EU-dom kräver åtgärder av företagen

Johan Sundberg, advokat och ansvarig för personuppgiftsfrågor på advokatfirman DLA Nordic, till vänster, och Hans-Olof Lindblom, chefsjurist på Datainspektionen, till höger.

I går rapporterade Kollega.se om att EU-domstolen ogiltigförklarat det så kallade Safe Harbor-avtalet som gör det möjligt för europeiska företag att skicka personuppgifter till amerikanska företag, trots att dataskyddsreglerna är betydligt striktare i EU än i USA.

Domen innebär att överföring av europeiska personuppgifter, till exempel kunddata via en molnbaserad betaltjänst, till ett företag i USA kan ha blivit olaglig, från en dag till nästa.

Nu brådskar det för mängder av svenska företag att vidta åtgärder, för att inte riskera att bryta mot den svenska personuppgiftslagen, PUL, och de europeiska dataskyddsreglerna. Det menar Johan Sundberg, advokat och ansvarig för personuppgiftsfrågor på advokatfirman DLA Nordic.

- Först och främst behöver man göra en inventering av vilka avtal man har med leverantörer och samarbetspartners där man kan ha förlitat sig på Safe Harbor som legal grund för överföring av personuppgifter. Bara det kan vara ett ganska omfattande arbete för en större organisation.

För större koncerner med verksamhet på olika håll i världen rekommenderar Johan Sundberg att man ser om det kan vara lämpligt att gå över till EU-kommissionens standardavtalsklausuler och i andra hand, på längre sikt, kan så kallade ”binding corporate rules”, företagsinterna dataskyddsregler vara ett alternativ.

- Det är också en ganska komplex process och kräver godkännande från en dataskyddsmyndighet.

Mindre och medelstora företag med amerikanska tjänsteleverantörer bör så snart som möjligt omförhandla sina avtal, menar han.

- Det bör också ligga i tjänsteleverantörens intresse att hitta en lösning. De kanske kan se till att data stannar på servrar i EU, till exempel genom att styra över till datahallar här. Eller hitta samarbeten med europeiska leverantörer.

Vad händer om man inte vidtar några åtgärder, utan tänker att det här löser sig nog?

- Berörda personer kan kräva skadestånd förstås. För brott mot personuppgiftslagens förbud mot tredjelandsöverföring ligger straffskalan på böter eller fängelse. Jag tror inte att Datainspektionen kommer att börja jaga folk med blåslampa men vill man vara ”compliant” (lagenlig) bör man se till att se över detta så snart som möjligt, säger Johan Sundberg.

Datainspektionens chefsjurist Hans-Olof Lindblom håller med om att svenska företag bör se över sina avtal, men vill samtidigt poängtera att allt som omfattas av PUL inte innebär känsliga personuppgifter och att det också kan hända att vissa uppgifter måste kunna överföras för att ett svenskt företag ska kunna fullfölja avtal med sina kunder. Alla måste tänka efter ordentligt nu, säger han.

- Det kanske låter lite hopplöst. Det var ju det som var bra med det generella avtalet, där man bara behövde se till att leverantören var ansluten till Safe Harbor.

EU-dom ger skjuts i dataskyddsförhandlingar

Redan 2013 lyfte EU-kommissionären Viviane Reeding (bilden) frågan om Safe Harbor-avtalets integritetsskydd, som hon menade inte höll tillräcklig nivå. Hon sa då att avtalet fungerar som ett kryphål för amerikanska företag, som bör täppas till. Sedan dess har det pågått förhandlingar om ett nytt avtal mellan EU och USA.

Efter Edward Snowdens avslöjanden om hur den amerikanska underrättelsemyndigheten NSA fått tillgång till stora mängder data från företag, uppmanade EU-parlamentet i en resolution medlemsländerna att överväga vidare överföring av data till USA. Man menade att de lagar som tillät NSA tillgång till uppgifterna slog undan benen på dataskyddet i Safe Harbor.

Ändå är det Safe Harbor som varit det generella avtal som funnits för handel av datatjänster över Atlanten i över ett decennium. Tusentals företag har förlitat sig på det.

Att EU-domstolen i går ogiltigförklarade Safe Harbor kan innebära att amerikanska IT-jättar som Google, Microsoft, Apple, Facebook och Twitter nu sätter eld i baken på sina förhandlare.

- Det sätter förstås press på amerikanerna. Det är i grunden bra för förhandlingarna att man satt ner foten från EU:s sida. Det kan leda till att man når en lösning snabbare, säger advokat Johan Sundberg.

EU-domstolens ogiltigförklarande av avtalet välkomnades också av EU-kommissionärerna Vera Jourová och Frans Timmermans vid en presskonferens i går.

Hans-Olof Lindblom, chefsjurist på Datainspektionen, tycker att det är intressant att domstolen var så snabb att leverera dom i målet – något som brukar ta mycket längre tid.

- När generaladvokatens yttrande kom för ett par veckor sedan var det lite som en blixt från klar himmel. Att domstolen också var så snabb är ovanligt. Så det kom lite plötsligt för oss.

På Datainspektionen har man ännu inte hunnit utfärda några praktiska råd till svenska företag och organisationer, men Hans-Olof Lindblom säger att det kommer mer information på myndighetens hemsida inom kort.

Vad är Safe Harbor?

Safe Harbour är en samling regler om personlig integritet och dataskydd som tagits fram och beslutats av USA:s handelsdepartement för att uppnå vad som avses tillräcklig datasäkerhet i EU:s dataskyddsregler. Det är frivilligt för företag att ansluta sig till Safe Harbour. Med en sådan anslutning till Safe Harbour-reglerna blir det tillåtet att föra över personuppgifter från EU/EES till organisationer och företag i USA.

Även många svenska och europeiska företag och företagskoncerner använder sig av Safe Harbour-avtal för att kunna föra personuppgifter och annan data kors och tvärs över Atlanten, särskilt de som arbetar med olika molntjänster.

När EU-domstolen nu ogiltigförklarat Safe Harbor-principerna som tillräckliga för att överföringen av europeiska data ska anses adekvat skyddad – innebär det ett potentiellt stopp av tusentals verksamheter.

Läs hela domen (på svenska) här.

Är din amerikanska tjänsteleverantör ansluten? Se listan på företag som är anslutna till Safe Harbor här!