Dataskyddsförordningen är ett viktigt område för Giva Sverige att bevaka så att våra medlemmar kan få aktuell information och rekommendationer baserat på hur regelverket tolkas och utvecklas. Som en del i detta bidrar Axel Tandberg med regelbundna kommentarer och reflektioner. Du hittar mer om dataskyddsförordningen och Giva Sveriges riktlinjer här.
Så är i slutet av året så är det vanligt att vi reflekterar över året som gått. Under 2020 har vi alla fått möta olika utmaningar på de flesta fronter. Alla organisationer har fått gå över till en digital arbetsform på ett eller annat sätt där man har tvingats arbeta på distans. Med distansarbetet har vi alla fått ta ställning till via vilken plattform vi vill jobba och vilka andra verktyg vi kan använda oss av. De flesta av oss valde att ta oss an problemet genom att använda oss av molntjänster och existerande plattformar, levererade främst via företag som återfinns i USA.
Därför kändes det lite extra mycket när EU domstolen presenterade sitt avgörande i den s.k. Schrems II-domen den 16 juli i år. Att man i domen skulle ogiltigförklara Privacy Shield (en mekanism som möjliggjorde överföring av personuppgifter till USA) var ganska väntat, då denna mekanism inte kunde helt säkerställa att de rättigheter vi som EU medborgare har via GDPR inte kan upprätthållas gentemot de myndigheter i USA som oftast har en trebokstavsförkortning (FBI, CIA, NSA etc).
Det som vi däremot inte hade förväntat oss var att man från domstolen skulle ställa högre krav på att även om vi använder oss av någon av EUs standardavtalsklausuler (SCC) som överföringsmekanism till tredjeland. De nya kraven innebär att vi som organisation måste säkerställa att vår motpart kan leva upp till kraven som GDPR ställer vid varje tillfälle vi väljer att använda oss av ett SCC. Med detta menas att vi måste ställa kontrollfrågor till våra motparter att de kan säkerställa att de inte kommer att tvingas lämna ut personuppgifter som vi väljer att föra över till dem, och detta gäller alla tredje länder som inte anses ha ”adequate protection” av EU kommissionen – inte bara USA.
Alla har löst att tackla följderna av domen, men generellt gäller följande:
- Gå igenom vilka samarbetspartners och underleverantörer du använder dig av.
- Säkerställ att du har ett personuppgiftsavtal med din biträden.
- OM ditt biträde återfinns i USA, se till att ni inte fortfarande för över personuppgifter med Privacy Shield som grund.
- Om ditt biträde befinner sig i tredje land, använd dig av ett SCC och gör en bedömning om detta biträde kan garantera att de personuppgifter som du skickar över inte kommer att användas på ett sätt som strider mot GDPR (dvs. lämnas ut till någon utan ditt tillstånd)
- Se över vilka uppgifter som skickas över? Är det harmlösa uppgifter, dvs. endast namn och adress, eller är det mer särskilda uppgifter som kontokortsnummer och bankkonton? De förra uppgifterna kräver inte stor säkerhet, men de senare gör. Behöver vi lagra alt. skicka över dem till detta biträde i tredje land?
- OM du använder dig av en stor partner i USA, fundera på hur du kan tekniskt kan säkerställa att man inte kan läsa uppgifterna där (kryptering är en metod, då ska de vara krypterade vid överföring och i vila, alternativ så psuedonymiserar du uppgifterna).
- DET VIKTIGASTE AV ALLT – dokumentera dina övervägningar. Du kommer att behöva visa på hur du har resonerat när någon ifrågasätter ditt agerande.
Detta var ett par korta råd som är generella för alla, men om du vill ha mer konkreta råd – kom ihåg att ni som medlem i Giva Sverige har rätt till 30 minuters gratis rådgivning per år med mig.
Axel Tandberg
Legal Works
