Vi befinner oss i en tid då det gäller att ha total kontroll över de personuppgifter som sin organisation hanterar. Med Schrems ii domen (när EU’s domstol slog fast att Privacy Shield-avtalet mellan EU och USA inte ger ett tillräckligt skydd för personuppgifter när dessa förs över till USA) är det verkligen ”i tiden” att se över hur sin data kommunicerar med andra system. Vad som skickas, till vem och varför.

Oliver Zellweger arbetar hos oss som konsult inom informationssäkerhet och privacy. Han har tidigare arbetat som dataskyddssamordnare på Region Halland. Innan det arbetade han som samordnare inom informationssäkerhet och dataskyddsombud på Melleruds Kommun.

Men räcker det inte att ha rättslig grund (t.ex. samtycke, eller intresseavvägning) för att föra över uppgifter som e-postadress, personnummer och annan känslig information till ett tredjeland, som USA? Schrems ii domen är ganska tydlig. Men det går att göra egna tolkningar innan praxis finns.

– I samband med tredjelandsöverföringar behöver du analysera kraven som finns i GDPR vid överföringar av personuppgifter till USA. Analyserna ska vara fördjupade och belysa om importören, i detta fall USA, kan ge tillräckliga garantier för att skydda personuppgifterna. Detta görs lämpligast med hjälp av en konsekvensbedömning som ger insikt och förståelse för personuppgiftsbehandlingens konsekvenser och risker. Om den genomförda konsekvensbedömningen visar att kraven inte uppfylls, behöver du titta närmare på kompletterande åtgärder alternativt hitta andra leverantörer, säger Oliver Zellweger, konsult informationssäkerhet och privacy på Secify.

När det gäller frågan om det är möjligt att anlita amerikanska leverantörer, samt vilka garantier och åtgärder som skulle kunna tänkas vara tillräckliga, så är rättsläget inte helt klart idag.

– I Schrems II-domen går det att läsa att standardavtalsklausuler, som bland annat innehåller skyldigheter för exportörer och importörer, kan behöva kompletteras med ytterligare skyddsåtgärder vid överföring till USA. Det är dock högst oklart vilka garantier och hur effektiva dessa kompletterande skyddsåtgärder skulle vara i förhållande till amerikansk lagstiftning. Som utförare behöver du göra en helhetsbedömning i varje enskilt fall, avslutar Oliver.

Under förra året inledde integritetsskyddsmyndigheten granskningar kopplat till Schrems ii domen. Sinovum Media AB (synonymer.se), Modern Women Media Sweden AB (familjeliv.se), Coop Sverige AB (coop.se), Dagens industri AB (di.se), Tele2 Sverige AB (tele2.se) och CDON AB (cdon.fi).

Henrik Petterson