Dataflöden hotas av orealistiska regelverk
Efter att EU-domstolen ogiltigförklarade Privacy Shield med USA är oron stor för vad som ska hända med dataöverföringar utanför EU. Företag förväntas nu göra en riskbedömning av mottagarlandets integritetsskydd. Det innebär att dataöverföringar till länder utanför EU blir mycket kostsamma och sannolikt ogörliga för många företag. Nu behöver regeringen ta initiativ på EU-nivå för en politisk och juridisk lösning.
Schrems II-domen fastslår att USA:s regelverk inte ger individer tillräckligt integritetsskydd mot elektronisk övervakning och inte heller ger den enskilda rättigheter så som de regleras i GDPR. Domstolen uttalade dock även att standardavtalsklausuler, SCC, fortsatt är en rättslig grund för att föra data till länder utanför EU. Det nya med den delen av domen är att företag förväntas göra en egen riskutvärdering av hur mottagarlandet skyddar personuppgifter. Detta innebär att SCC-utredningar kommer bli ännu mer krävande och kostsamma. Vilket enskilt bolag har kapacitet att göra utredningar om andra länders övervakning och integritetsskydd? För ett vanligt SME-företag blir det sannolikt ogörligt. Rimligen borde riskbedömningen av olika länder göras av EU-kommissionen med hjälp av Europeiska dataskyddsstyrelsen, EDPB, och inte av enskilda företag.
Den viktiga och utbredda användningen av amerikanska leverantörers IT-tjänster gör att alla sektorer är påverkade av kraven som ställs på dataflöden av personuppgifter mellan EU och USA. Inom kort förväntas ett utkast på uppdaterade SCC presenteras. Förhoppningsvis, men inte troligt, innebär de både förenkling och förtydliganden av hur korrekt överföring av personuppgifter till tredje land ska genomföras. Helt klart är att alla sektorer bör skydda sina dataöverföringar på alla tillgängliga sätt, inte minst genom IT-lösningar, för att leva upp till domstolens krav på skydd av personuppgifter. EDPB och Datainspektionen behöver snarast publicera tydliga riktlinjer och goda exempel på vad som förväntas.
Men det är inte bara juridiken som kan komma att hindra dataflöden. EU-kommissionen har under lång tid agerat för att säkra fria dataflöden. Men nu blåser nya vindar med tal om vikten av att bygga teknologisk suveränitet och skapa europeiska digitala tjänster. När EU-kommissionens ordförande Ursula von der Leyden nyligen i sitt tal till unionen påpekade att det är dags att göra sig av med beroendet av bland annat amerikanska leverantörer kan man bara ana vilka konsekvenser det skulle få för alla de olika IT-tjänster konsumenter, myndigheter och företag använder idag.
Affärsintressen ser mycket olika ut. Visst kan vissa företag säkert välkomna att inhemskt producerade varor och tjänster prioriteras. Men för vårt exportberoende land är internationella dataflöden centrala. Vi är duktiga på teknik men behovet är ändå stort vad gäller möjligheter att utbyta data och till exempel köpa spets AI-lösningar från bland annat USA.
Rätten att överföra data till Storbritannien är inte heller säkerställd. Inom EU regleras elektronisk övervakning nationellt. Även om Ungern och Frankrike har omfattande övervakning anses den övervakningen rimlig. Men nu när Storbritannien lämnat EU är det inte självklart att EU-kommissionen kommer acceptera deras nivå av integritetsskydd. I vart fall kommer inte något adekvansbeslut vara på plats i närtid. Då återstår andra överföringsmekanismer, som till exempel SCC.
Därför behöver företag snarast möjligt besked från politiken och hjälp av Datainspektionen och EDPB med hur de ska hantera sina internationella dataflöden. Rimligen borde riskbedömningen av olika länder göras av EU-kommissionen med hjälp av EDPB och inte av enskilda företag. Men viktigast av allt är att en långsiktig politisk och juridisk lösning för dataflöden kommer på plats och för det krävs politiska initiativ där svenska regeringen bör vara drivande.
DataanvändningDU KANSKE OCKSÅ VILL LÄSA
