Förra veckan slog EU-domstolen fast att personuppgifter inte längre kan överföras till USA med stöd av Privacy Shield mot bakgrund av den omfattande lagstiftning om övervakning som finns i USA (C-311/18, “Schrems II-målet”).
Domen påverkar alla verksamheter som använder molntjänstleverantörer med säte i USA, som till exempel Microsoft (Office 365, Azure), Google (G-Suite, Google Analytics), Amazon (Amazon Web Services) och videokonferensverktyget Zoom, då användning av molntjänster oftast innebär en behandling av personuppgifter.
Vad innebär EU-domstolens beslut?
En effekt av EU-domstolens beslut är alltså att det inte längre är lagligt att överföra personuppgifter till USA med stöd av Privacy Shield, vilket idag omfattar över 5000 amerikanska företag. Verksamheter som ändå använder Privacy Shield för överföring av personuppgifter till USA riskerar höga sanktionsavgifter enligt dataskyddsförordningen (“GDPR”).
EU-domstolen begränsade även möjligheten för verksamheter att använda standardavtalsklausuler (“SCC”) som ett vedertaget alternativ till Privacy Shield för överföring av personuppgifter till USA (läs mer om detta här). En följd av detta är att även en felaktig användning av SCC för överföring av personuppgifter till USA, kan leda till brott mot GDPR.
Vad säger tillsynsmyndigheterna?
Datainspektionen har meddelat att Europeiska Dataskyddsstyrelsen (“EDPB”) närmare ska analysera domen och överväga hur EDPB ska arbeta vidare med information och vägledning i de frågor som EU-domstolens beslut aktualiserar (läs mer om detta här).
Andra tillsynsmyndigheter runt om i Europa är tydligare i frågan. Berlins motsvarighet till Datainspektionen avråder exempelvis verksamheter som idag överför personuppgifter till USA, särskilt när det gäller molntjänstleverantörer, att istället använda tjänsteleverantörer etablerade i EU eller i ett annat land som har tillräckligt hög skyddsnivå för personuppgiftsbehandlingen (läs mer om detta här).
Vad behöver jag göra?
För att undvika att bryta mot reglerna om tredjelandsöverföring i GDPR rekommenderar vi att företag, myndigheter och andra organisationer som använder sig av molntjänstleverantörer med säte i USA gör följande:
- Analyserar i vilken utsträckning Privacy Shield och SCC används i avtal med leverantörer i USA
- Analyserar i vilken utsträckning SCC används i avtal med leverantörer i övriga tredjeländer
- Gör en riskbedömning och kartläggning av möjliga åtgärder för att säkerställa en laglig överföring av personuppgifter till tredjeländer
- Vidtar nödvändiga åtgärder så fort som möjligt
- Justerar verksamhetens strategi för hanteringen av tredjelandsöverföringar framöver
Vill du lära dig mer om GDPR, molntjänster och informationssäkerhet kan du läsa om våra aktuella kurser här.
Vill du ha hjälp med rådgivning i frågor om dataskydd och personlig integritet kan du läsa mer här.