Genom att surfa vidare godkänner du att vi använder cookies. Jag förstår

En smartare it-nyhetssajt

Voister förklarar

Schrems II-domen

Eu Ladyjustice Schrems

Schrems II-domen från juli 2020 innebär att det är betydligt svårare att använda amerikanska molntjänster. Men vad betyder domen för dig, hur kom den till och varför heter den Schrems II? Voister förklarar det du behöver veta.

I GDPR står det att överföringar av personuppgifter till tredje land, alltså ett land utanför EU/EES-området, bara får ske om det mottagande landet kan garantera en hög, så kallad adekvat, skyddsnivå för uppgifterna.

Ett antal länder utanför EU/EES har av EU-kommissionen pekats ut ha en adekvat skyddsnivå och är därmed godkända som mottagare av personuppgifter från EU-länder.

USA har under vissa omständigheter varit godkända för överföring av personuppgifter. Där har företag och organisationer haft möjligheten att ansluta sig till regelverket Privacy Shield, som använts för att garantera en adekvat skyddsnivå när personuppgifter överförs till landet.

När Schrems II-domen slogs fast i EU-domstolen den 16 juli 2020 ogiltigförklarades dock regelverket Privacy Shield, vilket innebär att alla personuppgiftsöverföringar till mottagare i USA, som omfattas av regelverket, är olagliga.

Domstolen slog dock fast att EU-kommissionens standardavtalsklausuler som grund för överföring av personuppgifter fortfarande är giltiga. Men det kan krävas ytterligare åtgärder för att garantera skyddet för uppgifterna.

Vad innebär Schrems II-domen?

Domen innebär att aktörer i EU som överför personuppgifter till USA, endast med stöd av Privacy Shield, antingen behöver sluta med detta eller luta sig mot en annan grund för att överföringen ska vara GDPR-kompatibel.

Om en överföring sker med stöd av EU-kommissionens standardavtalsklausuler behöver en personuppgiftsansvarig reda ut ifall överföringen kan fortgå eller om ytterligare skyddsåtgärder behövs.

Det ligger alltså på varje personuppgiftsansvarig att bedöma om och vilka åtgärder som behöver göras. Om inte ytterligare skyddsåtgärder är möjliga behöver den personuppgiftsansvariga avbryta överföringen.

Vad är en personuppgift?

Enligt Integritetsskyddsmyndigheten, tidigare Datainspektionen, är personuppgifter all slags information som kan knytas till en levande person. Det kan handla om namn, adress och personnummer. Foton på personer klassas som personuppgifter och även ljudinspelningar som lagras digitalt kan vara personuppgifter fast det inte nämns några namn i inspelningen.

Ett bolagsnummer är oftast inte en personuppgift men kan vara det om det handlar om ett enmansföretag. Registreringsnumret på en bil kan vara en personuppgift om det går att knyta till en fysisk person.

Varför heter det Schrems I och II?

Schremsii

Den österriske juristen Max Schrems.

Max Schrems är en österrikisk jurist, nätaktivist och Facebook-användare. När han upptäckte att hans personuppgifter, helt eller delvis, överfördes från Facebooks servrar på Irland till dem i USA så anmälde han det till den irländska dataskyddsmyndigheten.

Max Schrems begärde då att myndigheten skulle förbjuda dessa överföringar och menade att USA inte säkerställer en tillräcklig skyddsnivå för personuppgifter. Han hävdade att Safe Harbor-avtalet som reglerade dataöverföringar mellan EU och USA inte höll måttet. I oktober 2015 fick Max Schrems rätt när EU-domstolen, i det som kallas Schrems I-domen, ogiltigförklarade Safe Harbor.

Safe Harbor ersattes sedermera av ett nytt avtal, nämligen Privacy Shield, som Max Schrems lämnade in nya klagomål emot. Här gjorde Max Schrems gällande att Facebook, enligt amerikansk rätt, var skyldigt att ställa överförda personuppgifter till amerikanska myndigheters förfogande, till exempel NSA och FBI. Han hävdade att dessa uppgifter kan användas av olika övervakningsprogram på sätt som är oförenligt med EU-stadgar gällande grundläggande rättigheter. I juli 2020 vann Max Schrems i EU-domstolen igen och Privacy Shield ogiltigförklarades i det som kallas Schrems II-domen. 

Vad händer efter Schrems II-domen?

I Schrems II-domen står att tillsynsmyndigheter i medlemsländerna aktivt ska ingripa mot personuppgiftsansvariga som utan rättsligt stöd för över personuppgifter till tredje land. Därmed går det att förvänta sig en mer aktiv tillsyn än vad som var fallet efter att Safe Harbor ogiltigförklarades i Schrems I-domen.

Integritetsskyddsmyndigheten har inlett sex granskningar mot svenska företag efter att myndigheten fått in klagomål från None of Your Business, NOYB, en organisation som Max Schrems grundade. Enligt klagomålen har företagen fört över personuppgifter till USA även efter Schrems II-domen.

22 februari 2021 Reporter Fredrik Adolfsson säkerhet Foto Adobestock, Internetstiftelsen

Rekommenderad läsning

Gult Trafikljus Mot Blå Himmel

Digitala nationella prov försenas

2 mar 2021 säkerhet

Plattformen som de digitala nationella proven ska ligga på uppfyller inte de juridiska kraven för skydd av personuppgifter. Nu skjuts därför både proven och testverksamheten upp.

Publik Stolar
video
Ett samarbete med Microsoft

Azure för publik sektor

1 dec 2020 digit

Microsoft lanserar Molndesign för Offentlig Sektor, en lösning som ska förenkla användandet av molntjänster i Microsoft Azure för kommuner, regioner och myndigheter.

Två Tecknade Mobiler Med Hjärtan Över Sig

Dejta via Facebook

26 okt 2020 digit

Nu kommer Facebooks dejtingtjänst till Europa, däribland Sverige. Enligt Facebook har redan 1,5 miljarder matchningar skapats i de 20 länder som har tillgång till tjänsten. 

Flod Vid Vindeln

Förbud utmanar Vakin

20 okt 2020 säkerhet

Det norrländska vatten- och avfallsverksamhetsbolaget Vakin kan inte använda molnet fullt ut, vilket bidrar till utmaningar. Genom ett samarbete med bland annat Umeå energi kan verksamheten lösa nuvarande säkerhetsbehov, men framöver hoppas it-chef Mats Wilhelmsson på svenska molntjänster.

Datainspektionen Folk På Stan

Nya Datainspektionen

2 okt 2020 digit

Vid årsskiftet byter Datainspektionen namn till Integritetsskyddsmyndigheten, IMY. Förändringen beror delvis på införandet av EU:s dataskyddsförordning GDPR.

Två Tjejer Posear För En Selfie Mot Gul Bakgrund

Oracle + Tiktok

15 sep 2020 digit

Molntjänstbolaget Oracle blir Tiktoks teknikpartner för den amerikanska marknaden. Det är en uppgörelse som ser ut att ha mer politiska än affärsmässiga motiv.  

Barnekow Some
podcast

Så skapar MS förtroende

5 jun 2020 digit

Digitalisering är en lagsport som kräver samarbete och mindre konsensus. Det menar Hélène Barnekow Sverigechef Microsoft, som beskriver sig som en envis framtidsoptimist i Voisterpodden tillsammans med Kalle Hultenheim, vd Atea Sverige och Lisa Nore, Voister. 

två coronavirus, en röd till vänster och en blå till höger.jpg

Stopp för fake news

18 mar 2020 säkerhet

Facebook, Google, Linkedin, Microsoft, Twitter Youtube och Reddit. Alla de stora plattformarna går samman för att motverka att falsk information om coronaviruset sprids via dem.

coronavirus1.jpg

AI mot corona

10 feb 2020 digit

Aktörer i både USA och Kina använder sig av AI och maskininlärning för att stoppa spridningen av coronaviruset. Samtidigt utnyttjar hackare allmänhetens ökande oro genom phishing-mejl med farliga länkar.