I sommeren 2020 blev ›Schrems II‹ udstedt, en EU-dom, der ugyldiggør databeskyttelsesaftalen mellem EU og USA, kendt som Privacy Shield-aftalen. Dommen udgør en stor udfordring for de mange svenske virksomheder og myndigheder, der i øjeblikket er afhængige af amerikanske cloud-udbydere til at sikre alle data, der er omfattet af GDPR.
Med de amerikanske tjenester risikerer du at overtræde europæisk lovgivning
Mange svenske og europæiske virksomheder og myndigheder bruger i øjeblikket cloud-tjenester og andre it-tjenester fra amerikanske udbydere. Selvom disse udbydere ofte har deres datacentre inden for EU, er deres tjenester ofte afhængige af overførsel af personoplysninger til USA, f.eks. med henblik på at levere supporttjenester. I henhold til GDPR-reglerne har alle EU-borgere en fastlagt ret til beskyttelse af deres privatliv og personoplysninger. Den 16. juli 2020 fastslog Den Europæiske Unions Domstol, at Privacy Shield-aftalen mellem EU og USA ikke giver tilstrækkelig beskyttelse af personoplysninger, når de overføres til USA.
Privacy Shield var en aftale mellem Europa-Kommissionen og den amerikanske regering om en løsning for transatlantiske overførsler af personoplysninger. Modtagere i USA kunne vælge at certificere sig selv i forhold til et sæt regler; kort sagt kunne virksomheder og andre organisationer frivilligt forpligte sig til at opretholde en standard svarende til den i EU. Ugyldiggørelsen af Privacy Shield betyder, at det ikke længere er tilladt for dataansvarlige i EU at overføre personoplysninger til modtagere i USA på grundlag af Privacy Shield.
Dette udgør en stor udfordring for svenske virksomheder og organisationer, som nu skal vurdere deres brug af tjenester, hvor de risikerer at overtræde europæisk lovgivning ved at overføre data til USA. Hver dataansvarlig skal nu foretage sin egen vurdering på baggrund af sine egne overførsler og formål.
Der findes ingen generelt brugbare alternativer til Privacy Shield
Flere amerikanske operatører har svaret, at de nu skifter til standardkontraktbestemmelser, et kontraktbaseret alternativ til Privacy Shield, der underskrives mellem overføreren og modtageren af personoplysninger. Her fastslår Den Europæiske Unions Domstol, at hvis standardkontraktbestemmelser skal bruges til at legitimere overførsler, skal overføreren først vurdere den juridiske situation i modtagerlandet og om den er tilstrækkelig god til at sikre, at de overførte personoplysninger beskyttes. Der er stadig ingen vejledning om, hvorvidt standardkontraktbestemmelser er tilstrækkelige til at beskytte personoplysninger, der overføres til USA i henhold til GDPR.
Standardkontraktbestemmelserne forbliver derfor gyldige, men der bør foretages en konkret vurdering af reglerne i det land, hvor modtageren er etableret. I lyset af EU-Domstolens udtalelser i sin dom om beskyttelsesniveauet for personoplysninger i USA er der meget, der tyder på, at en overførsel til USA baseret på standardbestemmelserne også kan betragtes som ulovlig.
Vælg en IT-infrastruktur, der er bæredygtig for din digitalisering på lang sigt
Cloudinfrastruktur er selve grundlaget for digital transformation. Mange svenske virksomheder og organisationer har nu behov for at evaluere og finde langsigtede bæredygtige supplementer og alternativer til amerikansk it-support, som overholder og beskytter europæiske love og værdier. På lang sigt vil dommen mod Privacy Shield derfor have positive effekter, da den vil føre til øget lokal konkurrence inden for cloud-tjenester og IT-drift, et højere niveau af digital innovation i Sverige og flere valgmuligheder for svenske cloud-købere.
Der findes allerede stærke svenske alternativer på markedet i dag. Hos Binero hjælper vi virksomheder og organisationer med cloud- og infrastrukturtjenester fra vores eget datacenter nord for Stockholm.
Kontakt os, så fortæller vi dig mere!
