Annons
  • Johan Sundberg, advokat och ansvarig för personuppgiftsfrågor på advokatfirman DLA Nordic, till vänster, och Hans-Olof Lindblom, chefsjurist på Datainspektionen, till höger.

EU-dom kräver åtgärder av företagen

Publicerad 7 oktober 2015, kl 13:56

EU-domstolens ogiltigförklarande av dataöverföringsavtalet Safe Harbor i går innebär att mängder av svenska företag genast måste vidta åtgärder för att inte bryta mot PUL och EU:s dataskyddsregler. Men domen kan också ge skjuts i förhandlingarna mellan EU och USA om ett nytt avtal.

I går rapporterade Kollega.se om att EU-domstolen ogiltigförklarat det så kallade Safe Harbor-avtalet som gör det möjligt för europeiska företag att skicka  personuppgifter till amerikanska företag, trots att dataskyddsreglerna är betydligt striktare i EU än i USA.

Domen innebär att överföring av europeiska personuppgifter, till exempel kunddata via en molnbaserad betaltjänst, till ett företag i USA kan ha blivit olaglig, från en dag till nästa.

Nu brådskar det för mängder av svenska företag att vidta åtgärder, för att inte riskera att bryta mot den svenska personuppgiftslagen, PUL, och de europeiska dataskyddsreglerna. Det menar Johan Sundberg, advokat och ansvarig för personuppgiftsfrågor på advokatfirman DLA Nordic.

- Först och främst behöver man göra en inventering av vilka avtal man har med leverantörer och samarbetspartners där man kan ha förlitat sig på Safe Harbor som legal grund för överföring av personuppgifter. Bara det kan vara ett ganska omfattande arbete för en större organisation.

För större koncerner med verksamhet på olika håll i världen rekommenderar Johan Sundberg att man ser om det kan vara lämpligt att gå över till EU-kommissionens standardavtalsklausuler och i andra hand, på längre sikt, kan så kallade ”binding corporate rules”, företagsinterna dataskyddsregler vara ett alternativ.

- Det är också en ganska komplex process och kräver godkännande från en dataskyddsmyndighet.

Mindre och medelstora företag med amerikanska tjänsteleverantörer bör så snart som möjligt omförhandla sina avtal, menar han.

- Det bör också ligga i tjänsteleverantörens intresse att hitta en lösning. De kanske kan se till att data stannar på servrar i EU, till exempel genom att styra över till datahallar här. Eller hitta samarbeten med europeiska leverantörer.

Vad händer om man inte vidtar några åtgärder, utan tänker att det här löser sig nog?

- Berörda personer kan kräva skadestånd förstås. För brott mot personuppgiftslagens förbud mot tredjelandsöverföring ligger straffskalan på böter eller fängelse.  Jag tror inte att Datainspektionen kommer att börja jaga folk med blåslampa men vill man vara ”compliant” (lagenlig) bör man se till att se över detta så snart som möjligt, säger Johan Sundberg.

Datainspektionens chefsjurist Hans-Olof Lindblom håller med om att svenska företag bör se över sina avtal, men vill samtidigt poängtera att allt som omfattas av PUL inte innebär känsliga personuppgifter och att det också kan hända att vissa uppgifter måste kunna överföras för att ett svenskt företag ska kunna fullfölja avtal med sina kunder. Alla måste tänka efter ordentligt nu, säger han.

- Det kanske låter lite hopplöst. Det var ju det som var bra med det generella avtalet, där man bara behövde se till att leverantören var ansluten till Safe Harbor.

EU-dom ger skjuts i dataskyddsförhandlingar

Redan 2013 lyfte EU-kommissionären Viviane Reeding (bilden) frågan om Safe Harbor-avtalets integritetsskydd, som hon menade inte höll tillräcklig nivå. Hon sa då att avtalet fungerar som ett kryphål för amerikanska företag, som bör täppas till. Sedan dess har det pågått förhandlingar om ett nytt avtal mellan EU och USA. 

Efter Edward Snowdens avslöjanden om hur den amerikanska underrättelsemyndigheten NSA fått tillgång till stora mängder data från företag, uppmanade EU-parlamentet i en resolution medlemsländerna att överväga vidare överföring av data till USA. Man menade att de lagar som tillät NSA tillgång till uppgifterna slog undan benen på dataskyddet i Safe Harbor.

Ändå är det Safe Harbor som varit det generella avtal som funnits för handel av datatjänster över Atlanten i över ett decennium. Tusentals företag har förlitat sig på det.

Att EU-domstolen i går ogiltigförklarade Safe Harbor kan innebära att amerikanska IT-jättar som Google, Microsoft, Apple, Facebook och Twitter nu sätter eld i baken på sina förhandlare.

- Det sätter förstås press på amerikanerna. Det är i grunden bra för förhandlingarna att man satt ner foten från EU:s sida. Det kan leda till att man når en lösning snabbare, säger advokat Johan Sundberg.

EU-domstolens ogiltigförklarande av avtalet välkomnades också av EU-kommissionärerna Vera Jourová och Frans Timmermans vid en presskonferens i går

Hans-Olof Lindblom, chefsjurist på Datainspektionen, tycker att det är intressant att domstolen var så snabb att leverera dom i målet – något som brukar ta mycket längre tid.

- När generaladvokatens yttrande kom för ett par veckor sedan var det lite som en blixt från klar himmel. Att domstolen också var så snabb är ovanligt. Så det kom lite plötsligt för oss.

På Datainspektionen har man ännu inte hunnit utfärda några praktiska råd till svenska företag och organisationer, men Hans-Olof Lindblom säger att det kommer mer information på myndighetens hemsida inom kort. 

 

Vad är Safe Harbor?

Safe Harbour är en samling regler om personlig integritet och dataskydd som tagits fram och beslutats av USA:s handelsdepartement för att uppnå vad som avses tillräcklig datasäkerhet i EU:s dataskyddsregler. Det är frivilligt för företag att ansluta sig till Safe Harbour. Med en sådan anslutning till Safe Harbour-reglerna blir det tillåtet att föra över personuppgifter från EU/EES till organisationer och företag i USA.

Även många svenska och europeiska företag och företagskoncerner använder sig av Safe Harbour-avtal för att kunna föra personuppgifter och annan data kors och tvärs över Atlanten, särskilt de som arbetar med olika molntjänster.

När EU-domstolen nu ogiltigförklarat Safe Harbor-principerna som tillräckliga för att överföringen av europeiska data ska anses adekvat skyddad – innebär det ett potentiellt stopp av tusentals verksamheter.

Läs hela domen (på svenska) här. 

Är din amerikanska tjänsteleverantör ansluten? Se listan på företag som är anslutna till Safe Harbor här!

Gabriella Westberg
Gabriella Westberg
[email protected]
@Tidn_Kollega
Lediga jobb
  • Läs även...

    Nytt råd ska värna den svenska modellen i EU

    Fack och arbetsgivare går ihop för att slå vakt om den svenska arbetsmarknadsmodellen på EU-nivå. I ett nybildat råd samsas företrädare från huvudorganisationerna inom privat sektor.

  • Läs även...

    Så skyddar du din data

    Stora aktörer som Google och Facebook samlar in massor av information om dig. Men det finns alternativ till jättarna. Och enligt IT-säkerhetsexperten Anne-Marie Eklund Löwinder behöver vi inte vara särskilt oroliga tack vare GDPR.

  • Läs även...

    Ständiga omorganisationer sliter på medarbetarna

    7 av 10 tjänstemän har varit med om en omorganisation det senaste året. Målet brukar vara att bli effektivare och lönsammare. Men för personalen är förändringarna ofta slitsamma.

  • Läs även...

    Här är det enda som hjälper mot utbrändhet

    Möjlighet att bestämma över sitt eget arbete och socialt stöd är viktigt på en arbetsplats. Men inte nog för att förhindra utbrändhet. För det krävs sänkta krav i jobbet.

  • Läs även...

    Dyrt att bryta mot GDPR

    I dag smäller det! Nu ska alla EU-medborgares privatliv vara bättre skyddade. Medlemskap i fackförbund är en av de personuppgifter som fått ett särskilt skydd.

  • Läs även...

    Ny lag slår mot ideella föreningar

    I maj nästa år ersätts personuppgiftslagen av en ny dataskyddsförordning, förkortad GDPR. Den berör inte minst medlemsorganisationer som måste se till att uppfylla de nya reglerna för att inte riskera stora böter.

  • Läs även...

    Tuffa tider för miljardärer

    Det är "tuffa" tider för väldens rikaste. En rapport från schweiziska banken UBS visar att dollarmiljardärernas sammanlagda tillgångar sjönk i fjol. Men i Sverige blev det summa summarum en ny dollarmiljardär.

  • Läs även...

    Ett stort steg närmare visselblåsarskydd

    Under måndagen antog EU:s ministerråd visselblåsardirektivet. Därmed var det sista hindret att stoppa direktivet avklarat och det blir snart förbjudet att straffa anställda som rapporterar om oegentligheter på jobbet.

  • Läs även...

    Avatarer ska hjälpa oss stressa mindre

    Helena Lindgren, professor på Institutionen för datavetenskap vid Umeå universitet, har fått sex miljoner för att forska om hur framtida socialt intelligenta digitala kompanjoner kan få oss mindre stressade på jobbet och få en bättre balans i arbetslivet.

Nyhetsbrev

Prenumerera

Håll dig uppdaterad med färska nyheter från Kollega.