Vad innebär Schrems II ? –
Varför VisionFlow är ett säkert och smart val för er ärendehantering.
Den 16 juli 2020 meddelade EU-domstolen Schrems II-domen som innebär att användningen av amerikanska molntjänster fått omfattande konsekvenser.
I GDPR står det att överföringar av personuppgifter till tredje land, alltså ett land utanför EU/EES-området, bara får ske om det mottagande landet kan garantera en hög, så kallad adekvat, skyddsnivå för uppgifterna. Detta har visat sig vara oerhört komplext, vilket gör det svårt att ge några garantier för att man ska kunna uppfylla den sagda skyddsnivån. Efter Schrems II, är det nämligen inte alls säkert att det i vissa fall existerar någon laglig väg att behandla personuppgifter i USA.
Väljer du VisionFlow för din ärendehantering och CRM kan du vara lugn att vi som en lokal nordisk aktör förhåller oss till GDPR och datalagring inom EU. All information hanteras säkert, VisionFlow har de nödvändiga funktioner för att du och din organisation ska kunna uppfylla GDPR-lagstiftningen.
Med VisionFlow kan du alltid känna dig trygg att all vår kundinformation hålls säker inom Sveriges gränser.
Vad är Schrems?
C-362/14 och C-311/18 är det vi idag kallar Schrems I och II. Det båda är domar ifrån EU-domstolen döpta efter österrikaren Maximillian Schrems, som är jurist och nätaktivist.
Maximilian Schrems tog strid mot Facebook i Irland då han inte ansåg att de förbehöll sig rätten till att föra över hans persondata till USA, med hänvisning till att det landets massövervakningssystem stod i strid med den Europeiska unionens datalagar.
Rättsfallet tog sig till EU-domstolen som gav Schrems rätt. Det som EU-domstolen slagit fast var att det avtal – känt som Safe Harbour – som företag använt för transatlantisk dataöverföring, inte var giltigt. I slutändan var det alltså inte enbart Facebook som drabbades. Domen kom att kallas Schrems I.
Safe Harbour ersattes 2016 med handelsavtalet Privacy Shield (skölden för skydd av privatlivet i EU). Den digitala trafiken mellan EU och USA kunde således fortskrida relativt obehindrat. Företag i USA kunde anmäla sig till det amerikanska handelsdepartementet och meddela att de uppfyllde kraven på skölden för skydd av privatlivet.
Den 16 juli 2020 meddelade EU-domstolen att Privacy Shield-avtalet mellan EU och USA inte ger ett tillräckligt skydd för personuppgifter när dessa förs över till USA.
Maximilian Schrems vann alltså återigen och domen kallas därför Schrems II.
Vad innebär detta för svenska företag och organisationer?
Schrems II gäller alla företag som har skäl och avsikt att behandla personuppgifter inom EU i ett tredje land. Det är mycket vanligt att ramla över svenska företag som använder amerikanska molntjänster.
I Schrems II-domen står det att tillsynsmyndigheter i medlemsländerna aktivt ska ingripa mot personuppgiftsansvariga som utan rättsligt stöd för över personuppgifter till tredje land. Integritetsskyddsmyndigheten har börjat inleda granskningar mot svenska företag.
Granskningen är ett samarbete på EU-nivå som utförs inom ramen för EDPB (Europeiska Dataskyddsstyrelsen) arbetsgrupp som har uppförts för att hantera de klagomål som har kommit in sen Schrems II-domen föll.
Vad händer då om man inte följer Schrems -domen?
Inte heller de exakta konsekvenserna av att inte följa de nya reglerna är klarlagda än i och med att inget fall har prövats efter Schrems II-domen föll. Men utgår man ifrån hur tidigare brott mot EU´s dataskyddförordning har behandlats så finns det risk för vite, sanktionsavgifter och skadestånd.
Då det kan bli förödande konsekvenser för de företag som “åker fast”, är det högst relevant att se över de leverantörer man arbetar med, som involverar dataöverföringar till USA, och ställa frågan: Är det absolut nödvändigt med denna lösning eller är det smartare och tryggare att välja en annan leverantör, som håller data säker innanför EU – och tar bort riskerna för en potentiell dom.
