EU-dommen Schrems II: Hvordan ugyldiggørelsen af Privacy Shield påvirker svenske virksomheder og myndigheder

I sommeren 2020 blev "Schrems II" udstedt, en EU-dom, der ugyldiggør databeskyttelsesaftalen mellem EU og USA, kendt som Privacy Shield-aftalen. Dommen udgør store udfordringer for mange svenske virksomheder og myndigheder, der i øjeblikket er afhængige af amerikanske cloud-tjenesteudbydere for at sikre alle data, der er omfattet af GDPR.

Mange svenske og europæiske virksomheder og myndigheder bruger i øjeblikket cloud-tjenester og andre IT-tjenester fra amerikanske leverandører. Selvom disse leverandører ofte har deres datacentre inden for EU, er deres tjenester ofte afhængige af overførsel af personoplysninger til USA, for eksempel med henblik på at levere supporttjenester. Under GDPR-reglerne har alle EU-borgere en etableret ret til beskyttelse af deres privatliv og personoplysninger. Den 16. juli 2020 afgjorde Den Europæiske Domstol, at Privacy Shield-aftalen mellem EU og USA ikke giver tilstrækkelig beskyttelse af personoplysninger, når de overføres til USA.

Privacy Shield var en aftale mellem Europa-Kommissionen og den amerikanske regering om en løsning for transatlantiske overførsler af personoplysninger. Modtagere i USA kunne vælge at certificere sig selv i forhold til et sæt regler; enkelt sagt kunne virksomheder og andre organisationer frivilligt love at opretholde en standard, der ligner den i EU. Ugyldiggørelsen af Privacy Shield betyder, at det ikke længere er tilladt for dataansvarlige i EU at overføre personoplysninger til modtagere i USA på grundlag af Privacy Shield.

Dette udgør store udfordringer for svenske virksomheder og organisationer, som nu skal vurdere deres brug af tjenester, hvor de risikerer at overtræde europæisk lovgivning ved at overføre data til USA. Hver dataansvarlig skal nu foretage sin egen vurdering baseret på egne overførsler og egne formål.

Flere amerikanske operatører har svaret, at de nu overgår til standardkontraktbestemmelser, en kontraktbaseret alternativ til Privacy Shield, der underskrives mellem overfører og modtager af personoplysninger. Her fastslår Den Europæiske Domstol, at hvis standardkontraktbestemmelser skal bruges til at legitimere overførsler, skal overføreren først vurdere den juridiske situation i modtagerlandet og om den er tilstrækkelig god til at sikre, at de overførte personoplysninger er beskyttede. Der er stadig ingen vejledning om, hvorvidt standardkontraktbestemmelser er tilstrækkelige til at beskytte personoplysninger, der overføres til USA under GDPR.

Standardkontraktbestemmelserne forbliver derfor gyldige, men der bør foretages en konkret vurdering af reglerne i det land, hvor modtageren er etableret. I lyset af Den Europæiske Domstols udtalelser i sin dom om beskyttelsesniveauet for personoplysninger i USA, tyder meget på, at en overførsel til USA baseret på modelklausulerne også kan betragtes som ulovlig.

Cloud-infrastruktur er det helt fundamentale for digital transformation. Mange svenske virksomheder og organisationer skal nu vurdere og finde langsigtede bæredygtige komplementer og alternativer til amerikansk IT-support, der overholder og beskytter europæiske love og værdier. På lang sigt vil dommen mod Privacy Shield derfor have positive effekter, da den vil føre til øget lokal konkurrence inden for cloud-tjenester og IT-drift, et højere niveau af digital innovation i Sverige og flere valgmuligheder for svenske cloud-købere.

Der findes allerede stærke svenske alternativer på markedet i dag. Hos Binero hjælper vi virksomheder og organisationer med cloud og infrastrukturtjenester fra vores eget datacenter nord for Stockholm.

Kontakt os, så fortæller vi dig mere!