EU-dom Schrems II: Hvordan ugyldiggjøringen av Privacy Shield påvirker svenske selskaper og myndigheter

Sommeren 2020 ble «Schrems II» utstedt, en EU-dom som ugyldiggjør databeskyttelsesavtalen mellom EU og USA, kjent som Privacy Shield-avtalen. Dommen utgjør store utfordringer for mange svenske selskaper og myndigheter som for tiden er avhengige av amerikanske cloud service-leverandører for å sikre alle data underlagt GDPR.

Mange svenske og europeiske selskaper og myndigheter bruker for tiden cloud-tjenester og andre IT-tjenester fra amerikanske leverandører. Selv om disse leverandørene ofte har sine datasentre innen EU, er deres tjenester ofte avhengige av overføring av personopplysninger til USA, for eksempel for å gi supporttjenester. Under GDPR-reglene har alle EU-borgere en etablert rett til beskyttelse av deres personvern og personopplysninger. 16. juli 2020 fastslo EU-domstolen at Privacy Shield-avtalen mellom EU og USA ikke gir tilstrekkelig beskyttelse av personopplysninger når de overføres til USA.

Privacy Shield var en avtale mellom Europakommisjonen og den amerikanske regjeringen om en løsning for transatlantiske overføringer av personopplysninger. Mottakere i USA kunne velge å sertifisere seg i henhold til et sett regler; enkelt sagt kunne selskaper og andre organisasjoner frivillig love å opprettholde en standard tilsvarende den i EU. Ugyldiggjøringen av Privacy Shield betyr at det ikke lenger er tillatt for behandlingsansvarlige i EU å overføre personopplysninger til mottakere i USA basert på Privacy Shield.

Dette utgjør store utfordringer for svenske selskaper og organisasjoner, som nå må vurdere sin bruk av tjenester hvor de risikerer å bryte europeisk lovgivning ved å overføre data til USA. Hver behandlingsansvarlig må nå gjøre sin egen vurdering, basert på egne overføringer og formål.

Flere amerikanske aktører har svart at de nå bytter til standard kontraktsklausuler, et kontraktsbasert alternativ til Privacy Shield som signeres mellom overfører og mottaker av personopplysninger. Her sier EU-domstolen at dersom standard kontraktsklausuler skal brukes for å legitimere overføringer, må overføreren først vurdere den juridiske situasjonen i mottakerlandet og om den er tilstrekkelig god til å sikre at de overførte personopplysningene beskyttes. Det finnes fortsatt ingen veiledning om hvorvidt standard kontraktsklausuler er tilstrekkelige for å beskytte personopplysninger overført til USA under GDPR.

Standard kontraktsklausuler forblir derfor gyldige, men en konkret vurdering bør gjøres av reglene i landet hvor mottakeren er etablert. I lys av EU-domstolens uttalelser i sin dom om beskyttelsesnivået for personopplysninger i USA, tyder mye på at en overføring til USA basert på modellklausulene også kan anses som ulovlig.

Cloud-infrastruktur er selve grunnlaget for digital transformasjon. Mange svenske selskaper og organisasjoner må nå evaluere og finne langsiktige bærekraftige komplementer og alternativer til amerikansk IT-støtte som overholder og beskytter europeiske lover og verdier. På lang sikt vil dommen mot Privacy Shield derfor ha positive effekter, da den vil føre til økt lokal konkurranse innen cloud-tjenester og IT-drift, et høyere nivå av digital innovasjon i Sverige og flere valg for svenske cloud-kjøpere.

Det finnes allerede sterke svenske alternativer på markedet i dag. Hos Binero hjelper vi selskaper og organisasjoner med cloud og infrastrukturtjenester fra vårt eget datasenter nord for Stockholm.

Kontakt oss så forteller vi deg mer!