SIG Security

Den 16 juli 2020 kom EU-domstolens dom i det så kallade Schrems II-målet (C-311/18) och som gäller frågan om modellen enligt Privacy Shield för överföring av personuppgifter till USA är förenlig med GDPR. På liknande sätt som vid det tidigare ogiltigförklarandet den 6 oktober 2015 (C-362/14) av dess föregångare, Safe Harbour, har EU-domstolen nu ogiltigförklarat även Privacy Shield. Detta väcker nu frågan om det alls är möjligt att överföra och behandla personuppgifter i USA, som enligt GDPR utgör ett tredje land (land utanför EU eller EES) som kräver särskilda försiktighetsåtgärder.

Av domen framgår att inte heller Privacy Shield ger tillräckliga garantier för att personuppgifterna kommer att omfattas av tillräckligt skydd eller tillräckliga garantier för att de i övrigt behandlas i enlighet med GDPR i USA. Det går fortfarande inte att förutse i vilken omfattning och på vilket sätt uppgifterna kan komma att användas i USA:s underrättelseverksamhet eller verksamhet för USA:s nationella säkerhet. Detta betyder bland annat att det inte går att förutse konsekvenserna av att personuppgifterna blir tillgängliga för USA:s myndigheter. Därför är det heller inte särskilt överraskande att även Privacy Shield nu kommit att underkännas.

Domen leder emellertid till en rad olika problem, inte minst eftersom en stor del av de leverantörer som tillhandahåller olika tjänster och lösningar för informationshantering är hemmahörande i USA och har amerikanska moderbolag eller ingår på annat sätt i amerikanska företagskoncerner. Detta medför att vi i mycket hög grad är hänvisade till och beroende av de amerikanska leverantörerna och deras tjänster eller lösningar för vår informationshantering. Att vi nu skulle tvingas avsluta användandet av dessa tjänster eller lösningar blir av lätt insedda skäl i det närmaste praktiskt omöjligt, samtidigt som vår behandling av personuppgifter inte får bryta mot GDPR och EU-domstolens dom.

Så, vad gör vi nu? (Informationen nedan kräver inloggning som medlem)