Jens Christian Volhøj

Jens Christian Volhøj

Director, Cloud Practice

En cineast kan säkert bli exalterad av att höra namnet Schrems II. Är det här en film om ett annat grönt träskmonster? Eller en uppföljare om en ny superhjälte? Tja, jag tror att Schrems II säkert kan överträffa Rocky i antalet uppföljare innan vi är färdiga här, men inom ett helt annat område. Detta är något mycket mer spännande – dataskydd, och det kommer med största sannolikhet att påverka både dig och ditt företag.

Allt eftersom vikten av att skydda individer och deras integritet har ökat och myndigheter har ägnat mer uppmärksamhet åt personlig integritet har ett antal nya lagar och regler införts. GDPR är förmodligen den mest kända som trädde i kraft 2018.

Vad som gör Schrems II så viktig för verksamheter handlar främst om den ökande användningen av molntjänster. Det är också värt att påpeka att tjänster som berörs av Schrems II inte bara är de publika molntjänsterna.

Den senaste i listan, men förmodligen inte den sista, är Schrems II. Den 16 juli 2020 kom EU-domstolen med sin dom i mål C-311/18, som ogiltigförklarade den så kallade ”Privacy Shield” (en överenskommelse om skydd av privatlivet inom EU) mellan EU och USA, och inte heller EU:s standardavtalsklausuler (eller SCC, standard contractual clause) för överföring av personuppgifter till USA och globalt utanför EU/ESS kan tillämpas längre.

Vad som gör Schrems II så viktig för verksamheter handlar främst om den ökande användningen av molntjänster. Före Schrems II förlitade sig många företag på ”Privacy Shield” för att kunna överföra data i enlighet med GDPR så att de kunde använda publika molntjänster. Nu kräver Schrems II att europeiska företag gör individuella bedömningar för varje dataöverföring till länder utanför EU.

Betyder det att det inte längre är möjligt att använda amerikanska molntjänster om regler och lagar ska följas? Ja och nej. Om du kan säkerställa att relevanta skyddsåtgärder är på plats kan du fortfarande använda amerikanska molntjänster, om inte, måste du nog se dig om efter en motsvarande tjänst baserad inom EU. Flera åtgärder har vidtagits den senaste tiden för att harmonisera dataskyddslagstiftningen i hela EU, trots det kan nationella dataskyddsmyndigheter vara olika nitiska och snabba med att bötfälla, baserat på lokala rättsprinciper och tolkningar.

Schrems II kräver att europeiska företag gör individuella bedömningar för varje dataöverföring till länder utanför EU.

Som ett exempel bestämde nyligen franska myndigheter att en plattform som används för att boka COVID-19-vaccinationer och som använder Amazon Web Services publika moln, hade vidtagit tillräckliga åtgärder, i både juridisk och teknisk mening, för att skydda personuppgifterna. Samtidigt har andra lösningar och leverantörer inte varit fullt så lyckosamma.

Det är också värt att påpeka att tjänster som berörs av Schrems II inte bara är de publika molntjänsterna. Det digitala marknadsföringsverktyget MailChimp, som används för bland annat utskick av nyhetsbrev, är bara ett exempel som för många inte uppenbart är problematiskt utifrån ett dataskyddsperspektiv. Dataskyddsmyndigheten i Bayern, Tyskland, beslutade dock nyligen att ett tyskt företags användning av MailChimp var olaglig eftersom företaget inte på ett tidigt stadium hade utvärderat om tillräckliga åtgärder hade vidtagits för att säkerställa att personuppgifter skyddades från amerikanska tillsynsmyndigheters insyn.

Men, lugn! Mitt syfte med att lyfta Schrems II är inte att skapa panik eller att du måste vidta drastiska åtgärder omedelbart. Jag vill främst informera och upplysa om detta viktiga beslut och att det är något du måste ta med i beräkningarna.

I mitt nästa blogginlägg ger jag lite vägledning kring hur du kan angripa konsekvenserna som Schrems II kan ha för ditt företag.

About this author

Jens Christian Volhøj

Jens Christian Volhøj

Director, Cloud Practice

Jens Christian har över 20 års erfarenhet inom Manufacturing, Big Data, Advanced analytics, Artificial Intelligence, Machine Learning, IoT och IoT samt Business Intelligence och Data Warehouse. Jens Christian jobbar vid CGI:s verksamhet i Danmark.