EU-dom Schrems II: Hur ogiltigförklaringen av Privacy Shield påverkar svenska företag och myndigheter

Sommaren 2020 kom "Schrems II", ett EU-avgörande som ogiltigförklarar dataskyddsavtalet mellan EU och USA, känt som Privacy Shield-avtalet. Avgörandet innebär stora utmaningar för många svenska företag och myndigheter som idag är beroende av amerikanska molntjänstleverantörer för att säkra all data som omfattas av GDPR.

Många svenska och europeiska företag och myndigheter använder idag cloud-tjänster och andra IT-tjänster från amerikanska leverantörer. Även om dessa leverantörer ofta har sina datacenter inom EU, är deras tjänster ofta beroende av överföring av personuppgifter till USA, till exempel för att kunna tillhandahålla supporttjänster. Enligt GDPR-reglerna har alla EU-medborgare en fastställd rätt till skydd av sin integritet och sina personuppgifter. Den 16 juli 2020 fastslog EU-domstolen att Privacy Shield-avtalet mellan EU och USA inte ger tillräckligt skydd för personuppgifter när de överförs till USA.

Privacy Shield var ett avtal mellan Europeiska kommissionen och den amerikanska regeringen om en lösning för transatlantiska överföringar av personuppgifter. Mottagare i USA kunde välja att certifiera sig mot ett regelverk; enkelt uttryckt kunde företag och andra organisationer frivilligt lova att upprätthålla en standard liknande den i EU. Ogiltigförklaringen av Privacy Shield innebär att det inte längre är tillåtet för personuppgiftsansvariga i EU att överföra personuppgifter till mottagare i USA med stöd av Privacy Shield.

Detta innebär stora utmaningar för svenska företag och organisationer, som nu måste utvärdera sin användning av tjänster där de riskerar att bryta mot europeisk lag genom att överföra data till USA. Varje personuppgiftsansvarig måste nu göra en egen bedömning, baserad på sina egna överföringar och sina egna ändamål.

Flera amerikanska aktörer har svarat att de nu övergår till standardavtalsklausuler, ett kontraktsbaserat alternativ till Privacy Shield som undertecknas mellan överlämnare och mottagare av personuppgifter. Här fastslår EU-domstolen att om standardavtalsklausuler ska användas för att legitimera överföringar, måste överlämnaren först bedöma den rättsliga situationen i mottagarlandet och om den är tillräckligt god för att säkerställa att de överförda personuppgifterna skyddas. Det finns fortfarande inga riktlinjer för om standardavtalsklausuler är tillräckliga för att skydda personuppgifter som överförs till USA under GDPR.

Standardavtalsklausulerna är alltså fortsatt giltiga, men en konkret bedömning bör göras av reglerna i det land där mottagaren är etablerad. Mot bakgrund av EU-domstolens uttalanden i sitt avgörande om skyddsnivån för personuppgifter i USA, finns mycket som talar för att en överföring till USA baserad på standardavtalsklausuler även kan anses vara olaglig.

Cloud-infrastruktur är själva grunden för digital transformation. Många svenska företag och organisationer behöver nu utvärdera och hitta långsiktigt hållbara komplement och alternativ till amerikanskt IT-stöd som följer och skyddar europeiska lagar och värderingar. På lång sikt kommer avgörandet mot Privacy Shield därför att få positiva effekter, eftersom det kommer leda till ökad lokal konkurrens inom cloud-tjänster och IT-drift, högre nivå av digital innovation i Sverige och fler valmöjligheter för svenska cloud-köpare.

Det finns redan starka svenska alternativ på marknaden idag. På Binero hjälper vi företag och organisationer med cloud och infrastrukturtjänster från vårt eget datacenter norr om Stockholm.

Kontakta oss så berättar vi mer!