22 september 2020 LOU | Upphandlingsrätt

Ny EU-dom om överföring och hantering av personuppgifter får stor påverkan

EU-domstolen meddelade den 16 juli 2020 dom i mål C-311/18, det så kallade Schrems II-målet. Domen innebär i korthet att det har blivit olagligt att använda it-baserade tjänster som på något sätt för över och behandlar personuppgifter i USA med stöd av regelverket kallat Privacy Shield. SKL Kommentus arbetar tillsammans med SKR och systerbolaget Inera för att förstå och utvärdera vilka konsekvenser EU-domstolens dom har för vår verksamhet. Vi följer också noga utvecklingen efter domen och den vägledning som Europeiska dataskyddsstyrelsen och svenska Datainspektionen ger.

En paragraf framför en dator som någon skriver på

Vad säger domen?

I och med den aktuella domen är det inte längre tillåtet för personuppgiftsansvariga i EU att med Privacy Shield som grund överföra personuppgifter till mottagare i USA. Det innebär att alla som idag låter personuppgifter behandlas i USA med stöd av Privacy Shield måste säkra en annan laglig grund.

Domstolen slår vidare fast att kommissionens beslut om standardavtalsklausuler som grund för överföring av personuppgifter från EU till USA är fortsatt giltigt men, påpekade domstolen, det kan behövas ytterligare skyddsåtgärder för att säkerställa skyddet för uppgifterna. Det är upp till varje personuppgiftsansvarig att bedöma om och i så fall vilka skyddsåtgärder som behövs.

Vilka konsekvenser får domen?

Domen får stora praktiska konsekvenser för privata och offentliga aktörer i både EU och USA. Starka finansiella intressen står också på spel. EU och USA har därför inlett förhandlingar om hur personuppgifter ska kunna behandlas i USA framöver med tillräcklig skyddsnivå enligt GDPR. Var man landar i förhandlingarna är mycket svårt att förutse.

Vad gör SKR, SKL Kommentus och Inera?

SKR och bolagen följer utvecklingen med anledning av domen och har påbörjat en genomgång av rättsläget för att besvara ett antal frågor direkt eller genom att använda frågorna i kontakt med leverantörer, Datainspektionen och allmänhet. Vi arbetar aktivt med att undersöka och riskbedöma hur den aktuella situationen påverkar våra ramavtal och upphandlade it-tjänster, gör inventering av befintliga avtal och leverantörskontakter samt kommer även att upprätta en handlingsplan för hantering av avtalen utifrån den vägledning som vi hoppas ska komma från EDPB och svenska Datainspektionen.

Informationen uppdateras löpande hos SKR. Till SKR:s sida om Schrems II-målets påverkan.

Tipsa en vän

Kommentarer (0)

Skriv en kommentar