Nytt EU-Beslut Kan Skapa Stora Konsekvenser För Din Organisation

Anders Bryde Thornild
By: Anders Bryde Thornild GDPR | 9 december

Den 16 juli 2020 fattade Europeiska unionens domstol ett beslut i Schrems II-falletEtt beslutet som potentiellt kan få stora konsekvenser för alla företag. I det här blogginlägget ger vi dig inblick i vad fallet handlar om och hur det kan påverka din organisation. Vi har även ett blogginlägg som kan hjälpa dig förbättra ditt företags egna dataskydd

Skölden för skydd av privatliv

Schrems II-fallet handlar om möjligheten att överföra personuppgifter till amerikanska företag. Hittills har detta varit möjligt med hjälp av den så kallade Skölden för skydd av privatlivet, vilket kortfattat är ett system med standardkontrakt där amerikanska företag garanterade att de kunde följa europeiska GDPR-regler (Det finns för närvarande över 5 000 amerikanska företag i systemet).

Skölden för skydd av privatlivet innebar att europeiska företag kunde använda sig av amerikanska tjänster och överföra personuppgifter till dem utan att behöva ta den långa vägen med riskbedömningar för att avgöra om partnern (databehandlaren) faktiskt kan leva upp till sina rättsliga GDPR-skyldigheter. Skölden för skydd av privatlivet gjorde det oförnekligen väldigt mycket enklare att ingå databehandlingsavtal med amerikanska företag.

Max Schrems protester om Skölden för skydd av privatlivet

Integritetsaktivisten Maximillian Schrems har däremot varit missnöjd med systemet kring Skölden för skydd av privatlivet, då han anser att amerikanska företag inte kan garantera att GDPR efterlevs. Eftersom USA har nationella lagar som övertrumfar och bryter mot principerna för GDPR. Det handlar bland annat om lagar som gör det möjligt för den amerikanska staten att få insyn i personuppgifter om de exempelvis misstänker terrorism.

Därför valde Schrems att inlämna ett klagomål specifikt mot Facebook, som flyttar data från sin irländska avdelning till USA med stöd av Skölden för skydd av privatlivet (Facebook i Irland och Facebook i USA är två separata företag). Detta innebär att personuppgifter som tillhör europeiska användare kan hamna i USA. Max Schrems är missnöjd med detta, eftersom han anser att Facebook inte kan garantera att de efterlever GDPR när de hanterar personuppgifter i USA. Det är detta överklagande som Europeiska unionens domstol har beslutat om. EU-domstolen har beslutat att gå på Schrems linje, vilket ogiltigförklarar Skölden för skydd av privatlivet – från en dag till en annan. Detta påverkar inte bara Facebook, utan alla företag som ingår i systemet. Skölden för skydd av privatlivet är inte längre en giltig grund för överföring av personlig information till USA.

Du kan läsa domslutet från Europeiska unionens domstol här: EU Domstol.

Det är inte första gången ett avtal blir avslaget

Det är inte första gången som ett avtal som Skölden för skydd av privatlivet förkastas. Skölden för skydd av privatlivet var ett direkt resultat av ogiltigförklaringen av ett tidigare avtal, det så kallade ”Safe Harbour Agreement”, redan 2015. Även då var det Max Schrems som klagade över avtalet och säkrade ett gynnsamt beslut. Skölden för skydd av privatlivet var tänkt att bli lösningen på de problem som fanns med Safe Harbour, men det har helt klart inte varit fallet. Vi befinner oss nu i en situation där personuppgifter varken kan överföras till USA via Safe Harbour eller Skölden för skydd av privatlivet och det finns ingen ny, uppenbar lösning.

Smart CTA_e-book SE

Påverkar beslutet din organisation?

Svar ja.

Det påverkar dig om din organisation har amerikanska databehandlare eller samarbetspartners som använder amerikanska databehandlare. Och vem är det som inte på något sätt är intrasslad i tjänsteföretag som exempelvis Microsoft, Google, Amazon? För europeiska organisationer är det svårt att undvika de stora amerikanska teknikjättarna i den dagliga verksamheten. De flesta organisationer är så integrerade med amerikanska tjänster att det skulle vara väldigt dyrt att avsluta ett samarbete.

Men, det är viktigt att ditt företag är försiktig vid eventuella dataöverföringar, eftersom företag som bryter mot GDPR får stora böter.

Ska jag avsluta mitt samarbete med alla amerikanska databehandlare?

Vi vet ännu inte hur beslutet specifikt kommer påverka organisationer. Faktum kvarstår dock att det inte längre är lagligt att exportera data till USA baserat på Skölden för skydd av privatlivet. Men alla organisationer kan inte sluta använda amerikanska företagstjänster från en dag till en annan. Vi har därför hamnat i limbo där vi väntar på att se vad som kommer ske härnäst. Frågan är om det är upp till de enskilda företagen att hitta en lösning eller om lösningen måste göras på politisk nivå.

Om lösningen ligger hos företagen och organisationerna betyder det att företag från USA måste leva upp till samma krav som andra tredje land. Detta innebär att du som registeransvarig måste kunna garantera att din databehandlare kan leva upp till reglerna i Personuppgiftsförordningen. Det lägger mycket arbete på axlarna hos den enskilda organisationen som använder amerikanska databehandlare, eftersom du på egen hand måste göra en riskbedömning från grunden och övervaka dessa företag – men hur kan du förvänta dig att komma fram till en slutsats i din riskbedömning som skiljer sig från EU-domstolen: det uppenbara faktum att företag inte kan garantera att de uppfyller kraven? Och vad gör du om du inte längre kan använda exempelvis Office365? Finns det ens något alternativ? Det finns många svåra frågor och det nya beslutet har från en dag till en annan gjort det svårt att se hur det kommer vara möjligt att använda amerikanska företag som databehandlare.

En politisk lösning

Om lösningen är politisk är det svårt att förutse hur det kommer gå. Ska det finnas vattentäta brandväggar mellan EU och USA? Ska sanktioner införas mot amerikanska företag eller ska lösningen hittas någon annanstans? Det verkar osannolikt att USA kommer att släppa sina övervakningslagar som gör det möjligt för staten att få insyn i data från amerikanska företag.

Om man inte når en konstruktiv lösning på problemet är det svårt att föreställa sig vilka konsekvenser det skulle få. Det skulle i praktiken göra det olagligt att överföra personuppgifter till USA och i brist på en fungerande lösning är framtidsscenariot dystert.

Så vad händer nu då?

För dig kan det vara relevant att undersöka om dina advokater har rekommendationer för hur du ska agera nu. I sin nuvarande form väcker beslutet fler frågor än vad det besvarar. Det enda som är säkert är att domen har fallit ner som en bomb i det digitala samarbetet mellan EU och USA.

Det finns kanske inget annat man kan göra än att ta ett djupt andetag och vänta på meddelanden och rekommendationer från Europeiska dataskyddsstyrelsen som analyserar konsekvenserna av beslutet. Det är dock en bra idé att förbereda sig för vilka de potentiella konsekvenserna kan bli för din organisation ifall du måste hitta nya leverantörer av IT-tjänster, eller måste behandla dessa leverantörer som de från tredje land. Detta kan exempelvis innebära att man väntar och ser när det gäller inköp av nya tjänster och att pausa projekt som gör att organisationen tätare ansluter till amerikanska databehandlare.