Läget rörande tredjelandsöverföring och situationen i USA
Frågan om tredjelandsöverföringar är återigen en av de mest intressanta dataskyddsfrågorna. I januari 2025 har EU-domstolen klargjort hur begreppet ”tredjelandsöverföring” ska tolkas. En viktig del i domstolens bedömning är att en risk för en överföring inte anses vara en ”tredjelandsöverföring”. Rättsfallet är viktigt, särskilt i en tid där president Trumps agerande kan leda till att Dataskyddsramen (adekvansbeslutet i förhållande till USA) faller. Vår expert Monika Wendleby, f.d. kammarrättsråd och rådman, analyserar både rättsfallet och president Trumps agerande för att ge fler perspektiv på frågan om hur organisationer ska tänka om tredjelandsöverföring.
Bakgrund
Överföringar till länder utanför EU/EES-området är enligt huvudregeln förbjudna enligt förordning (EU) 2016/679 (GDPR) artikel 44 om inte ett undantag kan tillämpas (se artiklarna 45–50 GDPR). Ett sådant undantag (artikel 45 GDPR) ger kommissionen rätt att besluta om att ett visst tredjeland har en adekvat skyddsnivå (så kallade adekvansbeslut). När ett sådant beslut föreligger kan både personuppgiftsansvariga och biträden förlita sig på det och på så sätt få rätt att överföra personuppgifter till det tredjeland som adekvansbeslutet avser om reglerna i det efterlevs. EU-domstolen har tidigare i domarna Schrems I och II upphävt adekvansbeslut i förhållande till USA (dom den 6 oktober 2015 i mål C-362/14 respektive dom den 16 juli 2020 i mål C-311/18).
Det är förutom EU-kommissionen, som kan styra över beslutens innehåll och räckvidd, enbart EU-domstolen som kan påverka adekvansbeslut (genom att upphäva beslut). En nationell tillsynsmyndighet kan alltså inte ifrågasätta det i ett tillsynsbeslut. När kommissionen antar ett beslut är det direkt tillämpligt och det upphör i förekommande fall att gälla från dagen för EU-domstolens dom.
Nya intressanta frågor 2025
Molntjänster har varit särskilt omdebatterade i förhållande till problematiken med tredjelandsöverföringar. Detta ämne har jag tidigare skrivit en analys om. Det mesta som jag beskrev i den analysen håller fortfarande. För att få en fullständig bild behöver man dock bottna även i ett nytt intressant rättsfall från EU-domstolen (tribunalen): Thomas Bindl mot EU-kommissionen (T-354/22). EU-domstolens slutsatser ligger nära de jag gjorde i den tidigare analysen. Då rättsfallet är så centralt förtjänar det dock en egen analys, vilken jag nu tar mig an.
Man behöver även fundera över situationen i USA och hur den kan påverka adekvansbeslutet Dataskyddsramen (Ramen för dataskydd mellan EU och Förenta staterna, se kommissionens genomförandebeslut (EU) 2023/1795 av den 10 juli 2023 i enlighet med Europaparlamentets och rådets förordning (EU) 2016/679 om adekvat skydd av personuppgifter enligt ramen för dataskydd mellan EU och Förenta staterna). I den här analysen lyfter jag också upp vad som hänt i USA 2025 och hur det kan påverka Dataskyddsramen i framtiden.
Omständigheterna i Bindl-fallet
Thomas Bindl bestämde sig för att utmana regelverket om tredjelandsöverföring enligt förordning 2018/1725, som gäller för EU-institutionerna. Regelverket i nämnda förordning och kapitel V i GDPR, som reglerar sådana överföringar där, är snarlika. Slutsatserna i rättsfallet är därför relevanta även för GDPR. När fallet prövades av EU-domstolen gjordes det genom tribunalen som prövar fall där EU:s institutioner är part. Fördelen med detta är att EU-domstolen tydligare måste ta ställning i sak.
Rent konkret utmanade Thomas Bindl EU-kommissionens hantering av sin webbplats. Han gjorde bland annat gällande att det förelåg en tredjelandsöverföring från kommissionens molntjänst för webben, som tillhandahölls av AWS EMEA, som har sitt säte i Luxemburg. Genom att AWS EMEA är ett dotterbolag till Amazon.com, ett bolag med säte i USA, och systerbolag till Amazon Web Services, som också har säte där fanns en risk för tredjelandsöverföring. För att styrka detta ingav Thomas Bindl utredning som han menade visade på en tredjelandsöverföring. Tribunalen finner dock inte att hans uppgifter visade det med undantag för ett fall där tribunalen konstaterar att han själv sett till att uppgifterna överfördes.
Vid tidpunkten för de överföringar som prövades i Bindl fanns inget adekvansbeslut (genom Schrems II hade det tidigare adekvansbeslutet Privacy Shield fallit och arbetet med Dataskyddsramen var inte slutfört). I den situationen tillmäter domstolen det stor vikt att EU-kommissionen i avtalet med sin leverantör, AWS EMEA, använt sig av standardavtalsklausuler i biträdesavtalet. I dessa fanns villkor att data skulle lagras inom EES-området och att AWS EMEA inte fick överföra data till ett tredje land (land utanför EU/EES-området) utan förhandstillstånd från kommissionen.
I andra hand gjorde Thomas Bindl gällande att överföring av hans uppgifter skett när han loggade in på kommissionens webbplats med sitt Facebook-konto. I detta fall anser domstolen att det förelåg en överföring av datakakor till Meta, med säte i USA. Överföringen förvärrades av att Meta genom den fått möjlighet att behandla fler datakakor.
Begreppet ”tredjelandsöverföring”
Tribunalen konstaterar i rättsfallet att begreppet ”tredjelandsöverföring” inte definieras i GDPR. Därför fick domstolen själv fastställa begreppet. När den gjorde det tillämpade den tidigare domar från EU-domstolen, bland annat Bodil Lindqvist (dom den 6 december 2003 i mål C-101/01) i vilken EU-domstolen fastställde principen om servrarnas placering.
Tribunalen listar i Bindl tre kriterier som ska vara uppfyllda för att en överföring ska anses vara genomförd. Dessa kan sammanfattas så här (jag har i punkterna ersatt förordning 2018/1725 med GDPR):
- Den personuppgiftsansvarige omfattas av GDPR.
- Den personuppgiftsansvarige gör personuppgifter tillgängliga, genom överföring eller på annat sätt, till en mottagare som kan vara en juridisk eller fysisk person.
- Mottagaren finns etablerad i ett tredje land (det vill säga är inte medlem i vare sig EU eller EES).
Tribunalens definition liknar den som tidigare har tagits fram av Europeiska dataskyddsstyrelsen (EDPB), se punkt 9 i Guidelines 05/2021 on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR. I EDPB:s version har dock även hänsyn tagits till artikel 3 GDPR (GDPR:s territoriella tillämpningsområde), en artikel som inte behövde tillämpas i Bindl-målet.
En skillnad mellan definitionerna är att tribunalen enbart anger att det är en personuppgiftsansvarig som för över uppgifterna, medan EDPB även tittar på personuppgiftsbiträdens överföring. Möjligen lägger därför tribunalen större vikt vid den personuppgiftsansvariges beteende än EDPB gör. Inte heller denna fråga ställdes på sin spets i rättsfallet.
Det förtjänar i sammanhanget även att noteras att GDPR inte förbjuder alla sorters tredjelandsöverföringar. Det är även viktigt att förstå att uppgifter både kan gå till andra organisationer eller ett tredje lands myndigheter. Det kan i det sistnämnda avseendet noteras att EDPB tagit fram ett utkast till riktlinjer rörande överföring av uppgifter på begäran av utländska myndigheter. EDPB framhåller bland annat att om en organisation svarar på en begäran om personuppgifter från en myndighet i ett tredjeland utgör detta en överföring och GDPR gäller.
Skadestånd vid överföringen till Meta
Som redan nämnts finner EU-domstolen att det uppstår en överföring när Thomas Bindl använder sitt Facebook-konto för att komma åt en tjänst på EU-kommissionens webbplats. Detta leder till att Thomas Bindl har rätt till ett skadestånd på 400 euro.
Tribunalen klargör att en risk inte innebär en överföring
För att förstå vikten av Bindl-fallet behöver man sätta domstolens slutsatser i relation till den osäkerhet som vid den tidpunkten fortfarande fanns om begreppet tredjelandsöverföring.
Efter Schrems II har en livlig juridisk debatt ägt rum. Många andra har hävdat, delvis med luddiga skrivningar från EDPB som stöd, att en risk för överföring ska anses vara tillräcklig för att en avvikelse från kapitel V GDPR (i praktiken en otillåten tredjelandsöverföring) ska uppstå.
Fallet är mot den bakgrunden extra intressant eftersom tribunalen tydliggör att en risk för en tredjelandsöverföring inte innebär att en sådan de facto har skett (se punkterna 132–133 och 137 i domen):
“Sökandens argument att AWS EMEA, i egenskap av dotterbolag till ett amerikanskt företag, är skyldigt att överföra personuppgifter till de amerikanska myndigheterna, även när dessa uppgifter lagras på unionens territorium, påverkar inte denna slutsats.
Det är visserligen riktigt att tillgång till personuppgifter som behandlas inom EES av myndigheterna i ett tredjeland enligt lagstiftningen i det landet utgör en överföring av personuppgifter till ett tredjeland i den mening som avses i artikel 46 i förordning 2018/1725. I förevarande fall har det emellertid inte visats att det har getts sådan tillgång till nämnda personuppgifter. Sökanden har nämligen varken visat eller påstått att någon av hans personliga uppgifter har överförts till de amerikanska myndigheterna, eller visat eller påstått att det föreligger en begäran från dessa myndigheter om de uppgifter som har överförts till Amazon CloudFronts server, i München.
[---]
Enbart risken för ett åsidosättande av bestämmelserna i kapitel V i förordning 2018/1725 är under alla omständigheter inte tillräcklig för att visa att kommissionen har handlat felaktigt och att det utgör en tillräckligt klar överträdelse av dessa bestämmelser.”
Bindl-avgörandet visar att den som gör gällande att en tredjelandsöverföring skett måste kunna visa att en faktisk överföring genomförts enligt domstolens definition (se föregående avsnitt). Tribunalen prövade i Bindl ett skadeståndsanspråk men det samma gäller förstås om en tillsynsmyndighet vill påföra en sanktion (detta eftersom bevisbördan ligger på myndigheter när det är fråga om sanktioner som förvaltningsrättsligt ska likställas med ”anklagelse för brott”).
Domstolen klargör även att EU-kommissionen, genom att använda standardavtalsklausuler på ett korrekt sätt, inte kunde klandras för att orsaka en allvarlig avvikelse från kapitel V GDPR.
Rättsfallet är enligt min mening viktigt eftersom det tydliggör begreppet ”tredjelandsöverföring” som regleras i kapitel V GDPR. Det tydliggör även att en risk för en överföring inte utgör ett brott mot detta kapitel. Rättsfallet är även viktigt eftersom det tydliggör vad som gäller när det inte finns ett adekvansbeslut. I dagens läge är detta också väsentligt, eftersom det finns flera hot mot dess bestånd.
Kommer adekvansbeslutet att hålla?
För närvarande ökar konfliktnivån mellan EU och USA. Det finns därför anledning att fundera över om detta kan komma att påverka olika avtal EU har med USA.
Dataskyddsramen, som bygger på ett avtal mellan EU och USA, bygger på tanken att amerikanska bolag eller andra organisationer ansluter sig till den efter en självcertifiering. Genom självcertifieringen godtar de anslutna bolagen att följa ett antal principer som i praktiken innehåller de krav som finns i olika artiklar i GDPR. Förutom EU-kommissionens beslut har USA förbundit sig att genomföra detta i sin lagstiftning, vilket skett genom dekret från president Biden.
Andra väsentliga delar är ramens övervakningsmekanismer och rättssäkerhetsgarantier. Dataskyddsramen övervakas av det amerikanska handelsdepartementet. Det finns därutöver olika mekanismer som ger den registrerade möjlighet att få insyn och kunna klaga på behandlingen. Vidare finns även olika typer av domstolsprövning säkrade i systemet. Dessa åtgärder vidtogs efter EU-domstolens synpunkter i Schrems II.
Tidigare har dataskyddsramen ifrågasatts utifrån perspektivet att skrivningarna i den med stor sannolikhet kommer att prövas i ett nytt rättsfall. Man brukar kalla det risken för en "Schrems III", eftersom Max Schrems tidigare aviserat att han avser att utmana beslutet. I dagsläget är risken för ett sådant rättsfall mindre, eftersom det kanske inte behövs. För närvarande finns nämligen åtminstone två åtgärder som president Trump vidtagit som kan äventyra dataskyddsramens bestånd: den ena handlar om hanteringen av ett tillsynsorgan, den andra om hans allmänna syn på samarbete mellan USA och EU.
Hantering av tillsynsorgan
Det första problemet är att presidenten har avskedat ett antal ledamöter i Privacy and Civil Liberties Oversight Board (PCLOB). I dagsläget kvarstår endast en ledamot. PCLOB övervakar bland annat amerikansk underrättelsetjänst för att säkerställa att individers rättigheter inte kränks när personuppgifter samlas in. Detta organ har bland annat den viktiga rollen att utöva tillsyn över förfarandet för klagomål.
Åtgärden att avskeda ledamöter har lett till reaktioner både från Integritetsskyddsmyndigheten (IMY) och Datatilsynet, den norska tillsynsmyndigheten.
IMY pekar i sin blogg bland annat på att den uppgift som PCLOB ansvarar för "är en viktig del för att säkerställa att personuppgifter som överförs till USA behandlas på ett tillfredsställande sätt och en viktig del i EU-kommissionens beslut om adekvat skyddsnivå för USA". Att president Trump avskedat ledamöter sätter "frågetecken kring om och i så fall hur EU-kommissionens beslut om adekvat skyddsnivå kan komma att påverkas”". IMY pekar på att EU-kommissionen kontinuerligt övervakar utvecklingen av Dataskyddsramen och att den kan komma att "återkalla, ändra eller upphäva beslutet". IMY noterar samtidigt att EU-kommissionen inte fattat denna typ av beslut så därför gäller idag Dataskyddsramen. IMY anger även "att eventuella förändringar i USA inte automatiskt leder till att beslutet upphävs".
Datartilsynet pekar i ett uttalande på sin hemsida på att PCLOB i dagsläget inte är beslutsförigt och att presidenten aviserat att han ska utse nya ledamöter. Enligt norska myndigheten behöver Trumps agerande inte vara ett problem om det inte drar ut på tiden att ersätta ledamöterna. Den norska myndighetens råd till verksamheter är att ha en "exit-strategi for hva dere skal gjøre dersom du ikke lenger kan overføre personopplysninger til USA på samme måte som i dag". Myndigheten anger särskilt att amerikanska molntjänster behöver hanteras i en sådan strategi eftersom de kan påverkas om adekvansbeslutet upphör att gälla.
Trumps övriga agerande
Ett möjligen ännu större problem är att den nya presidenten ifrågasätter EU:s rätt att reglera integritetsfrågor. I en ”Presidential Action” benämnd “Defending American Companies and Innovators From Overseas Extortion and Unfair Fines and Penalties” beskriver Trump sin syn på tullar. Han begränsar sig inte till detta ämne utan anger bland annat:
“Instead of empowering their own workers and economies, foreign governments have increasingly exerted extraterritorial authority over American companies, particularly in the technology sector, hindering these companies’ success and appropriating revenues that should contribute to our Nation’s well-being, not theirs”. [---]
Det nämns även att "... Additional foreign legal regimes limit cross-border data flows ...", att tillsynsmyndigheterna i bland annat EU är "potentially hostile" och att hans administration inte kommer att tillåta "one-sided, anti-competitive policies and practices of foreign governments".
Dokumentet kan tolkas så att president Trump i sitt handelskrig även kommer att bekämpa allt som gör att amerikanska bolag får svårare att konkurrera i EU, vilket bland annat gör att GDPR-krav lär ifrågasättas av honom. Med dokumentet visar Trump på ett helt annat förhållningssätt till frågan än president Biden. Detta lär leda till konsekvenser från olika europeiska institutioner, bland annat EU-kommissionen, som behöver överväga om Dataskyddsramen håller, och EU-domstolen, om ett mål skulle hamna där.
Vad behöver organisationer ta tag i?
Frågan om tredjelandsöverföring måste hanteras strategiskt oavsett om det görs inom ramen för en exit-strategi eller på annat sätt. I detta behöver personuppgiftsansvariga beakta slutsatserna i Bindl, som klargör de rättsliga förutsättningarna. Inför stora nyinvesteringar måste man fundera noga över om man ska använda amerikanska tjänster. I det sammanhanget måste samtidigt beaktas att många personuppgiftsansvariga har svårt att själva bygga in tillräckligt bra cybersäkerhet i den situation som råder idag. Ett ensidigt fokus på att till varje pris undvika moln från amerikanska bolag blir här för snävt, särskilt eftersom bolag både kan köpas och säljas. Personuppgiftsansvariga måste i stället gå på djupet och granska de bolag man vill göra affärer med. I detta ingår förstås vad som är känt om bolagets sätt att agera men kanske också om bolaget har en aktiv roll i president Trumps agenda mot EU. Vidare är det förstås mycket centralt att bedöma var de servrar personuppgifter kommer att lagras i är placerade.
Självklart är det också viktigt med en löpande omvärldsbevakning som både avser den rättsliga och faktiska utvecklingen.
Jag bedömer att det vid tredjelandsöverföringar (eller risk för sådana) är viktigt att använda standardavtalsklausulerna korrekt och detta oavsett om leverantören är ett europeiskt bolag eller ett bolag med säte i tredje land. Till detta kommer vikten av att genomföra kryptering av det mest integritetskänsliga och säkra att man har egen tillgång till krypteringsnyckeln (och att leverantörerna inte har det).
Slutligen måste organisationer på allvar börja fundera över tredjelandsöverföringar i förhållande till sociala medier. Schrems I och II handlade båda om Max Schrems Facebook-konto. Thomas Bindl tillerkänns skadestånd när inloggningen via Facebook överför datakakor till Meta. Den mest konkreta risk som organisationer har idag är helt klart sociala medier, vilket innebär att den frågan borde ges högsta prioritet.
Analys av EU-domstolen (tribunalen) 2025-01-08, mål T-354/22 Thomas Bindl mot EU-kommissionen.
Ursprungligen publicerad i JP ITnet.
Ny praxis och lagändringar kan ha tillkommit sedan texten skrevs. De senaste uppdateringarna och hur dessa påverkat rättsområdet hittar du alltid i relevant informationstjänst.
Publicerad 21 mar 2025
Jurist, managementkonsult och författare av GDPR-böcker
