Sociala medier

Bra att veta för Eventarrangörer gällande Schrems II

När ett större evenemang ska anordnas så innefattar det oftast en stor insats på att samla in personuppgifter på samtliga som ska delta. Detta sker utifrån ett säkerhetsperspektiv men också för att för många arrangörer är hela syftet med eventet att kunna kommunicera med intressenter före det att eventet äger rum, under själva eventet men även efteråt. Alla har olika uppsättningar av verktyg och tjänster för att åstadkomma detta. EU-domstolens senaste dom, Schrems II, gör att man måste fundera både en och två gånger på vad man använder till vad.

Max Schrems är den österrikiska internetaktivisten som lyckats få hela den digitala världen i gungning. I somras kom domen i det sk Schrems II-målet där EU-domstolen slår fast att Privacy Shield-avtalet mellan USA och EU inte ger tillräckligt skydd av personuppgifter vid överföring till USA. Att EU-domstolen ogiltigförklarar Privacy Shield innebär att det inte längre är tillåtet att överföra personuppgifter till USA med Privacy Shield som grund. Det ritar om spelplanen för alla som använder amerikanska leverantörer och underleverantörer i sin verksamhet på den europeiska marknaden. Vid närmare eftertanke är det många fler än du först kanske tror. Det räcker med att leverantören har amerikansk sms-tjänst, nyttjar en moln-lösning för maildistribution eller att servrarna ligger i molnet så kan du som personuppgiftsansvarig exponeras för risken att skicka personuppgifter till USA och därmed exponeras för stora sanktionsavgifter för överträdelser av GDPR.

Den 16 juli 2020 ogiltigförklarades Privacy Shield av EU‑domstolen. I det så kallade Schrems II‑målet (C‑311/18) underkändes det mellanstatliga avtal för överföring av personuppgifter som tecknats mellan EU och USA. Genom domen begränsar EU‑domstolen även i övrigt möjligheterna till att föra över personuppgifter från EU/EES till USA. Ogiltigförklarandet av Privacy Shield fick genom domen effekt med omedelbar verkan vilket innebär att personuppgiftsansvariga och personuppgiftsbiträden nu måste se över sina avtal för att säkerställa laglig överföring av personuppgifter till USA. Detta enligt Vinge 2020-09-04.

Redan 2015 lyckades Max Schrems få EU-domstolen att ogiltigförklara det tidigare regelverket med sk Safe Harbor-principer som skulle skydda personuppgifter vid överföring till USA. Den domen kallas idag Schrems I och ledde till att Safe Harbor ersattes med Privacy Shield som är en mekanism för självcertifiering där företag i USA anmäler till amerikanska handelsdepartementet att de uppfyller kraven i Privacy Shield. Enligt beslut från EU-kommissionen har det varit tillåtet att överföra personuppgifter till företag som anslutit sig till Privacy Shield. Sedan Schrems II-domen i juli 2020 är det inte längre tillåtet.

GDPR är ett europeiskt direktiv och gäller som tvingande lagstiftning inom hela EU/EES. Personuppgifter kan därför överföras inom EU/EES eftersom skyddsnivån regleras på samma sätt i det gemensamma direktivet i alla medlemsländer. Vi överföring till tredje land, dvs utanför EU/EES, finns inte samma generella skydd för personuppgifter och personlig integritet. Då krävs andra mekanismer för att säkerställa en adekvat skyddsnivå. Annars är överföringen i strid med GDPR och personuppgiftsansvarig löper risken att få betala sanktionsavgifter som kan uppgå till 20 miljoner EUR eller 4% av företagets globala årsomsättning. Privacy Shield har använts som en vanlig grund för överföring av personuppgifter till USA och därför får Schrems II-domen så långtgående effekter för europeiska företag som inte längre kan överföra personuppgifter till USA som de gjort tidigare.

Schrems II-domen har inte bara ogiltigförklarat Privacy Shield som en överföringsmekanism utan dessutom skapat stor osäkerhet kring andra överföringsmekanismer. En anledning till att EU-domstolen ogiltigförklarar Privacy Shield är att myndigheter i USA via ett regelverk som heter FISA 702 har generösare undantagsregler som ger dem rätt att begära ut elektronisk information från amerikanska bolag på ett friare sätt än myndigheter inom EU har. Personuppgifterna är därmed inte skyddade på ett sätt som EU kräver i GDPR. Det går inte att komma runt oavsett avtalsformuleringar och många menar därför att domen i praktiken hindrar överföring till USA även med andra överföringsmekanismer som tex standardavtalsklausuler, på engelska Standard Contract Clauses, om inte all data krypteras först, vilket ofta är svårt. Då krävs att amerikansk lagstiftning förändras innan överföring kan ske enligt GDPR! Dessutom lyfter många det faktum att amerikanska bolag lyder under FISA-reglerna oavsett geografi. Det spelar alltså ingen roll om en amerikansk cloud-leverantör lovar att bara lagra data i europeiska data center. Om amerikansk personal har tillgång till data kan bolaget bli skyldig att lämna ut data till amerikanska myndigheter, i strid mot GDPR. Det här har skapat frågetecken även för molntjänster som Azure, AWS, Google Cloud. Det finns europeiska företag som flyttar ut all data från molnet till lokala servrar på grund av domen. De ser ingen riktigt hållbar lösning. Europeiska dataskydds myndigheterna har tillsatt en utredning, men ännu finns inga tydliga svar. Bara en stor osäkerhet och oro!

Schrems II-domen ställer stora krav på europeiska aktörer och personuppgiftsansvariga i valet av partners och leverantörer. SCC har varit en svår väg att gå och många har istället lutat sig på Privacy Shield vid överföring till USA, men det är inte längre möjligt. SCC är i bästa fall en konstgjord andning och nu är det viktigare än någonsin att granska vilken data som faktiskt kan komma att skickas över atlanten. Många systemleverantörer har använt sig av amerikanska partners eller tjänster driftade i molnet för olika delar av sin lösning, vilket skapar allvarliga problem både för dem och deras kunder idag.

Har du frågor om hur ditt nästa evenemang, fysiskt eller digitalt, kan hanteras på ett säkert sätt med skyddade personuppgifter i enlighet med GDPR, både före, under och efter evenemanget? Be oss att kontakta dig genom att fylla i dina uppgifter nedan.

Bli kontaktad