Hur viktigt är det egentligen att känna till vilka som hanterar din verksamhets personuppgifter? och hur ska vi gå tillväga för att skydda integritet i ett digitalt samhälle?

I takt med den stora AI-kapplöpningen under året, har allt fler privatpersoner och företag börjat oroa sig för integritetsrisker i samband med cyberangrepp och ny teknik. Trots den växande oron skyddar enbart var femte svensk sina personuppgifter och hälften av Sveriges befolkning har en begränsad kännedom om GDPR, visar en rapport från Integritetsskyddsmyndigheten (IMY).

Medarbetarnas persondata används i flera olika sammanhang i arbetslivet, allt från behörighetssystem till löner. Uppgifterna varierar i känslighet där en del information som arbetsgivaren har tillgång till kan vara väldigt känslig – från adressuppgifter till hälsotillstånd, nödkontakter eller facktillhörighet. Ökad inhämtning av personuppgifter medför omfattande risker. På samhällsnivå kan uppgifterna till exempel användas i påverkanskampanjer från främmande makt.

Enligt GDPR är det inte tillåtet att överföra personuppgifter till länder utanför EU om det inte finns ett beslut om att mottagarlandet erbjuder tillräckligt skydd för uppgifterna. Safe Harbor och Privacy Shield är båda avtal som tidigare ogiltigförklarats av EU-domstolen efter att den österrikiska Max Schrems utmanat avtalen för att USA inte uppnår den nivå av skydd som krävs.

Det har nu ingåtts ett nytt avtal vilket återigen gör det möjligt för överföring av personuppgifter till USA. Detta tredje försök kommer sannolikt att hamna i en domstolsprövning inom snar framtid. Data privacy framework, heter det nya avtalet som till stor del är en kopia av de tidigare underkända Privacy Shield och Safe Harbor.

Majoriteten av svenska företag som använder sig av ett system för HR-administration förlitar sig på amerikanska leverantörer för datalagring. Trots den nya överenskommelsen om överföring av data mellan EU och USA, kvarstår frågor om vad som sker om även det tredje avtalet ogiltigförklaras i EU-domstolen.

Företag och synnerligen HR-chefer bör granska valet av leverantörer då man ständigt hanterar många känsliga uppgifter. HR-chefer har tillgång till en stor mängd känslig data genom deras ansvar för personalavdelningen. Många system är inte så transparenta kring sina val av underleverantörer, vilket gör att flera företag arbetar i ovisshet kring var deras personuppgifter faktiskt lagras.

Åtgärderna som USA har vidtagit som grund för ett nytt avtal är inte baserade på lagstiftning utan ett presidentdekret. Detta ger ett sämre skydd eftersom dekretet omedelbart kan avskaffas av en ny president på eget bevåg, någonting som inte är ovanligt vid ett maktskifte. Utan det långsiktiga skydd lagstiftning ger kan företag tvingas byta systemleverantör för att följa GDPR - ett scenario som innebär stora merkostnader.

Ett stort problem är att USA fortfarande anser att endast amerikanska medborgare omfattas  av de legala skydd som finns i USA. En amerikansk medborgare får alltså inte bli godtyckligt övervakad av myndigheter, medan européer saknar samma skydd. Trots detta väljer en stor del av de europeiska och svenska företagen att fortsätta förlita sig på amerikanska leverantörer.

Trots stor upprördhet i EU efter bland annat Snowdens avslöjanden och upprepade uppmaningar från EU-parlamentariker att vidta åtgärder, verkar EU-kommissionen prioritera de diplomatiska förbindelserna med USA. Fler företag bör behandla sina personuppgifter med europeiska leverantörer inom EU:s gränser.

/Jakob Iwars,  bolagsjurist och dataskyddsombud på Hailey HR