Allt du behöver veta om Schrems II och Rules datahantering
Schrems II Domen som trädde i kraft förra året innebär att det är svårare och mer riskfyllt att använda amerikanska molntjänster. I GDPR står det att överföringar av personuppgifter till ett land utanför EU/EES-området, bara får ske om det mottagande landet kan garantera en hög skyddsnivå för uppgifterna. Det har visat sig vara högt komplex och svårt att garantera. Efter Schrems II, är det nämligen inte alls säkert att det i vissa fall existerar någon laglig väg att behandla personuppgifter i USA.
Genom att välja Rule som helhetslösning för din datahantering och kommunikation, behöver du inte lägga tid och resurser för att säkerställa godkänd datalagring, utan känna dig trygg i att det sköts enligt regelverket, via Rule.
Lagra data kompromisslöst inom EU
Många personuppgiftsansvarige i europeiska länder har med fasa noterat att dataskyddsmyndigheter beslutat att amerikanska kommunikationsplattformar, står i strid med gdpr och därför sökt sig till europeisk datahantering. Rule är en svensk helhetsleverantör för datadriven marknadsföring, som lagrar all data kompromisslöst krypterat inom EU. Genom att lagra alla personuppgifter i Rule plattformen, gör du ett tryggt och smart val gällande din datahantering. Vidare säkerställer du genom att följa Rules rekommendationer, att du alltid är på det torra gällande lagringen av personuppgifter för din e-postmarknadsföring och digitala kommunikation.
Vad är Schrems II egentligen?
Både Schrems I och II är döpta efter österrikaren Maximilian Schrems, som är advokat och aktivist. Schrems ansåg att Facebook i Irland inte hade rätt att överföra hans persondata till USA, med hänvisning till att landets massövervakningssystem stod i strid med den europeiska unionens datalagar. EU-domstolen slog fast att det avtal – känt som Safe Harbour – som företag (alltså inte bara Facebook) använt för transatlantisk dataöverföring, inte var giltigt. Domen kom att kallas Schrems I.
Safe Harbour ersattes 2016 med handelsavtalet Privacy Shield (skölden för skydd av privatlivet i EU). Den digitala trafiken mellan EU och USA kunde således fortskrida relativt obehindrat. Företag i USA kunde anmäla sig till det amerikanska handelsdepartementet och meddela att de uppfyllde kraven på skölden för skydd av privatlivet. Den 16 juli 2020 meddelade EU-domstolen att Privacy Shield-avtalet mellan EU och USA inte ger ett tillräckligt skydd för personuppgifter när dessa förs över till USA. Maximilian Schrems andra juridiska korståg vann alltså återigen och domen kallas därför Schrems II.
Vad innebär detta för företag
En sak är glasklar när det kommer till Schrems II: ett företag eller någon annan som är personuppgiftsansvarig kan sedan förra året inte luta sig mot något Privacy Shield-avtal om EU-personuppgifter behandlas i USA. Detta har ogiltigförklarats. Standardavtalsklausuler kan förses med tillägg, men dessa ger dock ingen universell garanti om att det är giltigt i förhållande till gdpr.
Då europeiska dataskyddsstyrelsen ännu inte fastslagit slutliga rekommendationer som vägvisare i tillämpningen av Schrems II, är det särskilt komplicerat och svårgreppat för svenska och övriga europeiska företag att förhålla sig till de nya riktlinjerna. Det ligger därför hos den personuppgiftsansvarige att se till att denne eller dess leverantörer och eventuella underleverantörer efterlever gdpr – vilket har visat sig inte är helt simpelt.
Det finns ingen funktion eller lösning för din digitala kommunikation som du kan hitta hos de amerikanska aktörerna, som du saknar i Rule plattformen.
Många svenska företag som använder sig av amerikanska molntjänster
Schrems II gäller för alla företag som av ett eller annat skäl har för avsikt att behandla EU-personuppgifter i tredje land. Man behöver exempelvis inte leta länge för att hitta ett svenskt företag som använder ett amerikanskt bolags molntjänster. I Schrems II-domen står det att tillsynsmyndigheter i medlemsländerna aktivt ska ingripa mot personuppgiftsansvariga som utan rättsligt stöd för över personuppgifter till tredje land. Integritetsskyddsmyndigheten har börjat inleda granskningar mot svenska företag. Enligt klagomålen har företagen fört över personuppgifter till USA även efter Schrems II-domen. Då det kan bli förödande konsekvenser för de företag som “åker fast”, är det högst relevant att se över de leverantörer man arbetar med, som involverar dataöverföringar till USA, och ställa frågan: Är det absolut nödvändigt med denna lösning eller är det smartare och tryggare att välja en annan leverantör, som håller data säker innanför EU – och tar bort riskerna för en potentiell dom.
Har du några frågor relaterade till GDPR, Schrems II eller Rules datahantering? Kontakta oss!
