Genom att surfa vidare godkänner du att vi använder cookies. Jag förstår

Voister förklarar

Schrems II-domen

Eu Ladyjustice Schrems

Schrems II-domen från juli 2020 innebär att det är betydligt svårare att använda amerikanska molntjänster. Men vad betyder domen för dig, hur kom den till och varför heter den Schrems II? Voister förklarar det du behöver veta.

I GDPR står det att överföringar av personuppgifter till tredje land, alltså ett land utanför EU/EES-området, bara får ske om det mottagande landet kan garantera en hög, så kallad adekvat, skyddsnivå för uppgifterna.

Ett antal länder utanför EU/EES har av EU-kommissionen pekats ut ha en adekvat skyddsnivå och är därmed godkända som mottagare av personuppgifter från EU-länder.

USA har under vissa omständigheter varit godkända för överföring av personuppgifter. Där har företag och organisationer haft möjligheten att ansluta sig till regelverket Privacy Shield, som använts för att garantera en adekvat skyddsnivå när personuppgifter överförs till landet.

När Schrems II-domen slogs fast i EU-domstolen den 16 juli 2020 ogiltigförklarades dock regelverket Privacy Shield, vilket innebär att alla personuppgiftsöverföringar till mottagare i USA, som omfattas av regelverket, är olagliga.

Domstolen slog dock fast att EU-kommissionens standardavtalsklausuler som grund för överföring av personuppgifter fortfarande är giltiga. Men det kan krävas ytterligare åtgärder för att garantera skyddet för uppgifterna.

Vad innebär Schrems II-domen?

Domen innebär att aktörer i EU som överför personuppgifter till USA, endast med stöd av Privacy Shield, antingen behöver sluta med detta eller luta sig mot en annan grund för att överföringen ska vara GDPR-kompatibel.

Om en överföring sker med stöd av EU-kommissionens standardavtalsklausuler behöver en personuppgiftsansvarig reda ut ifall överföringen kan fortgå eller om ytterligare skyddsåtgärder behövs.

Det ligger alltså på varje personuppgiftsansvarig att bedöma om och vilka åtgärder som behöver göras. Om inte ytterligare skyddsåtgärder är möjliga behöver den personuppgiftsansvariga avbryta överföringen.

Vad är en personuppgift?

Enligt Integritetsskyddsmyndigheten, tidigare Datainspektionen, är personuppgifter all slags information som kan knytas till en levande person. Det kan handla om namn, adress och personnummer. Foton på personer klassas som personuppgifter och även ljudinspelningar som lagras digitalt kan vara personuppgifter fast det inte nämns några namn i inspelningen.

Ett bolagsnummer är oftast inte en personuppgift men kan vara det om det handlar om ett enmansföretag. Registreringsnumret på en bil kan vara en personuppgift om det går att knyta till en fysisk person.

Varför heter det Schrems I och II?

Schremsii

Den österriske juristen Max Schrems.

Max Schrems är en österrikisk jurist, nätaktivist och Facebook-användare. När han upptäckte att hans personuppgifter, helt eller delvis, överfördes från Facebooks servrar på Irland till dem i USA så anmälde han det till den irländska dataskyddsmyndigheten.

Max Schrems begärde då att myndigheten skulle förbjuda dessa överföringar och menade att USA inte säkerställer en tillräcklig skyddsnivå för personuppgifter. Han hävdade att Safe Harbor-avtalet som reglerade dataöverföringar mellan EU och USA inte höll måttet. I oktober 2015 fick Max Schrems rätt när EU-domstolen, i det som kallas Schrems I-domen, ogiltigförklarade Safe Harbor.

Safe Harbor ersattes sedermera av ett nytt avtal, nämligen Privacy Shield, som Max Schrems lämnade in nya klagomål emot. Här gjorde Max Schrems gällande att Facebook, enligt amerikansk rätt, var skyldigt att ställa överförda personuppgifter till amerikanska myndigheters förfogande, till exempel NSA och FBI. Han hävdade att dessa uppgifter kan användas av olika övervakningsprogram på sätt som är oförenligt med EU-stadgar gällande grundläggande rättigheter. I juli 2020 vann Max Schrems i EU-domstolen igen och Privacy Shield ogiltigförklarades i det som kallas Schrems II-domen. 

Vad händer efter Schrems II-domen?

I Schrems II-domen står att tillsynsmyndigheter i medlemsländerna aktivt ska ingripa mot personuppgiftsansvariga som utan rättsligt stöd för över personuppgifter till tredje land. Därmed går det att förvänta sig en mer aktiv tillsyn än vad som var fallet efter att Safe Harbor ogiltigförklarades i Schrems I-domen.

Integritetsskyddsmyndigheten har inlett sex granskningar mot svenska företag efter att myndigheten fått in klagomål från None of Your Business, NOYB, en organisation som Max Schrems grundade. Enligt klagomålen har företagen fört över personuppgifter till USA även efter Schrems II-domen.

22 februari 2021 Reporter Fredrik Adolfsson säkerhet Foto Adobestock, Internetstiftelsen

Rekommenderad läsning

Digitala Nationella Prov Schremsii

Schrems II försenar DNP ytterligare

5 maj 2021 digit

Schrems II-domen försenar införandet av digitala nationella prov i upp till 2,5 år. Anledningen är att proven måste hantera personuppgifter i enlighet med EU:s dataskyddsförordning GDPR, men Skolverkets leverantör har sin provplattform i Storbritannien. 

Vgr Covid19

VGR säkrar på distans

23 apr 2021 säkerhet

För att säkra distansarbetare under pandemin använder Västragötalandsregionen en ny VPN-tjänst och en multifaktor-lösning. Andra viktiga pusselbitar är molnet, krypterade hårddiskar och en SIEM-plattform som loggar vad användare utsätts för. 

NIS2 Lakemedel
Voister förklarar

NIS2

9 mar 2021 Voister förklarar

Dagens NIS-direktiv ställer krav på alla verksamheter som sysslar med samhällsviktiga tjänster. Men nu har EU-kommissionen föreslagit att direktivet ska uppdateras i det som kallas NIS2 för att bättre anpassas efter dagens säkerhetsbehov. Planen är också att många fler aktörer kommer att beröras och för den som bryter mot direktivet kommer straffet att bli kännbart.

 

Gult Trafikljus Mot Blå Himmel

Digitala nationella prov försenas

2 mar 2021 säkerhet

Plattformen som de digitala nationella proven ska ligga på uppfyller inte de juridiska kraven för skydd av personuppgifter. Nu skjuts därför både proven och testverksamheten upp.

Publik Stolar
video
Ett samarbete med Microsoft

Azure för publik sektor

1 dec 2020 digit

Microsoft lanserar Molndesign för Offentlig Sektor, en lösning som ska förenkla användandet av molntjänster i Microsoft Azure för kommuner, regioner och myndigheter.

Två Tecknade Mobiler Med Hjärtan Över Sig

Dejta via Facebook

26 okt 2020 digit

Nu kommer Facebooks dejtingtjänst till Europa, däribland Sverige. Enligt Facebook har redan 1,5 miljarder matchningar skapats i de 20 länder som har tillgång till tjänsten. 

Flod Vid Vindeln

Förbud utmanar Vakin

20 okt 2020 säkerhet

Det norrländska vatten- och avfallsverksamhetsbolaget Vakin kan inte använda molnet fullt ut, vilket bidrar till utmaningar. Genom ett samarbete med bland annat Umeå energi kan verksamheten lösa nuvarande säkerhetsbehov, men framöver hoppas it-chef Mats Wilhelmsson på svenska molntjänster.

Datainspektionen Folk På Stan

Nya Datainspektionen

2 okt 2020 digit

Vid årsskiftet byter Datainspektionen namn till Integritetsskyddsmyndigheten, IMY. Förändringen beror delvis på införandet av EU:s dataskyddsförordning GDPR.

Två Tjejer Posear För En Selfie Mot Gul Bakgrund

Oracle + Tiktok

15 sep 2020 digit

Molntjänstbolaget Oracle blir Tiktoks teknikpartner för den amerikanska marknaden. Det är en uppgörelse som ser ut att ha mer politiska än affärsmässiga motiv.