EU-domstolens dom i Shrems II-målet från juli 2020 har ogiltigförklarat Privacy Shield-avtalet mellan EU och USA, eftersom man ansåg att det inte gav ett tillräckligt skydd för personuppgifter när dessa förs över till USA. Domen innebär att personuppgiftsansvariga inte längre kan använda sig av Privacy Shield som grund för att föra över personuppgifter till USA.
Bakgrund
I GDPR finns ett allmänt förbud mot att föra personuppgifter ur EU såvida inte mottagarlandet har en tillräckligt hög skyddsnivå för personuppgifter eller att det fanns ett annat undantag t.ex. Privacy Shield, standardavtalsklausuler (SCC), eller att det föreligger ett uttryckligt samtycke från den registrerade.
Eftersom Privacy Shield numera har ogiltigförklarats måste organisationer själva säkerställa att personuppgifter inte hamnar i USA. I en organisation måste man således ha kontroll över vilka leverantörer och underleverantörer man använder och säkerställa att en ingen av dessa överför personuppgifter till USA. Detta kompliceras av att många organisationer använder sig av IT-tjänster som levereras av amerikanska bolag; exempelvis Teams och Onedrive.
Vad behöver man göra nu?
Alla organisationer måste inventera vilka tjänster man använder och se över sina personuppgiftsbiträdesavtal och sina informationspolicies. Om man använder privacy shield som grund måste det bytas ut.
Om man identifierar att överföringar sker till USA till måste man göra en riskbedömning vid varje enskild överföring. Man måste titta på omständigheter kring själva överföringen. Är det fråga om en enstaka överföring av personuppgifter? Rör det känsliga personuppgifter eller harmlösa sådana? Kan man vidta kompletterande åtgärder, exempelvis ytterligare skyddsåtgärder?
Sammanfattning i fyra punkter på vad man måste göra nu
- Inventera personuppgiftsbehandlingar
- Gör en rättslig bedömning
- Vidta eventuella åtgärder
- Dokumentera er bedömning
Välkommen att höra av er om ni har fler frågor/funderingar.
Comments are closed