Blogg

2020-10-05

Privacy Shield ogiltigförklarat:

Såhär påverkar det er.

I vår dialog med kontakter i branschen har det framkommit att det finns en stor okunskap kring Privacy Shield och vad det innebär att det ogiltigförklarats. Vissa vet inte vad det är, andra är insatta men har missat att det inte längre gäller. Störst är osäkerheten kring vilka konsekvenser beslutet kommer att få, och vad man bör göra nu.

Vi kommer därför att publicera två blogginlägg där vi diskuterar Privacy Shield: Vad det var, varför det ogiltigförklarades, vilka effekterna kan bli, samt förslag på åtgärder.

Målet är att göra det lätt för dig som läsare att förstå vad som har hänt, varför det är viktigt, och vad du bör göra nu.

Vad var Privacy Shield, och hur uppkom det?

Mellan 1998 och 2000 skapades en serie riktlinjer för att hjälpa den privata sektorn i USA och EU att behandla personuppgifter på ett integritetssäkert sätt; de s.k. Safe Harbor-principerna. EU-kommissionen beslutade år 2000 att företag som tillämpade dem ansågs uppfylla dåvarande EU-lagstiftning för integritetsskydd. Klagomål ledde dock till att EU-domstolen tog upp frågan om deras giltighet, och 2015 meddelade man att Safe Harbor-principerna inte kunde garantera EU-medborgarnas rätt till personlig integritet. De fick därför inte längre användas som bevis på att en organisation följde EU-lagstiftningen om integritetsskydd.

För att ersätta Safe Harbor tog EU-kommissionen och USA:s regering gemensamt fram ett nytt ramverk: Privacy Shield-avtalet. Förenklat var Privacy Shield tänkt att underlätta integritetssäker överföring av personuppgifter från EU till USA, och göra det lättare för företag i USA att behandla EU-medborgares personliga information. Avtalet antogs av EU-kommissionen 2016.

Varför ogiltigförklarades Privacy Shield-avtalet?

Även denna gång framfördes klagomål på att avtalet inte kunde garantera EU-medborgares rätt till personlig integritet. De motiverades särskilt av att USA bedriver omfattande övervakning av elektronisk kommunikation som kommer in i landet. EU-domstolen tog än en gång upp frågan, och kom fram till att Privacy Shield-avtalet, precis som Safe Harbor-principerna, inte skyddar EU-medborgarnas personliga integritet till den grad som krävs enligt EU:s dataskyddsförordning, GDPR. EU-domstolen beslutade därför den 16:e juli 2020 att avtalet skulle ogiltigförklaras med omedelbar verkan.

Domstolen fastslog dock att standardavtalsklausuler (Standard Contractual Clauses, SCC), det vanligaste alternativet till Privacy Shield-baserade avtal, fortfarande kunde användas. Men man förtydligade att om dessa ska användas, så måste båda parter kunna visa att deras specifika avtal erbjuder samma eller motsvarande skydd som anges i GDPR.

Beslutet att ogiltigförklara Privacy Shield var inte helt oväntat. Många ansåg redan från början att avtalet hade påtagliga brister, något som också bekräftades i domen från EU-domstolen.

Hur påverkar ogiltigförklaringen av Privacy Shield organisationer i Sverige?

Om man använder sig av tjänster som lagrar eller skickar personuppgifter till USA (t.ex. genom molntjänster) så finns det en risk att denna typ av dataöverföring betraktas som olaglig av EU-domstolen. Det gäller även om det sker via en underleverantör.

Det går ännu inte att säga med säkerhet vad som kommer att hända om man fortsätter att använda sig av ogiltiga avtal. Vi vet dock att integritetsrättsorganisationen NYOB redan den 17:e augusti hade lämnat in anmälningar mot 101 organisationer inom EU, med anledning av EU-domstolens beslut. 6 av dem är registrerade i Sverige.

Från ett integritetsperspektiv är det oroväckande att så pass många tjänster behandlar data på ett sätt som inte kan garantera användarnas personliga integritet. Det visar hur viktigt det är att både offentliga och privata organisationer är medvetna om vilken data man samlar in, och var den tar vägen.

Hur påverkar ogiltigförklaringen av Privacy Shield de som använder Vizzit?

Det korta svaret är: Inte alls. Redan när Safe Harbor-beslutet hävdes så hade Vizzit tagit ett beslut om att:

  • Data endast kommer att lagras i Sverige
  • Insamlad data alltid skulle ägas helt och hållet av kunden
  • Kunden har kontroll över om de vill göra ändringar i vilken data som sparas, tas bort, eller utesluts ur tjänsterna

Vad ska ni göra nu?

Vizzit rekommenderar att man redan nu kartlägger vilken typ av data man skickar, till vem, och vart den tar vägen. Titta även på om era tjänsteleverantörer använder sig av underleverantörer, då även dessa omfattas av EU-domstolens beslut. Som personuppgiftsansvarig har ni det yttersta ansvaret för data ni skickar ut. Tänk även på att definitionen av personuppgift är ganska bred. Här kan du läsa mer om vad som anses vara en personuppgift.

Fortsättning följer, plus ytterligare läsning

I nästa blogginlägg kommer vi titta närmare på vilka konsekvenser EU-domstolens beslut kan få, samt diskutera vad ni kan göra för att undvika dessa.

För dig som vill veta mer om EU-domstolens beslut, så hittar du ytterligare information här:

Mvh,

Vizzit
Make your website happy

Inga kommentarer än