Alt du trenger å vite om Schrems II og Rules databehandling
Schrems II Dommen som trådte i kraft i fjor gjør at det er vanskeligere og mer risikabelt å bruke amerikanske skytjenester. I GDPR det fremgår at overføring av personopplysninger til et land utenfor EU/EØS-området kun kan finne sted dersom mottakerlandet kan garantere et høyt beskyttelsesnivå for opplysningene. Det har vist seg å være svært komplekst og vanskelig å garantere. Etter Schrems II er det slett ikke sikkert at det i noen tilfeller finnes en lovlig måte å behandle personopplysninger på i USA.
Ved å velge Rule som en helhetlig løsning for din datahåndtering og kommunikasjon slipper du å bruke tid og ressurser på å sikre godkjent datalagring, men føle deg trygg på at det håndteres i henhold til regelverket, via Rule .
Lagre data uten kompromisser innenfor EU
Mange behandlingsansvarlige i europeiske land har med gru notert seg at databeskyttelsesmyndighetene har bestemt at amerikanske kommunikasjonsplattformer er i konflikt med GDPR og har derfor henvendt seg til europeisk databehandling. Rule er en svensk totalleverandør for datadrevet markedsføring, som lagrer all data kompromissløst kryptert innenfor EU. Ved å lagre alle personopplysninger i Rule plattformen, tar du et trygt og smart valg angående din datahåndtering. Videre, ved å følge Rules anbefalinger, sikrer du at du alltid er klar over lagring av personopplysninger for din e-postmarkedsføring og digital kommunikasjon .
Hva er egentlig Schrems II?
Både Schrems I og II er oppkalt etter østerrikeren Maximilian Schrems, som er advokat og aktivist. Schrems hevdet at Facebook i Irland ikke hadde rett til å overføre hans personlige data til USA, med henvisning til at landets masseovervåkingssystem var i strid med EUs datalover. EU-domstolen slo fast at avtalen – kjent som Safe Harbor – som selskaper (ikke bare Facebook) brukte til transatlantisk dataoverføring ikke var gyldig. Dommen ble kjent som Schrems I.
Safe Harbor ble erstattet i 2016 med handelsavtalen Privacy Shield. Den digitale trafikken mellom EU og USA kan dermed forløpe relativt uhindret. Selskaper i USA kan registrere seg hos det amerikanske handelsdepartementet og erklære at de oppfyller kravene i Privacy Shield. 16. juli 2020 kunngjorde EU-domstolen at Privacy Shield-avtalen mellom EU og USA ikke gir tilstrekkelig beskyttelse for personopplysninger når de overføres til USA. Maximilian Schrems andre juridiske korstog vant dermed igjen og dommen kalles derfor Schrems II.
Hva betyr dette for bedrifter?
En ting er krystallklar når det gjelder Schrems II: siden i fjor kan ikke et selskap eller noen andre som er ansvarlige for personopplysninger stole på noen Privacy Shield-avtale dersom EUs personopplysninger behandles i USA. Dette er ugyldig. Standard kontraktsklausuler kan suppleres, men disse gir ingen universell garanti for at den er gyldig i forhold til GDPR.
Ettersom European Data Protection Board ennå ikke har fastsatt endelige anbefalinger som veiledning i anvendelsen av Schrems II, er det spesielt komplisert og vanskelig for svenske og andre europeiske selskaper å forholde seg til de nye retningslinjene. Det er derfor opp til persondataansvarlig å sørge for at han eller hans leverandører og eventuelle underleverandører overholder GDPR – noe som har vist seg å ikke være helt enkelt.
Det er ingen funksjon eller løsning for din digitale kommunikasjon du kan finne med de amerikanske aktørene, som du mangler i Rule plattformen.
Mange svenske selskaper som bruker amerikanske skytjenester
Schrems II gjelder for alle selskaper som av en eller annen grunn har til hensikt å behandle EUs personopplysninger i tredjeland. Du trenger for eksempel ikke lete lenge for å finne et svensk selskap som bruker et amerikansk selskaps skytjenester. I Schrems II-dommen heter det at tilsynsmyndighetene i medlemslandene aktivt skal gripe inn overfor behandlingsansvarlige som overfører personopplysninger til tredjeland uten juridisk støtte. Den svenske personvernmyndigheten har begynt å sette i gang etterforskning mot svenske selskaper. Ifølge klagene overførte selskapene personopplysninger til USA selv etter Schrems II-dommen. Ettersom det kan få ødeleggende konsekvenser for selskapene som «blir tatt», er det høyaktuelt å gå gjennom leverandørene man jobber med, som innebærer dataoverføringer til USA, og stille spørsmålet: Er denne løsningen helt nødvendig eller er den smartere og tryggere å velge en annen leverandør, som holder data trygge innenfor EU – og fjerner risikoen for en potensiell dom.
Har du spørsmål knyttet til GDPR, Schrems II eller Rules data management? Kontakt oss !
