Schrems II-domen från 2020 innebär att det i de flesta fall inte längre är tillåtet att överföra personuppgifter från EU/EES till organisationer som lyder under amerikansk lag. Det har potentiellt enorma konsekvenser för alla företag och myndigheter som behandlar personuppgifter i molnet, eftersom dessa i de flesta fall finns hos amerikanska molnleverantörer som Microsoft, IBM och Google.
Men vad säger egentligen lagen?
Vad krävs för att följa EU:s dataskyddsförordning GDPR?
Schrems II-domen – en kort rekapitulering
Amerikanska lagar ger myndigheterna rätt att inhämta personuppgifter om utländska medborgare, vilket såklart inkluderar EU-medborgare. Närmare bestämt lagar kända som FISA (Foreign Intelligence Surveillance Act), CLOUD Act och Executive Order 12333.
Problemet är att detta står i konflikt med EU:s dataskyddsförordning.
Amerikanska myndigheter som NSA (National Security Agency) har ju i praktiken obegränsad tillgång till alla personuppgifter, oavsett om syftet är att bekämpa terrorism eller något annat.
Lagstiftningen är något av ett rörligt mål och det är inte lätt att hänga med. Många vet inte om att de gör sig skyldiga till regelöverträdelser eftersom de inte ens vet vilka krav de behöver leva upp till.
Låt oss ta en titt på hur det ligger till.
GDPR vs CLOUD Act
Den europeiska dataskyddsstyrelsen EDPB (European Data Protection Board) har tagit fram en mängd riktlinjer som rör dataskydd och gäller allt från samtycke och personuppgifter i onlinetjänster till riktad annonsering i sociala medier. I Sverige är det Integritetsskyddsmyndigheten IMY:s uppgift att se till att organisationer följer dataskyddsförordningen.
Alla som hanterar personuppgifter inom EU och EES är skyldiga att följa GDPR för att i skydda personernas integritet. Exempelvis omfattas alla som har ett HR-system eller kundregister, eller som behandlar personuppgifter i sin kärnverksamhet (hälso- och sjukvård, skola, omsorg etc.). Med andra ord i praktiken alla svenska organisationer.
I grunden behöver ditt företag alltså ha koll på GDPR. GDPR är ett omfattande regelverk som vi inte kommer att gå in på i detalj här, men IMY har utmärkt, aktuell information. Något förenklat bygger GDPR på 7 grundläggande principer, Ditt företag ansvarar för att följa dem och måste kunna visa att de följs och hur.
En princip behandlar integritet och konfidentialitet och säger att personuppgifter ska skyddas så att ingen obehörig kommer åt dem, och så att de inte används på ett otillåtet sätt. Den som behandlar dem måste därför införa lämpliga tekniska och organisatoriska säkerhetsåtgärder. Till tekniska åtgärder räknas till exempel brandväggar, kryptering, pseudonymisering, säkerhetskopiering och anti-virusskydd. Organisatoriska åtgärder handlar till exempel om interna rutiner, instruktioner och riktlinjer.
Även om ditt företag uppfyller detta till punkt och pricka för dina egna personuppgifter, så är ansvaret ditt om du väljer ett biträde som lyder under amerikansk lag. (Ett biträde är den som behandlar personuppgifter för den personuppgiftsansvariges räkning.) För det innebär ju att en myndighet i ett annat land både har laglig rätt och teknisk möjlighet att komma åt uppgifterna och i princip göra vad den vill med dem. Detta är just nu konsekvensen av att USA:s nationella säkerhetsintressen har kolliderat med EU:s integritetsskydd.
Överföringar till tredje land
När personuppgifter blir tillgängliga eller behandlas hos någon i ett land utanför EU/EES räknas de som överföring till tredje land. Använder du tjänsteleverantörer utanför EU/EES eller behandlar personuppgifter i en molntjänst baserad utanför EU/EES, sker alltså tredjelandsöverföringar. Att ”publicera något på internet” är enligt IMY däremot inte en tredjelandsöverföring om webbplatsen lagras hos en internetleverantör som är etablerad inom EU/EES.
Överföringar till länder utanför EU/EES är i princip bara tillåtna i två fall:
- Landet har bedömts ha ”adekvat skyddsnivå”, däribland Japan, Sydkorea och Storbritannien – men det gäller alltså inte USA.
- Lämpliga skyddsåtgärder har vidtagits, till exempel bindande företagsbestämmelser eller standardavtalsklausuler.
Lämpliga skyddsåtgärder
Så vad är då ”lämpliga skyddsåtgärder”?
Bindande företagsbestämmelser (Binding Corporate Rules, BCR) är regler som en multinationell företagskoncern tar fram, som reglerar hur den ska behandla personuppgifter. De måste dock godkännas av IMY eller någon annan tillsynsmyndighet i EU genom en lång process. Men även om en koncern har fått sina bindande företagsbestämmelser godkända ska koncernen själv bedöma om överföringen håller måttet och vid behov vidta ytterligare säkerhetsåtgärder, eller rentav avstå från att göra den. Och de flesta organisationer är ju inte multinationella.
Schrems II-domen säger att EU:s så kallade standardavtalsklausuler (SCC, Standard Contractual Clauses) kan användas i affärsavtal vid överföring till länder utanför EU och EES. Standardavtalsklausulerna innehåller skyldigheter för personuppgiftsansvariga och parten som tar emot uppgifterna och hur tvister ska lösas. Framför allt måste företag försäkra sig om att dataskyddet i mottagarlandets – ”tredje land” utanför EU och EES – är likvärdigt med EU:s dataskydd. Det kräver i sin tur en riskbedömning av dataflödet, molnleverantörens tillgång till uppgifterna och mottagarlandets lagstiftning.
Det sista, mottagarlandets lagstiftning, är intressant, eftersom Schrems II-domen slår fast att dataskyddet inte är likvärdigt med EU:s just på grund av USA:s lagstiftning.
I Tyskland beslutade en av landets dataskyddsmyndigheter 2021 att en tysk förläggares användning av amerikanska Mailchimp som levererar e-posttjänster strider mot GDPR. Deras motivering var att förläggaren inte gjort någon bedömning av huruvida det krävdes något tekniskt tillägg till standardavtalsklausulen. Standardavtalsklausuler kan med andra ord inte tillämpas enskilt för leverantörer som omfattas av Schrems II.
Om ditt företag använder Microsoft 365 eller andra amerikanska appar och plattformar för att behandla kunddata, är det tyvärr alltså ingen lätt uppgift att säkerställa GDPR-efterlevnad genom lämpliga skyddsåtgärder.
På IMY:s hemsida finns mer detaljerade riktlinjer och uppdateringar.
Patrik Jonasson, vice VD och expert dataskydd (GDPR), informationssäkerhet och IT-säkerhet, IT-Säkerhetsbolaget
Ladda ned vår guide om dataskydd efter Schrems II-domen.
Källor: