IT-Säkerhet
6 min lästid

Vad är Schrems II och hur blir mitt företag compliant?

Peter Ratkay
IT-Security Advisor & CTO

OBS: Detta skall inte tolkas som juridisk rådgivning, utan är Wingrs tolkning av information kring Schrems II efter att ha tagit del av information från artiklar och utredningar. Vid juridisk rådgivning kring Schrems II rekommenderar Wingr att kontakta en jurist med expertis inom informationssäkerhet.

Förra året, i Juli 2020 så föll klubban i den Europeiska Unionens domstol vilket förändrade landskapet för Europas företag. Privacy Shield är upprivet pga ett fall där Maximilian Schrems har stämt Facebook då deras organisation i Irland hade lämnat ut GDPR-data till deras organisation i USA.

Och varför är det så känsligt kan man undra? I USA så finns det lagstiftning (FISA 702 och EO 12333) som gör att deras underrättelsetjänster får extrahera information från bolag vars ursprung är från USA.

Så för att summera problemet: Det spelar ingen roll om GDPR-data ligger lagrat i ett EU-land. Är bolaget i grunden från USA har deras myndigheter fortfarande rättigheterna att kunna ta del av informationen och sätta munkavle på bolagen om att de har hämtat ut data som kan vara GDPR-relaterat och bryter då mot EUs lagstiftning.

Många IT-jättar började panikartat köra lobbying när domen föll, och lovar att de kommer gör allt för att skydda sina kunders information och inte ”obefogat” lämna ut den. Flertalet leverantörer pekar mot SCC där man vill ta till tekniska lösningar för att skydda kunddata. Problemet kvarstår att ert företag måste vara de som bevisar att data hanteras på ett säkert sätt, och skulle data någonsin läcka så är det ni som kommer stå som ytterst ansvariga. Det kommer inte att räcka med att peka finger mot sina leverantörer och dra en ”men dem lovade”-historia.

Citat från Wistrand:

”I praktiken innebär detta att det är upp till den som överför personuppgifter (dataexportören) att bedöma huruvida dataimportörens nationella lagstiftning erbjuder en skyddsnivå som säkerställer effektiviteten av SCC. Om skyddet från SCC undergrävs, ska dataexportören bedöma om det finns ”kompletterande åtgärder” som kan säkerställa skyddet för personuppgifterna och i så fall tillämpa dessa. I annat fall kan SCC inte användas som skyddsåtgärd.

Citat från Vinge:

”SCC är en annan metod som enligt GDPR kan användas för att överföra personuppgifter till USA eller annat land utanför EU/EES‑området. EU‑domstolen bekräftar i domen att SCC fortsatt är giltiga, samtidigt som det förtydligas att en organisation som överför personuppgifter med stöd av SCC i varje enskilt fall måste verifiera att lagen i mottagarlandet säkerställer ett adekvat skydd enligt GDPR. Om sådant adekvat skydd inte kan säkerställas kan det innebära att överföringen av personuppgifter måste avbrytas eller att kompletterande åtgärder måste vidtas t.ex. i form av kryptering, pseudonymisering och lagrings‑ och uppgiftsminimering.”

Hur påverkar Schrems II-domen mitt bolag?

En personuppgift är något som kan härleda till att man kan identifiera en specifik person, det kan vara allt från namn, telefonnummer, IP-adresser, bilder etc. Det betyder i stort sett att nästan alla företag som använder någon typ av publik molntjänst idag bryter mot GDPR enligt Schrems II-domen. 

Verktyg som CRM, ERP, HR-verktyg, mailtjänster, analysverktyg, affärsapplikationer, marknadsverktyg är nu helt plötsligt inte complaint då många moderbolagen för dessa tjänster ligger i USA. Bolag förlitar sig ofta på publik molninfrastruktur där de har underleverantörer som är amerikanska, vilket är något man också måste ta med i sin beaktning. Alltså att din leverantörs underleverantör kan vara non-compliant. 

Problemet som vi tolkar det är att man drar allt över ett stup rent juridiskt, och det verkar betyda att i princip att nästan alla företag i hela Europa inte är complaint och problemet med domen är att den är så otroligt överväldigande för företag att de knappt vet vart det ska börja.

Vart ska vi som företag börja för att bli compliant?

Om man tittar på vad som har skett efter Schrems II-domen här i Sverige så ligger några bolag redan under luppen hos Datainspektionen tillsammans med EDPB. Exempelvis på bolag är Coop Sverige, Tele2, CDON (Finska delen) och Dagens Industri.  

Vad kan vi lära oss av detta? Jo att större delen av dessa företag riktar sig mot privatkunder.

Har ni applikationer eller system där ni sparar privatkunders information så skulle vi rekommendera er att se över dessa system så snabbt som möjligt. Detta kan vara allt från marketing automation, e-postutskick, SMS-system, databaser, fildelning och CRM som innehåller kunders GDPR-information.

Det viktiga är att öppna en dialog med leverantörer och fråga om deras moderbolag är utanför EU, samt att man även frågar om vilka underleverantörer som de använder. Genom att ha en öppen dialog och ställa högre krav på våra leverantörer kommer de behöva anpassa sig till marknaden för att kunna uppfylla kundernas behov.

Ett typiskt exempel

Ert marknadsteam ska skicka ut ett nyhetsbrev till era kunder om en ny produkt där ni gjort en landningssida. Er tjänst är från Sverige och kunddatabasen ligger på en server som de själva hostar i ett datacenter inom EU. Men tjänsten använder sig av en amerikansk e-postleverantör för att skicka ut alla mail samt att den tillfälliga landningssidan som är byggt i ett amerikanskt verktyg där ni samlar upp ny kunddata. Detta betyder att tjänsten ni använder inte är complaint då GDPR-information kan hämtas av amerikanska myndigheter från två olika håll.

Något relaterat och intressant som skedde nyligen var att Skatteverket tillsammans med Kronofogden publicerade ett remissvar kring digitala samarbetstjänster. De gjorde en bedömning att inte byta ut Skype till den populära tjänsten Microsoft Teams. Detta då man inte vill lämna ut information och personuppgifter till Microsoft eftersom man anser att det bryter mot lagstiftning. De kommer tillsammans se sig om efter andra lämpliga alternativ som kan uppfylla deras behov. 

“Förutsättningarna för att behandla uppgifter hos en extern aktör är i stor utsträckning författningsreglerad. Användning av Teams på samma sätt som Skype används idag och den tillgång till uppgifter som Microsoft kan få genom tjänsten är inte förenlig med offentlighets- och sekretesslagstiftning och dataskyddslagstiftning”

System och infrastruktur som innehåller personalens information är också viktiga, men bör kanske inte ses som en prioritet. Personal har trots allt skrivit på anställningsavtal, NDA och andra liknande avtal, där ni som företag oftast behöver ha deras information i olika system för att de ska kunna utföra sitt arbete. Hantering av kundinformation däremot som är B2C-fokuserad, bör vara det som kommer granskas hårdast.

Behöver ni hjälp med att komma igång med compliance kring Schrems II?

Behöver ni hjälp med att se över era leverantörer, applikationer eller system där ni sparar kunders information så är ni välkomna att kontakta oss på Wingr. Vi arbetar med att skapa en transparent leverantörsmarknad och erbjuder gratis initial rådgivning samt analyser av leverantörer inför nya projekt.

Vill ni mycket men känner att tid och intern kunskap är en bristvara så kan våra tjänster underlätta er vardag. Detta genom stöd via vår konsulttjänst eller genom att hjälpa er skapa kontakt med rätt typ av leverantörer som förstår sig på er verksamhet.

Behöver ni rådgivning? Kontakta oss idag!

Tack! Vi kontaktar dig inom kort.
Oj, något gick snett. Testa igen!
Publicerad:
2022-05-23