Schrems 2 – Datainspektionen, NOYB och dataskyddsexperter förklarar det nya dataskyddslandskapet

Seminariet och forumet

Forum för Dataskydd hade förmånen att hålla ett välbesökt seminarium/webbinarium (nästan 500 deltagare) som handlade om Schrems 2^[1]. Missade du seminariet eller vill lyssna på det igen? Det finns inspelat på vår webb: www.dpforum.se för våra medlemmar. Notera att en del av seminariet genomfördes på engelska (NOYB:s del).

Seminariet behandlade huvudsakligen dessa frågor:

●Vad innebär domen för organisationerna i praktiken och vad behöver man göra nu?

●Är det möjligt att använda standardavtalsklausulerna för överföringar till tredje land – och i så fall hur?

●Genom beslutet ogiltigförklaras en av de huvudsakliga transfer mekanismerna för överföring av data till USA; Privacy Shield.

●Vilka alternativa lösningar kan finnas och hur bråttom är det?

Vill du ta del av mer material som detta? Titta närmare på Nordic Privacy Arena som arrangeras semi-digitalt på engelska av Forum för Dataskydd den 5-6 oktober 2020 under parollen "The Brave New World – a human touch to a human right requires data privacy as a key ingredient". Biljetter finns att köpa på vår hemsida.

Keynotes

Under seminariet förklarade Datainspektionen (DI) genom sin generaldirektör, Lena Lindgren Schelin, att alla svar på vad avgörandet innebär inte finns ännu. Hon förklarade DI:s syn på tredjelandsöverföringar inom ramen för mekanismerna Privacy Shield, standardavtalsklauser (SCC) och bindande företagsbestämmelser (BCR). Hon gick även kort in på vad "ytterligare skyddsåtgärder" (som nämns i Schrems 2) innebär för att SCC och BCR ska gå att använda vid överföringar till exempelvis USA. Hon betonade svårigheterna idag att föra över personuppgifter till USA. Hon förklarade även att Europeiska dataskyddsstyrelsen (EDPB) arbetar med att ta fram mer information och vägledning på området, men råder organisationer att inte sitta på händerna utan ta ansvar för sina personuppgiftsbehandlingar. Hon lyfte även att det finns i tillsynsmyndigheternas verktygslåda att förbjuda behandling av personuppgifter om behandlingen är olaglig.

Alan Dahi, dataskyddsjurist och programchef vid NOYB, organisationen som drivit målet som kommit att kallas för Schrems 2, beskrev bakgrunden till målet, domen och vilka lösningar som finns på kort och lång sikt för organisationer som behöver göra tredjelandsöverföringar som en del av sin verksamhet. Han tryckte särskilt på att EU-domstolen förtydligade att tillsynsmyndigheterna, såsom Datainspektionen, är skyldiga att agera för att uppfylla GDPR, bland annat utifrån vad som framkom i Schrems 2. Vidare lyfte han att inte alla sektorer i USA träffas av avgörandet. För lösningar på lång sikt lyfte han att USA kan reformera sin övervakningsmaskin eller så kan EU ändra på Europeiska unionens stadga om de grundläggande rättigheterna (EKMR) för att göra övervakningen av EU-medborgare laglig. NOYB hoppas på att USA ska anpassa sin lagstiftning för att göra överföringar av personuppgifter till USA möjligt.

Daniel Westman, oberoende rådgivare och forskare, beskrev delar av domen och analyserade domen ur ett juridiskt, politiskt och praktiskt perspektiv. Han lyfte särskilt att det inte finns någon tidsfrist att följa utgången och att det är väsentligt svårare att föra ut personuppgifter till tredje länder än vad många praktiker tidigare uppfattat det som. Daniel lyfte sin bedömning att det är svårt att se ett nytt adekvadensbeslut utan att USA ändrar sin lagstiftning samt att kommissionen kan kritiseras för hur de hanterat denna fråga historiskt. Han lyfte några lösningar som kanske kan göra överföringar till tredjelandsöverföringar till länder som omfattas av Schrems 2 möjliga men kritiserade dem samtidigt. Men han anser att när det kommer till behandlingar som enbart grundar sig på Privacy Shield bör de stoppas och det finns risker för företag och myndigheter som felaktigt för över personuppgifter till tredje land.

Lotta Kavtaradze, Privacy Advisor på Telenor Sverige AB och ledamot i Region Stockholm Forum för Dataskydd, och Maria Holmström Mellberg, Nordic Privacy and Security Lead Accenture och styrelseledamot Forum för Dataskydd, beskrev kort utifrån organisationsperspektiv sina huvudsakliga tips vad som organisationer bör göra med anledning av domen och även vad de har gjort i sina organisationer. Lotta Kavtaradze beskrev bland annat vikten att hålla kontakten med personuppgiftsbiträden och fråga hur de arbetar med tredjelandsöverföringar, prata med pågående projekt och se till att kunder får bra information av kundtjänst och kommunikation. Maria Holmström Mellberg lyfte även in vikten att titta på befintliga kontrakt.

Paneldebatten

Panelen modererades av forumets styrelseordförande, Caroline Ohlstedt Carlström, partner Cirio Advokatbyrå. Paneldeltagare var:

●Lena Lindgren Schelin, Generaldirektör Datainspektionen

●Daniel Westman, Oberoende rådgivare och forskare i It- och Medierätt

●Maria Holmström Mellberg, Nordic Privacy and Security Lead Accenture och styrelseledamot Forum för Dataskydd

●Lotta Kavtaradze, Privacy Advisor på Telenor Sverige AB och ledamot i Region Stockholm Forum för Dataskydd

Panelen fokuserade på praktiska åtgärder för organisationer. Hur vi ska se på datalagringsleverantörer som är baserade i t.ex. USA eller har lokala bolag i EU samt Schrems 2? Daniel började med att förklara vad tredjelandsöverföring innebär och att det utifrån detta kan innebära en risk för organisationer då uppgifterna blir exponerade för andra rättsordningar. Lotta utvecklade sin syn vidare utifrån arbete med mappning av data med anledning av domen att det är viktigt att få med så mycket som möjligt – inte bara uppgifter kopplat till tredjelandsöverföring och Privacy Shield – och vikten att spåna vad som kommer vara viktigt på lång sikt. Lena utvecklade att det är viktigt att tänka på att det centrala är om någon i t.ex. USA får tillgång till uppgifter och att det inte är lagringsplatsen som är det viktiga.

Daniel utvecklade situationen där länder har massövervakning är det svårt att se att det finns några tillämpliga mekanismer för överföring dit. Han utvecklade frågan kring om kryptering kan göra det möjligt att överföra personuppgifter. Han utvecklade också frågan om harmlösa personuppgifter kan överföras till exempelvis USA. Lena lyfter fram att EU-domstolen i sitt avgörande lyfter att för trejdelandsöverföringar behöver organisationer titta på i princip samma saker som kommissionen tittar på inför ett adekvansbeslut om ett land och ger tips på vad en kan titta på vad gäller extra säkerhetsåtgärder i samband med trejdelandsöverföringar.

Lotta avslutade med att tipsa om att det förekommer tredjeparts organisationers revisioner av företag och produkter, det gäller då att vara vaksam på vad som står och inte vara nöjd med att ha fått en tredjepartsgranskning och sedan skriva på avtal. Lena avslutade med att beskriva hur DI arbetar med klagomål och hur det ser ut i övrigt i EU. Maria sammanfattade panelen med att säga att i och med Schrems 2 ställs ansvarsskyldigheten på sin spets, det gäller att göra sin hemläxa och förtydligar om en vill ta dataskyddsfrågorna på allvar så finns det ingen annan väg att ta än att titta på till exempel överföring av personuppgifter till tredjeländer.

Chatt

Parallellt med seminariet hade deltagarna möjlighet att skriva frågor till talarna och delar av frågorna besvarades löpande av Karl-Fredrik Björklund, vice ordförande i Forum för Dataskydd samt advokat och Partner vid Wikström & Partner. Där togs bland annat upp frågor om Schrems 2 och Cloud Act. Hur en ska se på bolag som har t.ex. support i tredjeländer men huvudsaklig verksamhet finns inom EU. Det kom en fråga om det går att föra över s.k. harmlösa personuppgifter till USA trots domen. Det togs även upp kreativa resonemang utifrån det s.k. Bodilmålet och många fler frågor.

Om forumet

Om du inte redan är medlem idag bli medlem för att få tillgång våra medlemsförmåner, t.ex. inspelning av seminariet om Schrems 2, och stödja vår mission att bidra till ett tryggt informationssamhälle och värna om integritetsskydd idag och i morgon. Forumet verkar för att förstärka, förenkla och ökar medvetenheten kring integritetsskydd i Europa genom att skapa ett tongivande forum för samverkan och informationsspridning.

^[1] Domstolens dom (stora avdelningen) av den 16 juli 2020 i mål C-311/18, Data Protection Commissioner mot Facebook Ireland LTD och Maximiliam Schrems.