KRÖNIKA – av Jennie Nilsson, Head of Information Technology and Data Privacy och Victoria Jin, Biträdande jurist, Intellectual Property & Technology Law, Baker McKenzie Advokatbyrå
Få personer som arbetar med GDPR torde ha missat att EU-domstolen den 16 juli 2020 underkände EU-U.S. Privacy Shield som en giltig säkerhetsåtgärd för att överföra personuppgifter från EU till USA: den så kallade Schrems II-domen. Vi ser att många företag fortfarande inte har vidtagit tillräckligt med åtgärder.
Enligt GDPR får företag inom EU inte föra över personuppgifter utanför EU (såvida inte det mottagande landet tillhör ett av de fåtal länder som har blivit ”vitlistade”* av EU-kommissionen) utan att vidta lämpliga skyddsåtgärder.
Det är inte ovanligt för ett företag att ha omkring 200 leverantörer som i någon mån behöver behandla personuppgifter för att kunna utföra sina uppdrag. Ett typexempel är olika systemleverantörer. För alla dessa relationer krävs biträdesavtal. Som en följd av EU-domstolens avgörande i Schrems II-domen behöver samma företag som har fått sina biträdesavtal på plats kartlägga vilka som har angivit EU-U.S. Privacy Shield som säkerhetsåtgärd för att överföra personuppgifter från EU till USA. För internationella verksamheter uppstår motsvarande problem för koncerninterna överföringar. Dessa bolag har ofta koncerninterna avtal som reglerar överföringar av personuppgifter inom koncernen – även där krävs en giltig säkerhetsåtgärd.
Vi rekommenderar att företag vidtar följande åtgärder:
– Ersätt EU-U.S. Privacy Shield med en annan juridisk lösning
Det finns ett antal olika säkerhetsåtgärder som företag kan tillämpa för att föra över personuppgifter från EU till USA eller ett annat tredje land. Avtal som innehåller så kallade standardavtalsklausuler (som handlar om dataskydd) var redan före Schrems II-domen en populär säkerhetsåtgärd, och används nu än mer flitigt. Många företag har ersatt EU-U.S. Privacy Shield med standardavtalsklausuler i avtalen med sina leverantörer. Standardavtalsklausulerna räcker dock inte alltid.**
– Säkerställ hur lagarna fungerar i mottagarlandet
Bolag behöver analysera till vilka länder personuppgifter överförs och de lagar som gäller där. Användning av standardavtalsklausuler kräver nämligen ytterligare åtgärder för att försäkra sig om att skyddet för behandling av personuppgifter, som tack vare GDPR finns inom EU, inte försämras vid behandling av personuppgifter i länder utanför EU. Det mottagande landet får inte ha lagar som strider mot GDPR. En viktig faktor är hur övervakningslagarna i det mottagande landet är utformade och i vilken utsträckning de omfattar det bolag som behandlar personuppgifterna utanför EU.
– Analysera svaren från leverantörerna
Svaren från leverantörerna behöver alltid analyseras. Vi har dessutom sett att många leverantörer inte enkelt och tydligt förmår svara på de frågor som deras kunder i EU ställer, vilket i sig kan påkalla att vara än mer försiktig. Frågan om överföring av personuppgifter ligger högt på agendan, vilket illustreras av att Department of Commerce i USA nu i september har lanserat en vitbok i syfte att ge vägledning till organisationer som ska bedöma om behandlingar av personuppgifter är skyddade på lämpligt sätt vid överföring till USA. Enligt vitboken är det få företag som har någon typ av data som är intressant för amerikansk underrättelsetjänst. Dock är vitboken inte avsedd att ge vägledning om europeiska lagar.
– Avvakta inte en ny EU-U.S. Privacy Shield – risk för sanktionsavgifter
Ett febrilt arbete pågår för att ersätta och uppdatera EU-U.S. Privacy Shield, för att uppnå den standard som krävs för att överföra personuppgifter mellan EU och USA på ett säkert sätt. Många företag avvaktar därför en ny EU-U.S Privacy Shield, och fortsätter att överföra känsliga personuppgifter till USA, utan tillräckligt skydd. Vi avråder ifrån detta.
Datainspektionen kan utfärda sanktionsavgifter mot företag som bryter mot GDPR på som mest 20 miljoner euro eller fyra procent av bolagets globala årsomsättning, beroende på vilket belopp som är högst. Även om Datainspektionen, enligt egen utsago, troligen inte kommer att döma ut maximala sanktionsavgifter så kan beloppen bli avsevärda. Därtill kommer risk för skadeståndsanspråk från de personer vars uppgifter har behandlats på ett felaktigt sätt. Därutöver, icke att förglömma, tillkommer även risk för negativ publicitet och påverkan på företagets anseende. Det är alltså inte rätt tillfälle att sitta still i båten. I samma anda som för allt arbete inom GDPR lämnar vi därmed ett slutgiltigt råd – det är alltid bättre att göra något än att göra inget, och tiden att agera är nu.
*För mer info om vilka länder som omfattas: https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_sv
** Det finns fler säkerhetsåtgärder, men vi utgår i denna artikel ifrån standardavtalsklausulerna eftersom detta är den mest använda åtgärden.
