Sommaren 2020 kom ’Schrems II’, en EU-dom som underkänner dataskyddsavtalet mellan EU och USA, det så kallade Privacy Shield-avtalet. Domen för med sig stora utmaningar för de många svenska företag och myndigheter som idag är beroende av amerikanska molntjänstleverantörer, att säkra all den data som lyder under GDPR.
Med de amerikanska tjänsterna riskerar du att bryta mot europeisk lagstiftning
En mängd svenska och europeiska företag och myndigheter använder idag molntjänster och andra IT-tjänster från amerikanska leverantörer. Även om aktörerna ofta har sina datacenter inom EU, så är tjänsterna många gånger beroende av överföringar av personuppgifter till USA, till exempel för utförande av supportärenden. Alla EU-medborgare har genom GDPR-reglerna en fastslagen rätt till skydd för sitt privatliv och sina personuppgifter. Den 16 juli 2020 slog EU-domstolen fast att Privacy Shield-avtalet mellan EU och USA inte ger ett tillräckligt skydd för personuppgifter när dessa förs över till USA.
Privacy Shield var en överenskommelse mellan EU-kommissionen och USA:s regering om en lösning för transatlantiska överföringar av personuppgifter. Mottagare av i USA kunde välja att certifiera sig mot en uppsättning regler; enkelt uttryckt kunde företag och andra organisationer frivilligt lova att hålla en standard som liknar den som råder i EU. Ogiltigförklarandet av Privacy Shield innebär att det inte längre är tillåtet för personuppgiftsansvariga i EU att med Privacy Shield som grund överföra personuppgifter till mottagare i USA.
Det här innebär stora utmaningar för svenska företag och organisationer, som nu behöver utvärdera sin användning av tjänster där de riskerar att bryta mot europeisk lagstiftning genom att föra över data till USA. Varje personuppgiftsansvarig måste nu göra sin egen bedömning, utifrån sina egna överföringar och sina egna syften.
Generellt gångbara alternativ till privacy shield saknas
Flera amerikanska aktörer har svarat att de nu går över till standardavtalsklausuler, ett kontraktsbaserat alternativ till Privacy Shield som tecknas mellan överförare och mottagare av personuppgifter. Här säger EU-domstolen att om standardavtalsklausuler ska användas för att legitimera överföringar, måste överföraren först bedöma det rättsliga läget i mottagarlandet och huruvida detta är tillräckligt gott för att de överförda personuppgifterna ska vara skyddade. Det finns ännu ingen vägledning om standardavtalsklausulerna är tillräckliga för att skydda personuppgifter som överförs till USA, utifrån GDPR.
Standardavtalsklausulerna är alltså fortsatt giltiga men det bör göras en konkret bedömning av reglerna i det land där den mottagande parten är etablerad. Mot bakgrund av EU-domstolens uttalanden i domen avseende skyddsnivån för personuppgifter i USA, talar mycket för att en överföring till USA med stöd av modellklausulerna också kan anses vara otillåten.
Välj it-infrastruktur som är långsiktigt hållbar för er digitalisering
Molninfrastrukturen utgör själva grunden i den digitala transformationen. Många svenska företag och organisationer behöver nu utvärdera och hitta långsiktigt hållbara komplement och alternativ till amerikanskt IT-stöd, som följer och värnar europeiska lagar och värderingar. Långsiktigt kommer därmed domen mot Privacy Shield att få positiva effekter, då den för med sig en ökad lokal konkurrens inom molntjänster och IT-drift, en högre digital innovationsgrad i Sverige och fler valmöjligheter för svenska molnköpare.
Det finns redan idag starka svenska alternativ på marknaden. Vi på Binero hjälper företag och organisationer med moln- och infrastrukturtjänster från vårt egna datacenter norr om Stockholm. Kontakta oss så berättar vi mer!
