1 februari, 2021

Uppdaterad: Det här innebär Schrems II-domen

En mobil som symboliserar data som skickas till USA.

Privacy Shield gäller inte längre

Den 16 juli 2020 kom EU-domstolen med en dom i Schrems II-målet. Domen innebär att den mekanism för självcertifiering, Privacy Shield, som finns i USA inte ger ett tillräckligt skydd för personuppgifter. Det är alltså inte längre tillåtet för personuppgiftsansvariga i EU att med Privacy Shield som grund överföra personuppgifter till mottagare i USA.

Och detta ställer till det för många personuppgiftsansvariga eftersom detta har varit något man lutat sig mot i många fall av överföringar. Bland annat är Facebooks och Googles personuppgiftshantering under diskussion. Just nu finns det ett fall där bland andra di.se är anmäld och så här skriver JP Infonet:

“Max Schrems och hans organisation noyb har identifierat 101 personuppgiftsansvariga som man menar inte följer Schrems II genom att fortsätta att använda Google Analytics och Facebook Connect. På grundval av dessa observationer har 101 klagomål ingetts till olika tillsynsmyndigheter runt om i Europa. De svenska webbplatser som finns på listan över gjorda klagomål är synonymer.sefamiljeliv.secoop.sedi.se  och tele2.se.”

Integritetsskyddsmyndigheten har nu inlett en granskning av de svenska webbplatserna och förhoppningsvis kommer resultatet innebära att vi får besked om hur vi kan använda till exempel analysverktyget Google Analytics och Facebook-pixlar.

Här kan ni se alla de frågor som Integritetsskyddsmyndigheten ställt till de webbplatsansvariga. En väldigt intressant formulering är denna: “Såvitt ni känner till, vid vilken tidpunkt var det möjligt för respektive Mottagare att få kunskap om användares personuppgifter (t.ex. IP-adresser eller webbläsarbeteende) efter att webbplatsen anropats av en användare? Integritetsskyddsmyndigheten definierar alltså webbläsarbeteende som personuppgifter.

Integritetsskyddsmyndigheten som utfärdade 150 miljoner kronor i sanktionsavgifter under 2020 meddelar också följande:

“EU-domstolen skärpte också kraven på harmonisering genom det så kallade Schrems II-målet – ett avgörande där frågan om överföringar av personuppgifter till länder utanför EU har ställts på sin spets.

– Ett resultat av harmoniseringen inom EU är att vi kommer att utreda alla klagomål och inleda tillsyn i betydligt högre grad än tidigare. Det blir en omställning för myndigheten, men det kommer att stärka skyddet av den personliga integriteten, säger Lena Lindgren Schelin.”

Men, hur ska man tänka nu då?

Hur man ska agera i väntan på besked är svårt att ge ett tydligt svar på. Det är komplicerad materia.

Så här säger advokat Ladenfors till Sveriges Kommunikatörer:
“Det enkla svaret är att man måste sluta med alla dessa tjänster i sin kommunikation. Vill man fortsätta behöver man göra ett stort arbete. Detta är beslut som måste fattas på ledningsnivå. Börja med att kartlägga vilka tjänster och tredjepartsverktyg, som molntjänster, sociala medier och olika samarbetspartners som för över uppgifter till USA. Efter det bör ni titta på om man kan stödja den överföringen på en annan grund än Privacy Shield i GDPR. Gör en gedigen konsekvensbedömning.”

Göteborg stad har just beslutat att ta bort Google Analytics och har dessutom anmält sig själva till Integritetsskyddsmyndigheten. Bolagsverket har agerat på ett liknande sätt.

Men advokater, så väl som myndigheter, är ju som bekant riskaverta och nu verkar det som att till exempel Facebook håller på att ställa om sin verksamhet. Och sannolikt lär väl de stora tjänsterna följa efter. Men hur lång tid det tar, eller om det räcker vet ingen just nu.

Domstolen slog dock fast att kommissionens beslut om standardavtalsklausuler är giltigt och att sådana kan användas vid överföring till länder utanför EU och EES. Vilket kan vara en väg framåt. Men personuppgiftsansvariga inte kan förlita sig på klausulerna utan kan behöva vidta ytterligare skyddsåtgärder beroende på skyddsläget. 

Vi rekommenderar er tills vidare att börja läsa på om Schrems II, och samtidigt gå igenom vilka av era tjänster och personuppgiftsbiträden som skickar uppgifter till tredje land och på vilken grund detta görs. Ni kan läsa mer om vilka grunder som är lagliga i  artiklarna 44-50 i GDPR.
https://www.datainspektionen.se/lagar–regler/dataskyddsforordningen/dataskyddsforordningen—fulltext/#44

Här hittar ni Integritetsskyddsmyndighetens (tidigare Datainspektionen) information om Shrems II.

Credicon agerar rådgivare och processledare i GDPR- och cookiefrågor. Välkommen att kontakta Credicon för att diskutera era behov.