Blog
2020-10-19
Livet efter Privacy Shield:
Sätt att undvika konsekvenserna av EU-domstolens beslut
I vårt föregående blogginlägg så pratade vi om bakgrunden till ogiltigförklarandet av Privacy Shield-avtalet, och hur beslutet påverkar de organisationer som använder tjänster som kräver överföring av personuppgifter. Vi tittade även på en rekommenderad första åtgärd.
Men vilka konsekvenser kan EU-domstolens beslut få, och vad kan ni göra för att undvika dessa?
Sammanfattning av föregående inlägg
Den 16:e juli 2020 ogiltigförklarade EU-domstolen det s.k. Privacy Shield-avtalet. Detta innebär att alla avtal som använde sig av Privacy Shield för att överföra personuppgifter från EU till USA omedelbart blev ogiltiga. Då många organisationer använder sig av så kallade standardavtalsklausuler (Standard Contract Clauses, SCC) som komplement till Privacy Shield-baserade avtal, så valde domstolen att även klargöra reglerna för deras användning.
Vi rekommenderade att ni kartlägger vilken information ni skickar, till vem, och vart den tar vägen.
Kortsiktiga konsekvenser
Som tidigare nämnt är en omedelbar konsekvens att fortsatt dataöverföring med Privacy Shield som grund leder till att man riskerar anmälan eller åtal. Dock vet vi inte ännu hur allvarligt Datainspektionen kommer att se på överträdelser.
Samtidigt har många bättre koll på vad som gäller kring integritet nu, jämfört med för bara tio år sedan. Man är därför mer intresserad av vad som händer med data man lämnar ifrån sig. Hur en organisation väljer att behandla sina kunders data kan därför komma att påverka de egna affärsrelationerna.
Konsekvenser på längre sikt
Europeiska dataskyddsstyrelsen (EDPB) kommer under hösten komma ut med rekommendationer på hur man ska anpassa sitt arbete efter EU-domstolens beslut. Förhoppningsvis kommer dessa rekommendationer att förtydliga vad som får och inte får göras vid överföring av personuppgifter till USA.
Men det är viktigt att även sätta EU-domstolens beslut i ett större sammanhang:
- Det är nu andra gången på fem år som EU-domstolen ogiltigförklarar ett ramverk för dataöverföring på grunder kopplade till integritetsrätt, och samtidigt stramar åt reglerna för överföring av personuppgifter till USA. En av de avgörande orsakerna i båda fallen är den omfattande övervakningen av elektronisk kommunikation som USA bedriver.
- Det finns inga tecken på att USA kommer att begränsa sina övervakningsprogram den närmast tiden. Samtidigt påpekar både svenska och internationella jurister att USA:s nuvarande övervakningsprogram ser ut att vara oförenligt med GDPR. Om en kompromiss nås, så kommer den nås av politiska skäl, snarare än juridiska.
- Didier Reynders, en av EU-kommissionens 27 ledamöter och med ansvar för rättsliga frågor, har varnat att en ”snabb lösning” är utesluten, och att det behövs ”en hållbar lösning som bidrar med juridisk klarhet”. Detta talar emot att en ny uppgörelse skulle kunna nås utan lagändringar eller ytterligare domslut.
Det finns med andra ord inga tecken på att frågan om överföring av personuppgifter från EU till USA kommer att kunna lösas den närmaste tiden. Nya riktlinjer för hur man ska tillämpa existerande regelverk kommer att underlätta arbetet till dess att ett nytt avtal kan slutas. Men de kommer inte att kunna lösa den underliggande osäkerheten i konflikten mellan GDPR och amerikansk lagstiftning.
Det finns inte heller några garantier att EU-domstolen kommer att godkänna ett nytt avtal, om inte antingen USA eller EU förändrar sina lagar.
Sätt att undvika konsekvenserna av EU-domstolens beslut
Det finns ett antal sätt som ni kan minska, eller rentav helt undvika problematiken som vi diskuterat ovan. Här följer några tips:
- Som vi skrev i förra inlägget: Om ni inte redan har gjort det, börja med att kartlägga vilken typ av information som ni skickar, till vem, och vart. Ta även reda på hur de organisationer som ni skickar personuppgifter till behandlar den informationen.
- Se över vilka av era informationsflöden som skulle kunna bryta mot GDPR i och med EU-domstolens beslut. Behöver ni göra några ändringar?
- Om ett informationsflöde riskerar att bryta mot dataskyddsförordningen, eller om det finns en osäkerhet, överväg alternativa lösningar. Finns det liknande tjänster som behandlar och lagrar data inom EU eller Sverige, som ni kan använda istället?
- Finns det sätt som ni kan anonymisera eller skydda data innan ni skickar den, och ändå uppnå samma resultat? Om ni t.ex. använder molntjänster för lagring, finns det krypteringslösningar ni kan använda för att skydda datan innan den laddas upp?
Lösningen måste inte vara att slänga ut alla tjänster som är baserade i USA. Men det är en bra idé att bilda sig en uppfattning om hur fortsatt osäkerhet kommer att påverka den egna verksamheten, och vilka alternativ som erbjuder en ökad trygghet.
Frågor och ytterligare information
Om ni har några frågor kring Privacy Shield, Vizzit, eller något annat vi skrivit här, hör gärna av er! Maila era frågor till info@vizzit.se, eller ring oss på 08 545 888 60, så tar vi en fortsatt dialog.
Mvh,
Vizzit Make your website happy