skälen i målet och yttranden är inte heller något som EU-domstolen resonerat kring.

Det som framstår som den verkliga källa till EDPB:s kriterier är EU-kommissionens standardavtalsklausuler för överföring av personuppgifter till tredjeland. Dessa standardavtalsklausuler utgår från en avtalskonstruktion där en dataexportör överför personuppgifter från EU/EES till ett tredjeland. De första standardavtalsklausulerna trädde i kraft 2002, d.v.s. cirka ett år efter EU-domstolen meddelade dom i Lindqvist-målet. Här saknas med andra ord både en närmare analys hur EDPB har tolkat Lindqvist-målet samt kronologin av efterföljande rättsutveckling.

För det tredje går det inte att frångå att EDPB:s definition indirekt medför en ändring av lagtexten, närmare bestämt artikel 44 GDPR.

Lagtextens ordalydelse är:

Överföring av personuppgifter som är under behandling eller är avsedda att behandlas efter det att de överförts till ett tredjeland […]

Genom EDPB:s definition ändras betydelsen de facto till:

Överföring av personuppgifter som är under behandling eller är avsedda att behandlas efter det att de överförts till en mottagare i ett tredjeland […]

Vår bedömning är att det sannolikt är få som kommer att opponera sig mot definitionen i denna del. Anledningen är att kravet på en mottagare i ett tredjeland rimmar väl med att motsvarande krav finns vid överföring av personuppgifter till internationella organisationer (d.v.s. en typ av mottagare) samt att definitionen annars hade fått otydliga gränser. Vår bedömning ska därför inte tolkas som att vi bedömer att det saknas principiella invändningar mot EDPB:s definition, utan att behovet av en pragmatisk definition sannolikt kommer trumfa en ny beredningsprocess.

Det bör tilläggas att GDPR medför krav på informationssäkerhet, bland annat att endast behöriga ska få åtkomst till personuppgifter. Det medför att om personuppgifter exponeras mot ett tredjeland, utan att det sker en överföring av personuppgifter till tredjeland i formell mening, så ska den personuppgiftsansvarige fortsatt säkerställa att personuppgifterna skyddas från obehörig åtkomst eller röjande utifrån de risker som finns.

För det fjärde utvecklar inte EDPB synen på överföring av personuppgifter i pseudonymiserad eller krypterad/kodad form när mottagaren i ett tredjeland inte kan ta del av personuppgifterna i klartext.

EDPB har i rekommendation 01/2020 exemplifierat pseudonymisering och kryptering som lämpliga skyddsåtgärder vid överföring av personuppgifter till ett tredjeland i vissa fall. Enligt EDPB förlorar med andra ord inte personuppgifterna sin juridiska status som ”personuppgifter” av det skäl att en mottagare inte kan ta del av personuppgiften i klartext. Pseudonymisering och liknande åtgärder är med andra ord ett lager av skyddsåtgärder som appliceras på personuppgiften för att höja nivån av skydd mot obehörigt röjande eller otillåten behandling.

EDPB:s tolkning i denna del är inte utan invändningar och har inte heller fått genomslag i hela EU. Med det sagt finns det etablerad praxis i Sverige att personuppgifter som överförs i pseudonymiserad form ska betraktas som överföring av personuppgifter till tredjeland varför EDPB:s riktlinje i denna del lär ha begränsad påverkan på rättsläget i Sverige.

Vår slutsats

Den sista januari 2022 var sista dagen att lämna remissvar på förslaget till riktlinje. Därefter kan riktlinjerna formellt antas vilket sannolikt kommer ske senare under året.

Vi vill inledningsvis ge EDPB – och framför allt vår svenska tillsynsmyndighet IMY som hållit i ordförandeklubban – erkännande för sin ambition att hålla riktlinjen kort och koncis med fokus på konkreta exempel framför juridiska analyser. Det är en lovvärd ambition. Det finns mycket att vinna på att hålla riktlinjer tydligt fokuserade för att nå ut med budskapet till en bredare publik.

Vår bedömning är dock att fokus på ”kort och koncist” slår fel i det här fallet. En juridisk analys behöver innefatta GDPR:s komplexa bestämmelser om extraterritoriell räckvidd och överföring av personuppgifter till tredjeland. Analysen behöver beakta EU-domstolens praxis samt EDPB:s tidigare rekommendationer och FAQ. Genom att inte tydligt koppla samman helheten skapar EDPB en risk för att osäkerheten i rättsläget inte minskar eller – ännu värre – att osäkerheten i rättsläget ökar.

Efterfrågan kring ett förutsägbart rättsläge finns inte minst från marknaden där den nuvarande osäkerheten i rättsläget medför en beaktansvärd kostnad både i tid och resurser.

Som vi har identifierat vilar EDPB:s definition på delvis skakig grund. Det är så klart vanskligt att sia om framtiden men vår bedömning är att marknaden kommer att välkomna en pragmatisk definition idag framför en hypotetiskt bättre definition någon gång i framtiden. Vår bedömning är därför att EDPB:s definition kommer antas under 2022.

FCG har god erfarenhet av att lämna rådgivning om överföring av personuppgifter till tredjeland. Vi söker alltid de lämpligaste lösningarna för ditt företag med syfte att hantera överföring på ett praktiskt och resurseffektivt sätt. Kontakta oss för mer information.

Pia Rosengren
Director & Head of Team Malmö
pia.rosengren@fcg.se

Aron Klingberg
Manager
aron.klingberg@fcg.se