Voister förklarar

Vad innebär Schrems II och hur påverkas vi?

Eu Ladyjustice Schrems

Schrems II-domen från juli 2020 innebär att det är betydligt svårare att använda amerikanska molntjänster. Men vad betyder domen för dig, hur kom den till och varför heter den Schrems II? Voister förklarar det du behöver veta.

I GDPR står det att överföringar av personuppgifter till tredje land, alltså ett land utanför EU/EES-området, bara får ske om det mottagande landet kan garantera en hög, så kallad adekvat, skyddsnivå för uppgifterna.

Ett antal länder utanför EU/EES har av EU-kommissionen pekats ut ha en adekvat skyddsnivå och är därmed godkända som mottagare av personuppgifter från EU-länder.

USA har under vissa omständigheter varit godkända för överföring av personuppgifter. Där har företag och organisationer haft möjligheten att ansluta sig till regelverket Privacy Shield, som använts för att garantera en adekvat skyddsnivå när personuppgifter överförs till landet.

När Schrems II-domen slogs fast i EU-domstolen den 16 juli 2020 ogiltigförklarades dock regelverket Privacy Shield, vilket innebär att alla personuppgiftsöverföringar till mottagare i USA, som omfattas av regelverket, är olagliga.

Domstolen slog dock fast att EU-kommissionens standardavtalsklausuler som grund för överföring av personuppgifter fortfarande är giltiga. Men det kan krävas ytterligare åtgärder för att garantera skyddet för uppgifterna.

Vad innebär Schrems II-domen?

Domen innebär att aktörer i EU som överför personuppgifter till USA, endast med stöd av Privacy Shield, antingen behöver sluta med detta eller luta sig mot en annan grund för att överföringen ska vara GDPR-kompatibel.

Om en överföring sker med stöd av EU-kommissionens standardavtalsklausuler behöver en personuppgiftsansvarig reda ut ifall överföringen kan fortgå eller om ytterligare skyddsåtgärder behövs.

Det ligger alltså på varje personuppgiftsansvarig att bedöma om och vilka åtgärder som behöver göras. Om inte ytterligare skyddsåtgärder är möjliga behöver den personuppgiftsansvariga avbryta överföringen.

Vad är en personuppgift?

Enligt Integritetsskyddsmyndigheten, tidigare Datainspektionen, är personuppgifter all slags information som kan knytas till en levande person. Det kan handla om namn, adress och personnummer. Foton på personer klassas som personuppgifter och även ljudinspelningar som lagras digitalt kan vara personuppgifter fast det inte nämns några namn i inspelningen.

Ett bolagsnummer är oftast inte en personuppgift men kan vara det om det handlar om ett enmansföretag. Registreringsnumret på en bil kan vara en personuppgift om det går att knyta till en fysisk person.

Varför heter det Schrems I och II?

Schremsii

Den österrikiske juristen Max Schrems.

Max Schrems är en österrikisk jurist, nätaktivist och Facebook-användare. När han upptäckte att hans personuppgifter, helt eller delvis, överfördes från Facebooks servrar på Irland till dem i USA så anmälde han det till den irländska dataskyddsmyndigheten.

Max Schrems begärde då att myndigheten skulle förbjuda dessa överföringar och menade att USA inte säkerställer en tillräcklig skyddsnivå för personuppgifter. Han hävdade att Safe Harbor-avtalet som reglerade dataöverföringar mellan EU och USA inte höll måttet. I oktober 2015 fick Max Schrems rätt när EU-domstolen, i det som kallas Schrems I-domen, ogiltigförklarade Safe Harbor.

Safe Harbor ersattes sedermera av ett nytt avtal, nämligen Privacy Shield, som Max Schrems lämnade in nya klagomål emot. Här gjorde Max Schrems gällande att Facebook, enligt amerikansk rätt, var skyldigt att ställa överförda personuppgifter till amerikanska myndigheters förfogande, till exempel NSA och FBI. Han hävdade att dessa uppgifter kan användas av olika övervakningsprogram på sätt som är oförenligt med EU-stadgar gällande grundläggande rättigheter. I juli 2020 vann Max Schrems i EU-domstolen igen och Privacy Shield ogiltigförklarades i det som kallas Schrems II-domen. 

Vad händer efter Schrems II-domen?

I Schrems II-domen står att tillsynsmyndigheter i medlemsländerna aktivt ska ingripa mot personuppgiftsansvariga som utan rättsligt stöd för över personuppgifter till tredje land. Därmed går det att förvänta sig en mer aktiv tillsyn än vad som var fallet efter att Safe Harbor ogiltigförklarades i Schrems I-domen.

Integritetsskyddsmyndigheten har inlett sex granskningar mot svenska företag efter att myndigheten fått in klagomål från None of Your Business, NOYB, en organisation som Max Schrems grundade. Enligt klagomålen har företagen fört över personuppgifter till USA även efter Schrems II-domen.

22 februari 2021Uppdaterad 2 oktober 2023Reporter Fredrik AdolfssonsäkerhetFoto Adobestock, Internetstiftelsen

Voisters nyhetsbrev

Allt om digitalisering, branschens insikter och smartare teknik.

Rekommenderad läsning

Stäng