Som många har uppmärksammat så har EG-domstolens beslut den 16 juli i  Schrems II-målet gjort användningen av amerikanska molntjänster, om inte omöjliga, så åtminstone väldigt komplicerat.

Det kommer ges många tillfällen att återvända till Schrems II och dess konsekvenser för dataskydd, behovet av en personuppgiftsinventering och gränsöverskridande överföringar, men EU-domstolen gör andra förtydliganden i Schrems  II som också förtjänar uppmärksamhet.

Först lite bakgrund.

Schrems II kallas så för att ett klagomålet mot Facebook Irland, som överför personuppgifter från EU till USA (moderbolaget Facebook USA), lämnades in av privatpersonen Maximillian Schrems till den irländska dataskyddsmyndigheten. Anmälan skedde redan 2015 och hänvisades till CJEU i 2017.

5 år är en lång tid för en privatperson, och EU-domstolen klargör därför också vilken roll, och ansvar, som dataskyddsmyndigheterna har i varje land.

Då färre än 1% av alla inkomna klagomål om integritetsskydd har lett till utredningar, och då färre än 1% av undersökningarna har lett till sanktionsavgifter, finns det ett uppenbart behov av förtydliganden. Särskilt eftersom datainspektioner i vissa länder offentligt meddelat att de kommer att fokusera sina ansträngningar på pro-aktiv verksamhet såsom guider och riktlinjer, och inte re-aktiva åtgärder som bötfällning. Harmonisering av myndigheternas prioriteringar krävs därför.

Irlands högsta domstol frågar därför EU-domstolen (den åttonde frågan) i vilken utsträckning nationella dataskyddsmyndigheter är skyldiga att upprätthålla GDPR och avbryta personuppgiftsflöden till tredjeländer som man finner olagliga.

Svaret från EU-domstolen är tydligt:

  • Dataskyddsmyndigheten är skyldiga att övervaka efterlevnaden mot GDPR inom sitt territorium
  • Vidare klargör EU-domstolen att varje enskild registrerad har en rättighet att framföra klagomål till dataskyddsmyndigheten, och att myndigheten har en skyldighet att utreda varje sådant undersöka varje sådant klagomål med vederbörlig omsorg.
  • Om den obligatoriska utredningen visar på att GDPR inte följs har dataskyddsmyndigheten en skyldighet att vidta lämpliga åtgärder genom att välja från den förteckning över korrigerande befogenheter som de fått.
  • EU-domstolen menar också att dataskyddsmyndigheten själva ska avgöra vilka åtgärder som är lämpliga, men att myndigheten samtidigt är ”skyldig att fullgöra sitt uppdrag med erforderlig omsorg och att därvid tillse att GDPR iakttas fullt ut.”

Ovanstående svar är så tydliga som de kan vara.

De nationella dataskyddsmyndigheterna är skyldiga att utreda alla klagomål.

De är också skyldiga att vidta åtgärder mot varje upptäckt brott mot GDPR.

De är skyldiga att välja åtgärder som säkerställer att GDPR tillämpas fullt ut.

Tiden med riktlinjer, guider och pro-aktivitet från vissa dataskyddsmyndigheter verkar därför ha kommit till ända.

I stället bör vi se ett ökande antal åtgärder, inklusive stoppade behandlingar och överföringar av personuppgifter och naturligtvis -avskräckande böter.