Annons
Annons
  • Johan Sundberg, advokat och ansvarig för personuppgiftsfrågor på advokatfirman DLA Nordic, till vänster, och Hans-Olof Lindblom, chefsjurist på Datainspektionen, till höger.

EU-dom kräver åtgärder av företagen

Publicerad 7 oktober 2015, kl 13:56

EU-domstolens ogiltigförklarande av dataöverföringsavtalet Safe Harbor i går innebär att mängder av svenska företag genast måste vidta åtgärder för att inte bryta mot PUL och EU:s dataskyddsregler. Men domen kan också ge skjuts i förhandlingarna mellan EU och USA om ett nytt avtal.

I går rapporterade Kollega.se om att EU-domstolen ogiltigförklarat det så kallade Safe Harbor-avtalet som gör det möjligt för europeiska företag att skicka  personuppgifter till amerikanska företag, trots att dataskyddsreglerna är betydligt striktare i EU än i USA.

Domen innebär att överföring av europeiska personuppgifter, till exempel kunddata via en molnbaserad betaltjänst, till ett företag i USA kan ha blivit olaglig, från en dag till nästa.

Nu brådskar det för mängder av svenska företag att vidta åtgärder, för att inte riskera att bryta mot den svenska personuppgiftslagen, PUL, och de europeiska dataskyddsreglerna. Det menar Johan Sundberg, advokat och ansvarig för personuppgiftsfrågor på advokatfirman DLA Nordic.

- Först och främst behöver man göra en inventering av vilka avtal man har med leverantörer och samarbetspartners där man kan ha förlitat sig på Safe Harbor som legal grund för överföring av personuppgifter. Bara det kan vara ett ganska omfattande arbete för en större organisation.

För större koncerner med verksamhet på olika håll i världen rekommenderar Johan Sundberg att man ser om det kan vara lämpligt att gå över till EU-kommissionens standardavtalsklausuler och i andra hand, på längre sikt, kan så kallade ”binding corporate rules”, företagsinterna dataskyddsregler vara ett alternativ.

- Det är också en ganska komplex process och kräver godkännande från en dataskyddsmyndighet.

Mindre och medelstora företag med amerikanska tjänsteleverantörer bör så snart som möjligt omförhandla sina avtal, menar han.

- Det bör också ligga i tjänsteleverantörens intresse att hitta en lösning. De kanske kan se till att data stannar på servrar i EU, till exempel genom att styra över till datahallar här. Eller hitta samarbeten med europeiska leverantörer.

Vad händer om man inte vidtar några åtgärder, utan tänker att det här löser sig nog?

- Berörda personer kan kräva skadestånd förstås. För brott mot personuppgiftslagens förbud mot tredjelandsöverföring ligger straffskalan på böter eller fängelse.  Jag tror inte att Datainspektionen kommer att börja jaga folk med blåslampa men vill man vara ”compliant” (lagenlig) bör man se till att se över detta så snart som möjligt, säger Johan Sundberg.

Datainspektionens chefsjurist Hans-Olof Lindblom håller med om att svenska företag bör se över sina avtal, men vill samtidigt poängtera att allt som omfattas av PUL inte innebär känsliga personuppgifter och att det också kan hända att vissa uppgifter måste kunna överföras för att ett svenskt företag ska kunna fullfölja avtal med sina kunder. Alla måste tänka efter ordentligt nu, säger han.

- Det kanske låter lite hopplöst. Det var ju det som var bra med det generella avtalet, där man bara behövde se till att leverantören var ansluten till Safe Harbor.

EU-dom ger skjuts i dataskyddsförhandlingar

Redan 2013 lyfte EU-kommissionären Viviane Reeding (bilden) frågan om Safe Harbor-avtalets integritetsskydd, som hon menade inte höll tillräcklig nivå. Hon sa då att avtalet fungerar som ett kryphål för amerikanska företag, som bör täppas till. Sedan dess har det pågått förhandlingar om ett nytt avtal mellan EU och USA. 

Efter Edward Snowdens avslöjanden om hur den amerikanska underrättelsemyndigheten NSA fått tillgång till stora mängder data från företag, uppmanade EU-parlamentet i en resolution medlemsländerna att överväga vidare överföring av data till USA. Man menade att de lagar som tillät NSA tillgång till uppgifterna slog undan benen på dataskyddet i Safe Harbor.

Ändå är det Safe Harbor som varit det generella avtal som funnits för handel av datatjänster över Atlanten i över ett decennium. Tusentals företag har förlitat sig på det.

Att EU-domstolen i går ogiltigförklarade Safe Harbor kan innebära att amerikanska IT-jättar som Google, Microsoft, Apple, Facebook och Twitter nu sätter eld i baken på sina förhandlare.

- Det sätter förstås press på amerikanerna. Det är i grunden bra för förhandlingarna att man satt ner foten från EU:s sida. Det kan leda till att man når en lösning snabbare, säger advokat Johan Sundberg.

EU-domstolens ogiltigförklarande av avtalet välkomnades också av EU-kommissionärerna Vera Jourová och Frans Timmermans vid en presskonferens i går

Hans-Olof Lindblom, chefsjurist på Datainspektionen, tycker att det är intressant att domstolen var så snabb att leverera dom i målet – något som brukar ta mycket längre tid.

- När generaladvokatens yttrande kom för ett par veckor sedan var det lite som en blixt från klar himmel. Att domstolen också var så snabb är ovanligt. Så det kom lite plötsligt för oss.

På Datainspektionen har man ännu inte hunnit utfärda några praktiska råd till svenska företag och organisationer, men Hans-Olof Lindblom säger att det kommer mer information på myndighetens hemsida inom kort. 

 

Vad är Safe Harbor?

Safe Harbour är en samling regler om personlig integritet och dataskydd som tagits fram och beslutats av USA:s handelsdepartement för att uppnå vad som avses tillräcklig datasäkerhet i EU:s dataskyddsregler. Det är frivilligt för företag att ansluta sig till Safe Harbour. Med en sådan anslutning till Safe Harbour-reglerna blir det tillåtet att föra över personuppgifter från EU/EES till organisationer och företag i USA.

Även många svenska och europeiska företag och företagskoncerner använder sig av Safe Harbour-avtal för att kunna föra personuppgifter och annan data kors och tvärs över Atlanten, särskilt de som arbetar med olika molntjänster.

När EU-domstolen nu ogiltigförklarat Safe Harbor-principerna som tillräckliga för att överföringen av europeiska data ska anses adekvat skyddad – innebär det ett potentiellt stopp av tusentals verksamheter.

Läs hela domen (på svenska) här. 

Är din amerikanska tjänsteleverantör ansluten? Se listan på företag som är anslutna till Safe Harbor här!

Gabriella Westberg
Gabriella Westberg
[email protected]
@Tidn_Kollega
Lediga jobb
  • Läs även...

    Småföretag saknar digital kompetens

    Under pandemin har vi experimenterat med digital teknik och nya arbetssätt. Men när vi återvänder till kontoren finns risk att allt blir som vanligt igen. Det visar en ny rapport.

  • Läs även...

    Andreas fick nytt jobb på 11 dagar

    När coronakrisen slog till blev driftteknikern Andreas Molinder Agborg av med jobbet. Elva dagar senare skrev han på ett nytt kontrakt. Han uppmanar arbetslösa att använda sina nätverk och att fokusera på allt de lärt sig i arbetslivet.

  • Läs även...

    Google gör sig av med fackligt aktiva

    Medarbetare på Google hävdar att de blivit av med jobben på grund av sitt fackliga arbete. De planerar att stämma företaget i den amerikanska motsvarigheten till Arbetsdomstolen.