Dataskyddsförordningen är ett viktigt område för Giva Sverige att bevaka så att våra medlemmar kan få aktuell information och rekommendationer baserat på hur regelverket tolkas och utvecklas. Som en del i detta bidrar Axel Tandberg med regelbundna kommentarer och reflektioner. Du hittar mer om dataskyddsförordningen och Giva Sveriges riktlinjer här.
När så ljuset nu återvänder och våren är i antågande så blir alltid jag hoppfull i själ och hjärta. Det känns som att livet återvänder, nya möjligheter öppnar sig och jag ser med tillförsikt på framtiden.
Under hösten och vintern har ett av de största problemen (bortsett från Covid 19) varit efterdyningarna efter Schrems II domen och hur organisationer ska kunna arbeta med personuppgifter utan att behöva ändra på alla rutiner samt behöva byta ut alla leverantörer till endast de företag som är etablerade inom den Inre Marknaden och ägarna befinner sig inom densamma.
Många av oss har fortsatt med att använda oss av de stora leverantörerna som exempelvis Microsoft, AWS och Google. Ett av problemen har varit hur vi skulle kunna visa på att vi har vidtagit extra säkerhetsåtgärder när vi använder oss av deras tjänster för de personuppgifter som trots allt passerar deras system, vilket var ett av kraven som EUCJ ställde upp i sitt domslut.
Ett av dessa steg, som många med mig har argumenterat för, är att se till att de molntjänster man väljer att använda sig av är lokaliserade inom den Inre Marknaden. Detta ger oss möjligheten att använda oss av tjänsten utan att personuppgifter lämnar den Inre Marknaden, men risken kvarstår att det USA-ägda företaget ändå måste agera i enlighet med FISA 702 (den lagstiftning som ger myndigheter i USA tillgång till databaser samt trafik som går igenom företag som är etablerade i USA och sysslar med dataöverföring samt lagring).
Ett annat sätt att säkerställa användning av de stora aktörernas moln har varit att kräva kryptering av datan vid transport och vila. Visserligen erbjuder leverantören oftast en möjlighet till detta inom deras verksamhet, men då de har nyckeln har detta i sig endast erbjudit ett skydd mot andra obehöriga än myndigheter etablerade i USA då nycklarna finns där. Därför rekommendationen varit att ha en egen krypteringstjänst som inte är kopplad till molnleverantören.
Men nu till ljuset i mörkret i frågan kring Schrems II. Den 15 mars förkunnade Högsta Domstolen i Frankrike dom i ett mål där man från fransk sida hade valt att använda sig av en tjänst för personuppgifter i samband med Covid-19 behandlingar där uppgifterna sparades i ett moln ägt av AWS men som är etablerat i Luxemburg. Vidare hade man från fransk sida valt att använda sig av en fransk krypteringstjänst med nycklarna i Frankrike samt slutligen fanns tydliga gallringsrutiner på plats (3 månader). I sin dom förklarade Högsta Domstolen att man ansåg att detta arrangemang var tillräckliga skyddsåtgärder i enlighet med EUCJs krav, trots att det rör sig om väldigt känslig data (hälsouppgifter).
Denna strimma av ljus hade varit en fullständig solskensdag om den Franska Högsta Domstolen hade begärt ett förhandsbesked från EUCJ om att även de håller med om deras domslut. Men fram till dess att domen förkunnas tåla dagens fulla ljus eller om vi tvingas in i Schrems-mörkret igen, kommer jag att ta till mig dess slutsats, dvs. att man kan använda sig av de amerikanska molntjänsterna så länge man verkligen ser till att ha:
- Ha klassificerat personuppgifterna så att vi vet om de är att anse som särskilda (känsliga) eller inte.
- Om det behövs en kryptering, inte endast använda den som erbjuds av leverantören. Försök att hitta en där nyckeln ligger utanför deras system.
- Se till att man har en aktiv och välgenomtänkt gallringsrutin på plats.
Med detta tar jag chansen att önska alla en Glad Påsk så hörs vi med förhoppningsvis fler goda nyheter senare i vår!
Axel Tandberg
Legal Works
