Fortsatt problematiskt att överföra personuppgifter utanför EU/EES

Verksamheter som behandlar personuppgifter – hit hör vårdgivare och apotek – ska säkerställa att behandlingen är korrekt. Den så kallade Schrems II-domen från sommaren 2020 har gjort det avsevärt svårare för personuppgiftsansvariga organisationer inom EU att föra över personuppgifter till USA och andra länder utanför EU/EES. Det tidigare skyddande ramverket för den typen av överföringar gäller inte längre.

EU-domstolens dom, kallad Schrems II, innebär i korthet att användandet av Privacy Shield som grund för överföring av personuppgifter till USA inte längre kan användas.

Rättsläget avseende överföringar av personuppgifter till USA eller andra länder utanför EU/EES är sedan i somras osäkert. För vårdgivare och apotek innebär det ett ansvar att upphöra med överföring till tredjeland eller, om företaget, kommunen eller regionen väljer att fortsätta med överföringen, att se till att man uppfyller de höga krav som ställs.

För att en överföring av personuppgifter till ett land utanför EU/EES ska vara tillåten krävs i regel att den personuppgiftsansvariga organisationen kan visa att uppgifterna i praktiken får ett skydd som motsvarar dataskyddsförordningens (GDPR).

Nödvändigt med analys

Överföring av personuppgifter till tredjeland kan även efter domen ske med stöd av de standardavtalsklausuler som EU-kommissionen beslutat om. EU domstolen angav dock att dessa kan behöva kompletteras med andra skyddsåtgärder för att personuppgifterna ska få tillräckligt skydd i mottagarlandet. Det är därför oklart om överföringar av personuppgifter kan ske till USA med stöd av standardavtalsklausulerna.

Dessutom är det ovisst vilka typer av skyddsåtgärder (till exempel kryptering eller pseudonymisering) som krävs för att säkerställa tillräckligt skydd för personuppgifterna. Kraven på sådana åtgärder är även de högt ställda. Det måste alltid i det enskilda fallet bedömas om överföringen av personuppgifterna till tredjeland är tillåten och i detta ingår att bedöma om personuppgifterna ges motsvarande skydd som gäller inom EU/EES.

E-hälsomyndigheten menar med anledning av det osäkra rättsläget att stor försiktighet ska iakttas vid överföring av personuppgifter till tredjeland. Sådana överföringar måste föregås av en analys av riskerna och den rättsliga grunden.

Datainspektionens webbplats (öppnas i ny flik) finns mer om hur Schrems II-domen påverkar överföringar till tredje land. (Datainspektionen blir Integritetsskyddsmyndigheten från och med den 1 januari 2021.)