Schrems II
Vi på Vekt har fått frågan om Schrems II och hantering av data från flertalet kunder. Frågorna handlar ofta om hur man ska förhålla sig till situationen, vilka system man kan använda och om man ska göra några stora förändringar i närtid. Vi ger inga juridiska råd i hur man ska hantera frågan men vi för gärna en dialog och för att sätta situationen i sitt sammanhang.
Vi har tidigare skrivit ett inlägg om Safe Harbour och Privacy Shield och hur vi kan förhålla oss till hantering och förflyttning av data utanför EU. Detta kan ni läsa om här. Både Safe Harbour och Privacy Shield är direkt kopplade till den dom som går under namnet Schrems II och som har blivit ett hett ämne sedan Coop tillsammans med ett antal andra bolag fått en propå från Integritetsskyddsmyndigheten (IMY).
Vad handlar Schrems II om?
Safe Harbour är namnet på ett system som upprättades i samband med införandet av GDPR. Ett av huvudsyftena med GDPR är att öka skyddet av våra personuppgifter och GDPR-lagstiftningen förbjuder överföring av personuppgifter till tredje land. Eftersom världen idag hänger ihop på ett komplext sätt och data flödar och lagras över hela världen behövdes ett system för att ändå kunna tillåta överföringar av personuppgifter till tredje land.
Svaret blev Safe Harbour-överenskommelsen, en struktur som möjliggör överföring av data till USA. Detta system tillät företag att föra över data till USA om man uppfyllde ett antal regler. Detta gällde fram till 2015 då Schrems I-domen föll och ogiltigförklarade Safe Harbour på grund av att kraven i GDPR inte kunde upprätthållas.
När Safe Harbour ogiltigförklarades upprättades överenskommelsen Privacy Shield, även den med syfte att möjliggöra överföring av data till USA. I och med Schrems II-domen i juni 2020 ogiltigförklarades även Privacy Shield. Orsakerna var bland annat att amerikanska underrättelsesystem och lagstiftning äventyrade integritetsskydd och datasäkerhet. Exempel på detta är system som PRISM och Upstream, som systematiskt övervakar sociala medier, och lagstiftning som Cloud Act, som ger amerikanska myndigheter rätt att begära ut data från amerikanska bolag då misstanke om brott finns.
Vad är resultatet av Schrems II?
Resultatet av Schrems II-domen är att den rättsliga situationen uppfattas som oklar och att det är mycket otydligt om man idag kan dela data och personuppgifter lagligt till tredje land, utanför EU. Tyvärr finns inga raka svar på vad som kommer bli resultatet på längre sikt och hur aktörer som Google, Amazon, Microsoft, Apple och Facebook kommer hantera frågan. Man vet inte heller hur EU och respektive land kommer bedöma och hantera situationen. Rimligtvis bör en rationell och hanterbar lösning skapas givet att frågan är stor. Samtidigt är frågan om personlig integritet en av de viktigaste områdena för GDPR och EU så lösningen kommer sannolikt kräva flexibilitet från the big five – Google, Amazon, Microsoft, Apple och Facebook.
Varför blossar frågan om Schrems II upp nu?
Den osäkra juridiska situation som uppstod av Schrems II-domen har gällt sedan juli 2020. Orsaken till att det blivit mycket fokus på frågan just nu är att den svenska Integritetsskyddsmyndigheten nyligen har inlett en granskning av ett 20-tal svenska bolags användande av Google Analytics, däribland Coop. Integritetsskyddsmyndigheten har beslutat att granska Google Analytics datahantering och då har ett antal företag som anmälts inkluderats i denna process. Processen inleddes i november 2020.
I sammanhanget är det viktigt att komma ihåg att det inte bara är Google Analytics som delar data med tredje land utanför EU. Mjukvaror som Facebookpixeln, LinkedIn insight tag, Microsoft Teams, Amazon, Adobe Analytics är alla exempel på mjukvaror som åtskilliga bolag använder som delar data med tredje land och det är sannolikt väldigt få digitala tjänster där ute som idag garanterar att ingen data lämnar EU.
Hur ska vi förhålla oss till Schrems II och den situation vi är i?
Vekst har ingen juridisk kompetens och ger inga juridiska råd. Däremot reflekterar vi gärna över situationen vi är i och hur den kan påverka oss. Som vi ser situationen så bör man som företag eller organisation skapa sig en uppfattning om vilka digitala tjänster man använder och om, och i så fall i vilken utsträckning, dessa tjänster delar data med tredje land utanför EU. En sak som är säker är att vi framöver inte kan samla data på samma obetänksamma sätt som vi gjort historiskt. Det är också sannolikt så att vi kommer att behöva ändra vårt sätt att samla in data och vilka system vi använder.
Vi rekommenderar er att gå igenom listan nedan för att reda ut er situation. Notera att listan inte är uttömmande och den säkerställer inte att ni har gjort det ni behöver.
To-do-lista Schrems II:
Kartlägg vilka digitala tjänster som samlar personuppgifter som används i organisationen
Kartlägg om ni har etablerat personuppgiftsbiträdesavtal med respektive part som samlar personuppgifter.
Undersök om de identifierade tjänsterna garanterar att data stannar i EU.
Om detta inte kan garanteras, identifiera med vilka länder som data delas.
Undersök om det finns inställningar i respektive mjukvara som gör det möjligt att anonymisera data och att ta bort personuppgifter. I Google Analytics finns exempelvis möjligheten att anonymisera IP-adresser. Huruvida detta löser frågan kring Schrems II är dock oklart.
Se över och klassificera vilka system ni använder och data som ni samlar som är nödvändiga för att driva er affär, vilka som är av mer ”nice to have-karaktär” och slutligen vilka som bara finns där av gammal hävd.
Avsluta system och rensa bort kod som hör till identifierade system som inte behövs längre.
Överväg att byta ut system som är nödvändiga till alternativa leverantörer som kan garantera att de följer GDPR.
Läs gärna igenom det granskningsunderlag som Integritetsskyddsmyndigheten har skickat till Coop och reflektera kring hur ni ställer er till dessa frågor.
Dokumentera er situation och anledningarna till varför ni behöver använda respektive system och spåra respektive datatyp samt på vilken laglig grund ni samlar och delar datan.
Vad händer nu då?
Den digitala världen har utvecklats i en rasande takt och har varit relativt, kanske helt, oreglerad. Detta gör att när nu väl regleringar införs så behöver alla parter anpassa sig efter dessa nya spelregler. Detta är nödvändigtvis inget negativt, att vår personliga integritet skyddas är i grunden något väldigt positivt. Där emot kan det vara utmanande att anpassa befintlig struktur efter de nya reglerna.
Vi på Vekst är ganska övertygade om att vi kommer behöva följa utvecklingen i denna fråga nära under en längre tid framöver innan situationen har klarnat helt. Först behöver det rättsliga läget klarna genom diverse prejudicerande domar. Parallellt kommer säkerligen the big five med flera att arbeta för att skapa lösningar som följer regelverket. Vi får inte glömma att situationen är ett hårt slag mot många företag och det investeras stora resurser för att identifiera och skapa en hållbar kommersiell lösning. Slutligen kan det även finnas en mellanstatlig lösning på problematiken – att USA och EU kommer överens om ett gemensamt sätt att hantera integritetsskydd.
Om ni har frågor om ämnet och hur vi ser framför oss att digital marknadsföring påverkas av händelseutvecklingen är ni välkomna att höra av er till oss!
Referenser:
