Malin Jakobsson, Compliance-chef på Glesys
Den 25 mars meddelade EU-kommissionen och USA att de träffat en principöverenskommelse om ett nytt ramverk. Efter att den så kallade Schrems II-domen skrotade Privacy Shield, har det från flera håll framförts vikten av att ta fram ett nytt juridiskt ramverk. Ett ramverk som uppfyller de krav som går i linje med vad EU-domstolen påpekat. Så vad gäller egentligen nu, och hur ska man tänka framåt? Malin Jakobsson, Compliance-chef på Glesys, förklarar i den här artikeln vad som har hänt sedan i mars och vad det innebär för dig.
— Många är förhoppningsfulla, men även om det talas om en principöverenskommelse är det viktigt att framhålla, att det inte innebär några förändringar för den som i dagsläget vill överföra data till USA, säger Malin Jakobsson och fortsätter:
— Innan vi har ett nytt juridiskt ramverk på plats är det fortfarande samma hinder att överföra personuppgifter till USA. Fram till att ett nytt ramverk är på plats, måste man säkerställa att det finns andra verktyg för överföring som uppfyller kraven i dataskyddsförordningen och EU-domstolens praxis.
Läs mer om hur du kan uppfylla regelefterlevnad tillsammans med Glesys
Överenskommelsens innehåll har inte offentliggjorts men parterna har fortsatt att förhandla. I dagsläget pågår ett arbete med att omsätta principöverenskommelsen till ett bindande avtal. Och i oktober annonserade Biden-administrationen en executive order för att påskynda arbetet.
— Det är bra att det pågår förhandlingar men en executive order betyder i detta läget egentligen inte mer än att presidenten vill gå EU till mötes. EU-kommissionen å sin sida kräver att USA ändrar sin lagstiftning ifall det ska bli tal om ett nytt avtal gällande utbyte av digital information över Atlanten, och en sådan förändring kan bara ske i USA:s kongress, säger Malin.
— En lagändring är en sak. Det måste samtidigt till ett nytt ramverk som innehåller tillräckliga garantier för att registrerade i EU/EES ska kunna utöva sina rättigheter ifråga om skydd för personuppgifter, säger Malin.
Debatten kring den osäkerhet som finns kopplat till användningen av amerikanska molntjänster har en negativ inverkan på digitaliseringsgraden. Malin förklarar;
— Alla turer gör att många har svårt att förstå vad det är som gäller och i många fall ligger det helt på organisationen att själva göra sin egen bedömning. En sådan osäkerhet innebär självklart att man kan bli avvaktande i de investeringar man vill göra kopplat till digitalisering.
— Det är samtidigt viktigt att digitalisering inte stannar av för att man inte kan använda amerikanska molntjänster för en viss typ av data. Det finns till exempel flera svenskägda moln som man kan använda. Dessutom finns bra multi cloud-lösningar där man utifrån en kartläggning av den data man hanterar kan lägga rätt data i rätt moln och på så sätt säkerställa regelefterlevnad.
Tre rekommendationer:
- Om du är osäker på hur Schrems II-domen ska tolkas, kan du ta hjälp av den vägledning som European Data Protection Boards (EDPB) gett ut.
- Se över och klassificera dina data för att minimera risken att föra över personuppgifter eller annan känslig data till USA.
- Välj en pålitlig multi-cloud partner som hjälper dig uppnå regelefterlevnad.
